NIS 2 a GDPR: překryv, který není sloučením
Článek 32 GDPR a článek 21 NIS 2 vyžadují mnohá ze stejných bezpečnostních opatření. Článek 33 GDPR a článek 23 NIS 2 jsou samostatné cesty hlášení se samostatnými hodinami a samostatnými orgány. Bod odůvodnění 14 NIS 2 vysvětluje, že se oba režimy vzájemně doplňují. Nesplývají do jednoho podání.
Stručně
GDPR (nařízení (EU) 2016/679) chrání práva a svobody fyzických osob, jejichž osobní údaje zpracováváte. NIS 2 (směrnice (EU) 2022/2555) chrání provozní kontinuitu sítí a informačních systémů v nezbytných a důležitých sektorech. Dva režimy, dva chráněné zájmy, převážně sdílená technická a organizační opatření.
Sada opatření se silně překrývá. Článek 32 GDPR vyžaduje vhodná technická a organizační opatření pro zabezpečení osobních údajů. Článek 21 NIS 2 vyžaduje opatření k řízení rizik pro zabezpečení sítí a informačních systémů. Vyzrálé řízení přístupu, funkční zálohování, otestovaný postup reakce na incidenty obvykle slouží oběma zároveň.
Cesty hlášení se nepřekrývají. Článek 33 GDPR posílá oznámení o porušení zabezpečení osobních údajů dozorovému úřadu pro ochranu osobních údajů do 72 hodin. Článek 23 NIS 2 posílá včasné varování CSIRT nebo příslušnému orgánu do 24 hodin, úplné oznámení do 72 hodin a závěrečnou zprávu do jednoho měsíce. Jiný příjemce, jiný obsah, jiné hodiny. Žádné sloučené podání neexistuje.
Článek 32 odst. 1 GDPR (nařízení (EU) 2016/679)
S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku.
Bezpečnostní ustanovení GDPR. Založené na riziku, přiměřené, vázané na práva a svobody fyzických osob. Článek 32 odst. 2 uvádí pseudonymizaci, šifrování, důvěrnost, integritu, dostupnost, odolnost a proces pravidelného testování jako druh opatření, který musí správce a zpracovatel zvážit. Znění je záměrně blízké článku 21 odst. 2 NIS 2.
Článek 21 NIS 2 + bod odůvodnění 14 (směrnice (EU) 2022/2555)
Členské státy zajistí, aby nezbytné a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik sítí a informačních systémů, které tyto subjekty využívají pro svůj provoz nebo pro poskytování svých služeb, a k zabránění dopadům incidentů na příjemce jejich služeb a na jiné služby nebo k jejich minimalizaci. [článek 21 odst. 1] / Touto směrnicí není dotčeno nařízení Evropského parlamentu a Rady (EU) 2016/679. [bod odůvodnění 14]
Článek 21 stanoví bezpečnostní povinnost pro sítě a informační systémy. Článek 21 odst. 2 poté uvádí deset oblastí opatření (politika rizik, řešení incidentů, kontinuita provozu, dodavatelský řetězec, bezpečné pořizování a vývoj, řešení zranitelností, školení, kryptografie, řízení přístupu a správa aktiv, vícefaktorová autentizace). Bod odůvodnění 14 potvrzuje, že GDPR není vytlačeno. Oba režimy stojí vedle sebe.
§30 + §32 BSIG vs článek 33 GDPR (Německo)
§30 BSIG transponuje článek 21 NIS 2 do katalogu opatření k řízení kybernetických bezpečnostních rizik. §32 BSIG transponuje článek 23 NIS 2 do kaskády 24 h / 72 h / jeden měsíc směrem k BSI. Článek 33 GDPR zůstává v nařízení nezměněn a uplatní se přímo vůči dozorovému úřadu pro ochranu osobních údajů (BfDI pro spolkové orgány a některé regulované sektory, zemské úřady pro všechny ostatní).
Dvě německé sady pravidel, dva němečtí příjemci. §30 BSIG a §32 BSIG míří k BSI. Článek 33 GDPR míří k BfDI nebo LfDI. Oba orgány spolupracují podle článku 23 odst. 11 NIS 2, ale neslučují své spisy. Podáváte dvakrát, pokud se incident dotýká obou režimů.
Sdílená sada opatření
Článek 32 GDPR a článek 21 odst. 2 NIS 2 vyžadují tytéž rodiny opatření: řízení přístupu, šifrování, zálohování a obnovu, reakci na incidenty, školení, řízení zranitelností, bezpečnost dodavatelů. Jediná sada technických a organizačních opatření obvykle uspokojí obě. Znění se liší, podstata nikoli.
Dvoje hodiny hlášení
Článek 33 GDPR: 72 hodin dozorovému úřadu pro ochranu osobních údajů od okamžiku, kdy se dozvíte o porušení zabezpečení osobních údajů, s obsahem vymezeným v článku 33 odst. 3. Článek 23 NIS 2: 24 hodin včasné varování, 72 hodin úplné oznámení, jeden měsíc závěrečná zpráva k BSI nebo vnitrostátnímu CSIRT. Jiný příjemce, jiný práh (porušení zabezpečení osobních údajů vs významný incident), jiná šablona. Běží souběžně.
Dokumentace musí v každém spise obstát sama o sobě
BfDI nebo LfDI bude číst váš spis podle článku 32 a článku 33 GDPR. BSI bude číst váš spis podle §30 a §32 BSIG. Každý orgán očekává citovaný vlastní právní základ, zdokumentovanou vlastní časovou osu, vlastní důkazy ve spise. Jeden záznam o incidentu může napájet oba, ale obě podání zůstávají samostatná.
Doplňkové chráněné zájmy, nikoli nadbytečné povinnosti
GDPR chrání práva a svobody fyzických osob, jejichž osobní údaje jsou zpracovávány. NIS 2 chrání provozní kontinuitu systémů, na nichž závisí nezbytné a důležité subjekty. Bezpečnostní opatření se překrývají, protože oba režimy potřebují tentýž druh opatření. Povinnosti se nadbytečnými nestávají. Ransomwarový útok, který zamkne nemocniční systém zdravotnické dokumentace, je zároveň porušením zabezpečení osobních údajů podle článku 33 GDPR i významným incidentem podle článku 23 NIS 2. Musí být otevřeny oba spisy.
Orgány spolupracují, podání se neslučují
Článek 23 odst. 11 NIS 2 ukládá příslušným orgánům podle NIS 2 a dozorovým úřadům pro ochranu osobních údajů povinnost spolupracovat, pokud incident zahrnuje osobní údaje. Sdílejí informace, mohou koordinovat své řešení. Nevedou jedno společné šetření a nevydávají jedno společné rozhodnutí. Subjekt podává dvakrát, na dvou různých hodinách, se dvěma různými sadami skutečností, na nichž orgánům záleží.
BSI (příslušný orgán NIS 2)
BSI vede dohledový cyklus NIS 2 v Německu. Opatření podle §30 BSIG, hlášení incidentů podle §32 BSIG, registrace podle §33 BSIG. BSI je příjemcem kaskády 24 h / 72 h / jeden měsíc. Nepřezkoumává váš spis podle článku 32 GDPR a nekoordinuje vaše oznámení subjektům údajů podle článku 34 GDPR.
BfDI a zemské úřady (LfDI)
Dozor nad ochranou osobních údajů je rozdělen. BfDI řeší spolkové orgány, poštovní a telekomunikační operátory a některé další regulované oblasti. Každá spolková země má vlastní úřad pro ochranu osobních údajů (LfDI Baden-Württemberg, LDI NRW, BlnBDI Berlin atd.) pro všechny ostatní. Úřad pro ochranu osobních údajů je příjemcem oznámení podle článku 33 GDPR a adresátem pokut podle článku 83 GDPR.
ENISA a Evropský sbor pro ochranu osobních údajů
ENISA koordinuje vrstvu kybernetické bezpečnosti napříč členskými státy v rámci NIS 2. Evropský sbor pro ochranu osobních údajů (EDPB) koordinuje vrstvu ochrany osobních údajů v rámci GDPR. Oba pracují vedle sebe. Vydávají samostatné pokyny: ENISA k hlášení incidentů a řízení rizik, EDPB k článku 33 a článku 34 GDPR. Tyto dva proudy do jednoho nástroje EU nesplývají.
RDI a Autoriteit Persoonsgegevens (Nizozemsko)
Nizozemské rozdělení zrcadlí to německé. Rijksinspectie Digitale Infrastructuur (RDI) a sektorově specifické příslušné orgány řeší cestu NIS 2. Autoriteit Persoonsgegevens (AP) řeší cestu GDPR. Belgie, Francie, Rakousko mají podobné uspořádání. Struktura dvou orgánů je v celé EU výchozí.
Splňujeme GDPR, takže NIS 2 je také pokryta.
GDPR pokrývá osobní údaje. NIS 2 pokrývá sítě a informační systémy nezávisle na tom, zda jsou zapojeny osobní údaje. Řídicí systémy provozů, OT, výpadek, který se osobních údajů vůbec nedotkne, jsou stále incidenty NIS 2. Čistý spis GDPR za vás nepodá oznámení podle §32 BSIG a neuspokojí §30 BSIG u systémů, které neobsahují žádné osobní údaje.
Splňujeme NIS 2, takže GDPR je také pokryto.
NIS 2 zabezpečuje systémy. GDPR zabezpečuje práva a svobody lidí, jejichž osobní údaje tyto systémy zpracovávají. Dobře vybudovaná sada opatření podle §30 BSIG musí být přesto zdokumentována ve spise podle článku 32 GDPR, v záznamech o činnostech zpracování podle článku 30 GDPR, v posouzeních vlivu na ochranu osobních údajů podle článku 35 GDPR. BfDI nebo LfDI čte vlastní právní základ, nikoli BSIG.
Jeden incident, jedno hlášení. Podáme u BSI a jsme hotovi.
Incident, který se dotkne osobních údajů, spouští oba režimy. Článek 33 GDPR běží k úřadu pro ochranu osobních údajů na svých 72hodinových hodinách. Článek 23 NIS 2 běží k BSI na kaskádě 24 h / 72 h / jeden měsíc. Prahy nejsou identické a příjemci nejsou titíž. Otevíráte dva spisy souběžně, s křížovými odkazy, nikoli jedno sloučené podání.
Jedna sada opatření, dva scénáře hlášení. Typický nezbytný subjekt s 200 zaměstnanci neudržuje dva samostatné katalogy technických a organizačních opatření. Tatáž politika řízení přístupu, tentýž standard šifrování, tentýž postup reakce na incidenty se objevuje ve spise podle článku 32 GDPR i ve spise podle §30 BSIG s odlišnými titulními stranami. Práce se odvede jednou. Citovaný právní základ se liší.
Kde se oba režimy rozcházejí, je nácvik hlášení. Příručka reakce na incidenty musí v první hodině položit tři otázky: jde o porušení zabezpečení osobních údajů ve smyslu článku 4 bodu 12 GDPR, jde o významný incident ve smyslu článku 23 odst. 3 NIS 2, jde o obojí. Je-li odpovědí obojí, spustí se dva souběžné časovače. Pověřenec pro ochranu osobních údajů a CISO otevírají samostatné spisy, sdílejí skutečnosti, nekonsolidují podání. Čistá verze této příručky se vejde na jednu stranu.
Platforma modeluje registr povinností NIS 2: registrace podle článku 27, opatření k řízení rizik podle článku 21, hlášení incidentů podle článku 23, školení vedení podle článku 20. Nemodeluje registr zpracování podle GDPR a neprovádí vaše posouzení vlivu na ochranu osobních údajů. Ta zůstávají ve vašich nástrojích pro ochranu osobních údajů, vedena vaším pověřencem pro ochranu osobních údajů, pod dohledem vašeho úřadu pro ochranu osobních údajů.
Kde oba režimy sdílejí důkazy (technická a organizační opatření, dodavatelská bezpečnostní ustanovení, záznamy o školení), zpřístupňujeme je jako exportovatelné artefakty, které lze připojit i k vašemu spisu podle článku 32 GDPR. Kaskáda incidentů podle §32 BSIG má na platformě vlastní pracovní postup. Oznámení podle článku 33 GDPR zůstává tam, kde vždy bylo, ve vašem registru porušení zabezpečení osobních údajů.
- Nařízení (EU) 2016/679 (GDPR), články 4 bod 12, 32, 33, 34, 83. eur-lex.europa.eu/eli/reg/2016/679/oj
- Směrnice (EU) 2022/2555 (NIS 2), články 20, 21, 23, 27 a bod odůvodnění 14. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Zákon o BSI (BSIG), §30 a §32 ve znění zákona o implementaci NIS2 a posílení kybernetické bezpečnosti. gesetze-im-internet.de/bsig_2009
- Evropský sbor pro ochranu osobních údajů, pokyny 9/2022 k oznamování porušení zabezpečení osobních údajů. edpb.europa.eu
- ENISA, technické pokyny k implementaci opatření podle článku 21 NIS 2. enisa.europa.eu