NIS2 y GDPR: el solapamiento que no es una fusión
El artículo 32 del GDPR y el artículo 21 de NIS2 piden muchas de las mismas medidas de seguridad. El artículo 33 del GDPR y el artículo 23 de NIS2 son vías de notificación separadas con relojes separados y autoridades separadas. El considerando 14 de NIS2 deja claro que los dos regímenes se complementan. No se colapsan en una sola presentación.
La versión breve
El GDPR (Reglamento (UE) 2016/679) protege los derechos y libertades de las personas físicas cuyos datos personales trata. NIS2 (Directiva (UE) 2022/2555) protege la continuidad operativa de los sistemas de redes y de información en los sectores esenciales e importantes. Dos regímenes, dos intereses protegidos, controles técnicos y organizativos en su mayoría compartidos.
El conjunto de controles se solapa fuertemente. El artículo 32 del GDPR pide medidas técnicas y organizativas adecuadas para la seguridad de los datos personales. El artículo 21 de NIS2 pide medidas de gestión de riesgos para la seguridad de los sistemas de redes y de información. Un control de acceso maduro, una copia de seguridad operativa, un procedimiento de respuesta a incidentes probado suelen servir a ambos a la vez.
Las vías de notificación no se solapan. El artículo 33 del GDPR envía una notificación de violación de datos personales a la autoridad de control de protección de datos en un plazo de 72 horas. El artículo 23 de NIS2 envía una alerta temprana al CSIRT o a la autoridad competente en un plazo de 24 horas, una notificación completa en un plazo de 72 horas, y un informe final en un plazo de un mes. Destinatario distinto, contenido distinto, reloj distinto. No hay presentación fusionada.
Artículo 32(1) GDPR (Reglamento (UE) 2016/679)
Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
La cláusula de seguridad del GDPR. Basada en el riesgo, proporcionada, vinculada a los derechos y libertades de las personas físicas. El artículo 32(2) enumera la seudonimización, el cifrado, la confidencialidad, la integridad, la disponibilidad, la resiliencia y un proceso de verificación periódica como el tipo de medidas que el responsable y el encargado tienen que considerar. La redacción se acerca deliberadamente al artículo 21(2) de NIS2.
Artículo 21 NIS2 + Considerando 14 (Directiva (UE) 2022/2555)
Los Estados miembros velarán por que las entidades esenciales e importantes tomen medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de los sistemas de redes y de información que esas entidades utilizan para sus operaciones o para la prestación de sus servicios, y para evitar o reducir al mínimo las repercusiones de los incidentes en los destinatarios de sus servicios y en otros servicios. [Artículo 21(1)] / La presente Directiva se entiende sin perjuicio del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo. [Considerando 14]
El artículo 21 fija el deber de seguridad para los sistemas de redes y de información. El artículo 21(2) enumera entonces las diez áreas de medidas (política de riesgos, gestión de incidentes, continuidad de negocio, cadena de suministro, adquisición y desarrollo seguros, gestión de vulnerabilidades, formación, criptografía, control de acceso y gestión de activos, autenticación multifactor). El considerando 14 confirma que el GDPR no queda desplazado. Los dos regímenes se sitúan uno junto al otro.
§30 + §32 BSIG frente al Artículo 33 GDPR (Alemania)
El §30 BSIG transpone el artículo 21 de NIS2 al catálogo de medidas de gestión de riesgos de ciberseguridad. El §32 BSIG transpone el artículo 23 de NIS2 a la cascada de 24 h / 72 h / un mes ante el BSI. El artículo 33 del GDPR permanece inalterado en el Reglamento y se aplica directamente a la autoridad de control de protección de datos (el BfDI para los organismos federales y determinados sectores regulados, las autoridades de los Länder para el resto).
Dos cuerpos normativos alemanes, dos destinatarios alemanes. El §30 BSIG y el §32 BSIG van al BSI. El artículo 33 del GDPR va al BfDI o al LfDI. Las dos autoridades cooperan conforme al artículo 23(11) de NIS2 pero no fusionan sus expedientes. Usted presenta dos veces cuando un incidente afecta a ambos regímenes.
Conjunto de controles compartido
El artículo 32 del GDPR y el artículo 21(2) de NIS2 piden las mismas familias de medidas: control de acceso, cifrado, copia de seguridad y restauración, respuesta a incidentes, formación, gestión de vulnerabilidades, seguridad de proveedores. Un único conjunto de medidas técnicas y organizativas suele satisfacer ambos. La redacción difiere, la sustancia no.
Dos relojes de notificación
Artículo 33 del GDPR: 72 horas ante la autoridad de control de protección de datos una vez que tenga conocimiento de una violación de datos personales, con el contenido definido en el artículo 33(3). Artículo 23 de NIS2: 24 horas de alerta temprana, 72 horas de notificación completa, un mes de informe final ante el BSI o el CSIRT nacional. Destinatario distinto, umbral distinto (violación de datos personales frente a incidente significativo), plantilla distinta. Se ejecutan en paralelo.
La documentación tiene que sostenerse por sí sola en cada expediente
El BfDI o el LfDI leerá su expediente conforme al artículo 32 y al artículo 33 del GDPR. El BSI leerá su expediente conforme al §30 y al §32 BSIG. Cada autoridad espera que se cite su propia base jurídica, que se documente su propio plazo, que su propia evidencia conste en el expediente. Un único registro de incidentes puede alimentar ambos, pero las dos presentaciones permanecen separadas.
Intereses protegidos complementarios, no obligaciones redundantes
El GDPR protege los derechos y libertades de las personas físicas cuyos datos personales se tratan. NIS2 protege la continuidad operativa de los sistemas de los que dependen las entidades esenciales e importantes. Las medidas de seguridad se solapan porque ambos regímenes necesitan el mismo tipo de controles. Las obligaciones no se vuelven redundantes. Un ataque de ransomware que bloquea el sistema de historiales de pacientes de un hospital es a la vez una violación de datos personales conforme al artículo 33 del GDPR y un incidente significativo conforme al artículo 23 de NIS2. Hay que abrir ambos expedientes.
Las autoridades cooperan, las presentaciones no se fusionan
El artículo 23(11) de NIS2 obliga a las autoridades competentes conforme a NIS2 y a las autoridades de control de protección de datos a cooperar cuando un incidente afecta a datos personales. Comparten información, pueden coordinar su gestión. No llevan a cabo una única investigación combinada y no emiten una única decisión combinada. La entidad presenta dos veces, en dos relojes distintos, con dos conjuntos distintos de hechos que interesan a las autoridades.
BSI (autoridad competente de NIS2)
El BSI ejecuta el ciclo de supervisión de NIS2 en Alemania. Medidas del §30 BSIG, notificación de incidentes del §32 BSIG, registro del §33 BSIG. El BSI es el destinatario de la cascada de 24 h / 72 h / un mes. No revisa su expediente del artículo 32 del GDPR y no coordina su notificación al interesado conforme al artículo 34 del GDPR.
BfDI y las autoridades de los Länder (LfDI)
La supervisión de protección de datos está repartida. El BfDI gestiona los organismos federales, los operadores postales y de telecomunicaciones y algunas otras áreas reguladas. Cada Land tiene su propia autoridad de protección de datos (LfDI Baden-Württemberg, LDI NRW, BlnBDI Berlín, etc.) para el resto. La autoridad de protección de datos es la destinataria de la notificación del artículo 33 del GDPR y la destinataria de las multas conforme al artículo 83 del GDPR.
ENISA y el Comité Europeo de Protección de Datos
ENISA coordina la capa de ciberseguridad entre los Estados miembros conforme al marco de NIS2. El Comité Europeo de Protección de Datos (EDPB) coordina la capa de protección de datos conforme al GDPR. Los dos trabajan uno junto al otro. Emiten orientaciones separadas: ENISA sobre notificación de incidentes y gestión de riesgos, el EDPB sobre los artículos 33 y 34 del GDPR. Las dos vertientes no se fusionan en un único instrumento de la UE.
RDI y Autoriteit Persoonsgegevens (Países Bajos)
El reparto neerlandés refleja el alemán. La Rijksinspectie Digitale Infrastructuur (RDI) y las autoridades competentes sectoriales gestionan la vía de NIS2. La Autoriteit Persoonsgegevens (AP) gestiona la vía del GDPR. Bélgica, Francia y Austria siguen un patrón similar. La estructura de dos autoridades es la opción por defecto en toda la UE.
Cumplimos el GDPR, así que NIS2 también está cubierto.
El GDPR cubre los datos personales. NIS2 cubre los sistemas de redes y de información con independencia de si hay datos personales implicados. Los sistemas de control de planta, la OT, una interrupción que no afecta en absoluto a datos personales siguen siendo incidentes de NIS2. Un expediente GDPR impecable no presenta su notificación del §32 BSIG y no satisface el §30 BSIG en sistemas que no contienen datos personales.
Cumplimos NIS2, así que el GDPR también está cubierto.
NIS2 asegura los sistemas. El GDPR asegura los derechos y libertades de las personas cuyos datos personales tratan esos sistemas. Un conjunto de controles del §30 BSIG bien construido aún tiene que documentarse en el expediente del artículo 32 del GDPR, en el registro de actividades de tratamiento conforme al artículo 30 del GDPR, en las evaluaciones de impacto relativas a la protección de datos conforme al artículo 35 del GDPR. El BfDI o el LfDI lee su propia base jurídica, no el BSIG.
Un incidente, una notificación. Presentamos ante el BSI y hemos terminado.
Un incidente que afecta a datos personales activa ambos regímenes. El artículo 33 del GDPR corre ante la autoridad de protección de datos en su reloj de 72 horas. El artículo 23 de NIS2 corre ante el BSI en la cascada de 24 h / 72 h / un mes. Los umbrales no son idénticos y los destinatarios no son los mismos. Usted abre dos expedientes en paralelo, con referencias cruzadas, no una presentación fusionada.
Un conjunto de controles, dos manuales de notificación. Una entidad esencial típica de 200 personas no mantiene dos catálogos separados de medidas técnicas y organizativas. La misma política de control de acceso, la misma norma de cifrado, el mismo procedimiento de respuesta a incidentes aparece en el expediente del artículo 32 del GDPR y en el expediente del §30 BSIG con portadas distintas. El trabajo se hace una sola vez. La base jurídica citada difiere.
Donde divergen los dos regímenes es en el ejercicio de notificación. El manual de respuesta a incidentes tiene que plantear tres preguntas en la primera hora: ¿hay una violación de datos personales en el sentido del artículo 4(12) del GDPR?, ¿hay un incidente significativo en el sentido del artículo 23(3) de NIS2?, ¿ambos? Si la respuesta es ambos, arrancan dos temporizadores paralelos. El delegado de protección de datos y el CISO abren expedientes separados, comparten hechos, no consolidan las presentaciones. La versión depurada de este manual cabe en una página.
La plataforma modela el registro de obligaciones de NIS2: registro conforme al artículo 27, medidas de gestión de riesgos conforme al artículo 21, notificación de incidentes conforme al artículo 23, formación de la dirección conforme al artículo 20. No modela el registro de tratamientos del GDPR y no ejecuta sus evaluaciones de impacto relativas a la protección de datos. Esas permanecen en sus herramientas de protección de datos, gestionadas por su delegado de protección de datos, supervisadas por su autoridad de protección de datos.
Donde los dos regímenes comparten evidencia (medidas técnicas y organizativas, cláusulas de seguridad de proveedores, registros de formación) la exponemos como artefactos exportables que también puede adjuntar a su expediente del artículo 32 del GDPR. La cascada de incidentes del §32 BSIG tiene su propio flujo de trabajo en la plataforma. La notificación del artículo 33 del GDPR permanece donde siempre ha vivido, en su registro de violaciones de protección de datos.
- Reglamento (UE) 2016/679 (GDPR), Artículos 4(12), 32, 33, 34, 83 — eur-lex.europa.eu/eli/reg/2016/679/oj
- Directiva (UE) 2022/2555 (NIS2), Artículos 20, 21, 23, 27 y Considerando 14 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Ley del BSI (BSIG), §30 y §32 en su versión modificada por la Ley de Implementación de NIS2 y de Refuerzo de la Ciberseguridad — gesetze-im-internet.de/bsig_2009
- Comité Europeo de Protección de Datos, Directrices 9/2022 sobre notificación de violaciones de datos personales — edpb.europa.eu
- ENISA, Technical Implementation Guidance sobre las medidas del artículo 21 de NIS2 — enisa.europa.eu