Filtración de datos: NIS 2 y GDPR en paralelo
Dos marcos de notificación se aplican sobre el mismo incidente. El artículo 33 GDPR va a la autoridad de protección de datos. El artículo 23 NIS 2 va a la autoridad de ciberseguridad. No se sustituyen entre sí.
Por qué un incidente activa dos relojes
Un ataque de ransomware que exfiltra una base de datos de empleados es un solo hecho. Bajo el artículo 33 GDPR es una violación de datos personales. Bajo el artículo 23 NIS 2 es un incidente significativo de ciberseguridad si interrumpe la prestación del servicio, causa una pérdida económica o perjudica a terceros. Los dos regímenes pueden aplicarse a los mismos hechos al mismo tiempo.
El considerando 14 de NIS 2 es explícito. NIS 2 no afecta a la aplicación del GDPR. La notificación de ciberseguridad del artículo 23 NIS 2 no libera al responsable del tratamiento de su obligación del artículo 33 GDPR, y la notificación de la violación de datos del GDPR no libera de la notificación de ciberseguridad.
Esta página describe los dos marcos en paralelo. No es asesoramiento jurídico. Una entidad que se enfrenta a una filtración de datos que cumple a la vez los umbrales del artículo 23 NIS 2 y del artículo 33 GDPR notifica normalmente en paralelo, con el delegado de protección de datos y el responsable de seguridad coordinándose sobre una base fáctica compartida.
Artículo 33(1) GDPR
En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
El reloj de las 72 horas comienza cuando el responsable del tratamiento tiene constancia de la violación, no cuando ocurre el incidente. El umbral de riesgo es el de los derechos y libertades de las personas físicas, no el impacto operativo.
Cascada del artículo 23(4) NIS 2
Los Estados miembros velarán por que las entidades esenciales e importantes de que se trate presenten al CSIRT o, en su caso, a la autoridad competente: a) sin dilación indebida y, en todo caso, en un plazo de 24 horas tras tener conocimiento del incidente significativo, una alerta temprana; b) sin dilación indebida y, en todo caso, en un plazo de 72 horas tras tener conocimiento del incidente significativo, una notificación de incidente; c) un informe final a más tardar un mes después de la presentación de la notificación de incidente con arreglo a la letra b).
Tres pasos hacia el BSI en Alemania, ANSSI en Francia, RDI en los Países Bajos. La alerta temprana de las 24 horas es el elemento distintivo. El GDPR no tiene ningún deber de notificación equivalente en la primera hora.
§32 BSIG (Alemania)
Las entidades importantes y esenciales notificarán los incidentes de seguridad significativos a la Oficina Federal sin dilación indebida, siguiendo la cascada establecida en el artículo 23(4) de la Directiva (UE) 2022/2555.
El BSIG transpone la cascada de NIS 2 al Derecho alemán. No modifica el reloj del GDPR. El artículo 33 GDPR es un reglamento de la UE directamente aplicable y corre en paralelo al BSIG.
Detectar y clasificar
La respuesta a incidentes identifica que se accedió, se exfiltró o se dejó indisponibles datos personales. Los mismos hechos alimentan ambas valoraciones jurídicas. Los registros forenses, los sistemas afectados, las categorías de datos afectadas y los interesados afectados son la base de evidencia compartida.
Clasificar frente a dos umbrales
La significancia bajo el GDPR depende del riesgo para los derechos y libertades de las personas físicas (artículo 33 GDPR). La significancia bajo NIS 2 depende de la continuidad operativa, la pérdida económica o el daño material o no material a terceros (artículo 23(3) NIS 2, especificado por el §11.6 del CIR). Un incidente puede cruzar un umbral, el otro, ambos o ninguno.
Notificar en paralelo si se cumplen ambos umbrales
Si se cumplen ambos umbrales, la autoridad de ciberseguridad recibe la cascada del artículo 23 NIS 2 y la autoridad de protección de datos recibe la notificación del artículo 33 GDPR. Dos destinatarios, dos formatos, dos plazos. La alerta temprana de las 24 horas de NIS 2 suele ser lo primero que sale.
Dos relojes corren de forma independiente
El artículo 23(4) NIS 2 inicia el reloj de la alerta temprana de las 24 horas y de la notificación de las 72 horas en el momento de tener conocimiento del incidente significativo. El artículo 33 GDPR inicia un reloj de 72 horas en el momento de tener constancia de la violación de datos personales. Los dos momentos de conocimiento suelen coincidir, pero los plazos y los destinatarios difieren. Esperar al reloj del GDPR antes de presentar la alerta temprana de NIS 2 incumple la ventana de las 24 horas.
Hechos compartidos, umbrales distintos
Ambas autoridades quieren saber qué ocurrió, cuándo, qué sistemas, qué datos y qué mitigación. Las preguntas jurídicas son distintas. El GDPR pregunta si las personas físicas se enfrentan a un riesgo para sus derechos y libertades. NIS 2 pregunta si el incidente causa una interrupción operativa, una pérdida económica o un daño material. El mismo párrafo fáctico puede reutilizarse; la valoración de la significancia no.
BSI: Oficina Federal de Seguridad de la Información
Autoridad de ciberseguridad en virtud del BSIG. Recibe la cascada del artículo 23 NIS 2: alerta temprana de las 24 horas, notificación de incidente de las 72 horas, informe final de un mes. El canal de notificación es el portal del BSI para entidades importantes y esenciales.
BfDI / LfDI: autoridades de protección de datos
El BfDI para los organismos federales y los responsables del sector de las telecomunicaciones / postal. El LfDI del estado del responsable del tratamiento para los demás. Recibe la notificación del artículo 33 GDPR en un plazo de 72 horas. La notificación del artículo 34 GDPR a los interesados afectados se aplica además cuando es probable que la violación entrañe un alto riesgo para los derechos y libertades.
Deber de coordinación del artículo 23(11) NIS 2
Cuando un incidente afecte a datos personales, el CSIRT o la autoridad competente coopera con la autoridad de protección de datos. Esto significa que las dos autoridades pueden compartir información sobre el mismo incidente, pero no libera a la entidad de ninguno de los dos deberes de notificación. El deber de coordinar recae en las autoridades, no en la entidad.
Notificamos al BfDI en un plazo de 72 horas, así que hemos terminado.
El artículo 33 GDPR se dirige a la autoridad de protección de datos. El artículo 23 NIS 2 se dirige a la autoridad de ciberseguridad. Notificar a una no satisface a la otra. El considerando 14 de NIS 2 confirma que los dos regímenes se aplican de forma independiente. Si se cumplen ambos umbrales, se presentan normalmente ambas notificaciones.
Podemos pegar el mismo texto de notificación en ambos formularios.
Los párrafos fácticos sobre qué ocurrió, cuándo y qué sistemas están afectados pueden compartirse. La clasificación jurídica es distinta. El GDPR exige una descripción de las consecuencias probables para los interesados y de las medidas para abordar el riesgo para los derechos y libertades. NIS 2 exige gravedad, impacto e indicadores de compromiso. Los formularios hacen preguntas distintas.
Esperaremos a que el delegado de protección de datos termine la notificación del GDPR antes de notificar al BSI.
La alerta temprana del artículo 23(4) NIS 2 vence en un plazo de 24 horas tras el conocimiento. El reloj de 72 horas del GDPR es más largo. Secuenciar la cascada de NIS 2 por detrás de la notificación del GDPR normalmente incumple la ventana de las 24 horas. La mayoría de los protocolos de respuesta inician primero la alerta temprana de NIS 2 y la notificación del GDPR en paralelo.
Ejecute una única clasificación del incidente. Capture los hechos una vez: cronología, sistemas afectados, categorías de datos afectadas, número de interesados, mitigación. Luego divídalo en dos vías de valoración. El responsable de seguridad dirige la cascada del artículo 23 NIS 2. El delegado de protección de datos dirige la notificación del artículo 33 GDPR. Ambos rinden cuentas al mismo coordinador del incidente.
Si es probable que la violación entrañe un alto riesgo para los derechos y libertades de las personas físicas, el artículo 34 GDPR añade una notificación a los interesados afectados además de la notificación a la autoridad de control. NIS 2 tiene su propio deber de comunicación pública en virtud del artículo 23(2) cuando el incidente puede afectar a los destinatarios del servicio.
El módulo de incidentes captura la base fáctica compartida una sola vez. La gravedad, los sistemas afectados, las categorías de datos afectadas, la cronología y la mitigación alimentan tanto la vista de cascada de NIS 2 como el borrador de la notificación del GDPR. Los plazos de las 24 horas y las 72 horas se siguen por separado con sus propios recordatorios.
Los roles están divididos. El responsable de seguridad es titular de la vía de NIS 2. El delegado de protección de datos es titular de la vía del GDPR. Ambos ven la misma fuente de verdad sobre el incidente. El rastro de auditoría registra qué autoridad recibió qué y cuándo.
- Reglamento (UE) 2016/679 (GDPR), artículos 33 y 34
- Directiva (UE) 2022/2555 (NIS 2), artículo 23 y considerando 14
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión, §11.6 (significancia de los incidentes)
- §32 BSIG (transposición del artículo 23 NIS 2 en Alemania)
- Directrices 9/2022 del CEPD sobre la notificación de violaciones de datos personales en virtud del GDPR
- Guía del BSI sobre la notificación de incidentes significativos en virtud del BSIG