Art. 23 NIS 2 + Art. 33 DSGVO

Únik dat: NIS 2 a GDPR souběžně

Na témž incidentu sedí dva rámce pro hlášení. Článek 33 GDPR míří k orgánu pro ochranu osobních údajů. Článek 23 NIS 2 míří k orgánu pro kybernetickou bezpečnost. Vzájemně se nenahrazují.

Simon OrzelSimon Orzel·

Proč jeden incident spouští dvoje hodiny

Ransomwarový útok, který exfiltruje databázi zaměstnanců, je jedna událost. Podle článku 33 GDPR je to porušení zabezpečení osobních údajů. Podle článku 23 NIS 2 je to významný kybernetický incident, pokud naruší poskytování služeb, způsobí finanční ztrátu nebo poškodí třetí strany. Oba režimy se mohou na tatáž fakta vztahovat zároveň.

Bod odůvodnění 14 NIS 2 je výslovný. NIS 2 nemá vliv na uplatňování GDPR. Kybernetické hlášení podle článku 23 NIS 2 nezprošťuje správce povinnosti podle článku 33 GDPR a oznámení porušení podle GDPR nezprošťuje kybernetického hlášení.

Tato stránka popisuje oba rámce vedle sebe. Není to právní poradenství. Subjekt čelící úniku dat, který splňuje prahy článku 23 NIS 2 i článku 33 GDPR, zpravidla podává souběžně, přičemž pověřenec pro ochranu osobních údajů a vedoucí bezpečnosti se koordinují na sdíleném skutkovém základě.

Právní kotva
Dvě nařízení EU, jedna transpoziční vrstva v Německu.

Článek 33(1) GDPR

V případě porušení zabezpečení osobních údajů správce ohlásí porušení zabezpečení osobních údajů dozorovému úřadu příslušnému podle článku 55 bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob.

72hodinové hodiny začínají, když se správce o porušení dozví, ne když incident nastane. Prahem rizika jsou práva a svobody fyzických osob, ne provozní dopad.

Kaskáda článku 23(4) NIS 2

Členské státy zajistí, aby dotčené nezbytné a důležité subjekty podávaly CSIRT nebo případně příslušnému orgánu: a) bez zbytečného odkladu a v každém případě do 24 hodin od okamžiku, kdy se o významném incidentu dozvěděly, včasné varování; b) bez zbytečného odkladu a v každém případě do 72 hodin od okamžiku, kdy se o významném incidentu dozvěděly, oznámení incidentu; c) závěrečnou zprávu nejpozději jeden měsíc po podání oznámení incidentu podle písmene b).

Tři kroky k BSI v Německu, k ANSSI ve Francii, k RDI v Nizozemsku. 24hodinové včasné varování je tím rozlišujícím bodem. GDPR nemá ekvivalentní povinnost hlášení v první hodině.

§ 32 BSIG (Německo)

Důležité a nezbytné subjekty hlásí významné bezpečnostní incidenty Spolkovému úřadu bez zbytečného odkladu, podle kaskády stanovené v čl. 23 odst. 4 směrnice (EU) 2022/2555.

BSIG transponuje kaskádu NIS 2 do německého práva. Nemění hodiny GDPR. Článek 33 GDPR je přímo použitelné nařízení EU a běží souběžně s BSIG.

Co obě hlášení skutečně obsahují
Zjistěte jednou, klasifikujte proti dvěma prahům, podejte dvě hlášení, pokud jsou oba splněny.
Krok 1

Zjistit a roztřídit

Reakce na incident zjistí, že osobní údaje byly zpřístupněny, exfiltrovány nebo se staly nedostupnými. Tatáž fakta krmí obě právní posouzení. Forenzní logy, dotčené systémy, dotčené kategorie údajů a dotčené subjekty údajů jsou sdílenou důkazní základnou.

Krok 2

Klasifikovat proti dvěma prahům

Významnost podle GDPR závisí na riziku pro práva a svobody fyzických osob (článek 33 GDPR). Významnost podle NIS 2 závisí na provozní kontinuitě, finanční ztrátě nebo hmotné či nehmotné škodě třetím stranám (čl. 23 odst. 3 NIS 2, upřesněno v oddílu 11.6 CIR). Jeden incident může překročit jeden práh, druhý, oba, nebo žádný.

Krok 3

Podat souběžně, pokud jsou oba prahy splněny

Pokud jsou splněny oba prahy, orgán pro kybernetickou bezpečnost obdrží kaskádu článku 23 NIS 2 a orgán pro ochranu osobních údajů obdrží oznámení podle článku 33 GDPR. Dva příjemci, dva formáty, dvě časové osy. 24hodinové včasné varování NIS 2 je obvykle první věcí, která jde ven.

Dvoje hodiny, sdílená fakta
Tentýž incident, dvě právní posouzení, dva paralelní procesy.

Dvoje hodiny běží nezávisle

Článek 23(4) NIS 2 spouští hodiny 24hodinového včasného varování a 72hodinového oznámení v okamžiku zjištění významného incidentu. Článek 33 GDPR spouští 72hodinové hodiny v okamžiku zjištění porušení zabezpečení osobních údajů. Oba okamžiky zjištění se často shodují, ale lhůty a příjemci se liší. Čekání na hodiny GDPR před podáním včasného varování NIS 2 zmešká 24hodinové okno.

Sdílená fakta, různé prahy

Oba orgány chtějí, co se stalo, kdy, jaké systémy, jaká data a jaké zmírnění. Právní otázky jsou různé. GDPR se ptá, zda fyzickým osobám hrozí riziko pro jejich práva a svobody. NIS 2 se ptá, zda incident způsobuje provozní narušení, finanční ztrátu nebo hmotnou škodu. Tentýž skutkový odstavec lze znovu použít; posouzení významnosti ne.

Kdo co přijímá
Různí příjemci, povinnost koordinace mezi nimi.
DE

BSI: Spolkový úřad pro bezpečnost informací

Orgán pro kybernetickou bezpečnost podle BSIG. Přijímá kaskádu článku 23 NIS 2: 24hodinové včasné varování, 72hodinové oznámení incidentu, závěrečnou zprávu do jednoho měsíce. Kanálem pro hlášení je portál BSI pro důležité a nezbytné subjekty.

DE

BfDI / LfDI: orgány pro ochranu osobních údajů

BfDI pro federální orgány a správce v telekomunikačním / poštovním sektoru. LfDI spolkové země správce pro všechny ostatní. Přijímá oznámení podle článku 33 GDPR do 72 hodin. Oznámení dotčeným subjektům údajů podle článku 34 GDPR běží navíc tam, kde porušení pravděpodobně bude mít za následek vysoké riziko pro práva a svobody.

EU

Povinnost koordinace podle článku 23(11) NIS 2

Pokud incident zahrnuje osobní údaje, CSIRT nebo příslušný orgán spolupracuje s orgánem pro ochranu osobních údajů. To znamená, že oba orgány mohou sdílet informace o témž incidentu, ale nezprošťuje to subjekt ani jedné z povinností hlášení. Povinnost koordinace leží na orgánech, ne na subjektu.

Tři běžné chyby
Každá je pozorovatelná ve zveřejněných rozhodnutích o vymáhání nebo v pokynech orgánů pro ochranu osobních údajů.
  • Podali jsme u BfDI do 72 hodin, takže jsme hotovi.

    Článek 33 GDPR se obrací na orgán pro ochranu osobních údajů. Článek 23 NIS 2 se obrací na orgán pro kybernetickou bezpečnost. Podání u jednoho nesplňuje druhý. Bod odůvodnění 14 NIS 2 potvrzuje, že oba režimy se uplatňují nezávisle. Pokud jsou splněny oba prahy, zpravidla se podávají obě hlášení.

  • Můžeme vložit tentýž text oznámení do obou formulářů.

    Skutkové odstavce o tom, co se stalo, kdy a jaké systémy jsou dotčeny, lze sdílet. Právní klasifikace je různá. GDPR vyžaduje popis pravděpodobných důsledků pro subjekty údajů a opatření k řešení rizika pro práva a svobody. NIS 2 vyžaduje závažnost, dopad a indikátory kompromitace. Formuláře kladou různé otázky.

  • Počkáme, až pověřenec pro ochranu osobních údajů dokončí oznámení podle GDPR, než podáme u BSI.

    Včasné varování podle čl. 23 odst. 4 NIS 2 je splatné do 24 hodin od zjištění. 72hodinové hodiny GDPR jsou delší. Sekvencování kaskády NIS 2 za oznámením GDPR zpravidla zmešká 24hodinové okno. Většina reakčních scénářů spouští včasné varování NIS 2 nejprve a oznámení GDPR souběžně.

Co praktici skutečně dělají

Proveďte jedno roztřídění incidentu. Zachyťte fakta jednou: časová osa, dotčené systémy, dotčené kategorie údajů, počet subjektů údajů, zmírnění. Pak se rozdělte do dvou posuzovacích kolejí. Vedoucí bezpečnosti řídí kaskádu článku 23 NIS 2. Pověřenec pro ochranu osobních údajů řídí oznámení podle článku 33 GDPR. Oba reportují témuž veliteli incidentu.

Pokud porušení pravděpodobně bude mít za následek vysoké riziko pro práva a svobody fyzických osob, článek 34 GDPR přidává nad rámec oznámení dozorovému úřadu oznámení dotčeným subjektům údajů. NIS 2 má vlastní povinnost veřejné komunikace podle čl. 23 odst. 2 tam, kde incident může ovlivnit příjemce služeb.

Jak platforma podporuje souběžné hlášení

Modul incidentů zachytí sdílený skutkový základ jednou. Závažnost, dotčené systémy, dotčené kategorie údajů, časová osa a zmírnění krmí jak pohled kaskády NIS 2, tak koncept oznámení podle GDPR. 24hodinová a 72hodinová lhůta se sledují samostatně s vlastními připomínkami.

Role jsou rozděleny. Vedoucí bezpečnosti vlastní cestu NIS 2. Pověřenec pro ochranu osobních údajů vlastní cestu GDPR. Oba vidí tentýž zdroj pravdy o incidentu. Auditní stopa loguje, který orgán co a kdy obdržel.

Primární zdroje
  • Nařízení (EU) 2016/679 (GDPR), články 33 a 34
  • Směrnice (EU) 2022/2555 (NIS 2), článek 23 a bod odůvodnění 14
  • Prováděcí nařízení Komise (EU) 2024/2690, oddíl 11.6 (významnost incidentů)
  • § 32 BSIG (transpozice článku 23 NIS 2 v Německu)
  • Pokyny EDPB 9/2022 k oznamování porušení zabezpečení osobních údajů podle GDPR
  • Pokyny BSI k hlášení významných incidentů podle BSIG
Zkontrolujte, zda se na vás NIS 2 vztahuje
Čas zjistit, které kanály pro hlášení se uplatní, je před incidentem. Kontrola použitelnosti trvá asi tři minuty.