NIS2 et GDPR : un recoupement qui n'est pas une fusion
L'article 32 GDPR et l'article 21 NIS2 exigent un grand nombre des mêmes mesures de sécurité. L'article 33 GDPR et l'article 23 NIS2 sont des voies de notification distinctes, avec des horloges distinctes et des autorités distinctes. Le considérant 14 de NIS2 précise que les deux régimes se complètent. Ils ne se réduisent pas à une seule déclaration.
En bref
Le GDPR (règlement (UE) 2016/679) protège les droits et libertés des personnes physiques dont vous traitez les données à caractère personnel. NIS2 (directive (UE) 2022/2555) protège la continuité opérationnelle des réseaux et systèmes d'information des secteurs essentiels et importants. Deux régimes, deux intérêts protégés, des mesures techniques et organisationnelles essentiellement partagées.
L'ensemble des mesures se recoupe fortement. L'article 32 GDPR exige des mesures techniques et organisationnelles appropriées pour la sécurité des données à caractère personnel. L'article 21 NIS2 exige des mesures de gestion des risques pour la sécurité des réseaux et systèmes d'information. Un contrôle d'accès mature, une sauvegarde fonctionnelle, une procédure de réponse aux incidents éprouvée servent généralement les deux à la fois.
Les voies de notification ne se recoupent pas. L'article 33 GDPR adresse une notification de violation de données à caractère personnel à l'autorité de contrôle de la protection des données dans un délai de 72 heures. L'article 23 NIS2 adresse une alerte précoce au CSIRT ou à l'autorité compétente dans un délai de 24 heures, une notification complète dans un délai de 72 heures, et un rapport final dans un délai d'un mois. Destinataire différent, contenu différent, horloge différente. Il n'existe pas de déclaration fusionnée.
Article 32(1) GDPR (règlement (UE) 2016/679)
Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
La clause de sécurité du GDPR. Fondée sur le risque, proportionnée, rattachée aux droits et libertés des personnes physiques. L'article 32(2) énumère la pseudonymisation, le chiffrement, la confidentialité, l'intégrité, la disponibilité, la résilience et un processus de test régulier comme le type de mesures que le responsable du traitement et le sous-traitant doivent prendre en considération. La formulation est délibérément proche de celle de l'article 21(2) NIS2.
Article 21 NIS2 + considérant 14 (directive (UE) 2022/2555)
Les États membres veillent à ce que les entités essentielles et importantes prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui pèsent sur la sécurité des réseaux et des systèmes d'information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, et pour prévenir ou réduire au minimum les conséquences des incidents pour les destinataires de leurs services et pour d'autres services. [Article 21(1)] / La présente directive s'applique sans préjudice du règlement (UE) 2016/679 du Parlement européen et du Conseil. [Considérant 14]
L'article 21 fixe l'obligation de sécurité pour les réseaux et systèmes d'information. L'article 21(2) énumère ensuite les dix domaines de mesures (politique de risque, gestion des incidents, continuité d'activité, chaîne d'approvisionnement, acquisition et développement sécurisés, gestion des vulnérabilités, formation, cryptographie, contrôle d'accès et gestion des actifs, authentification multifactorielle). Le considérant 14 confirme que le GDPR n'est pas écarté. Les deux régimes coexistent côte à côte.
§30 + §32 BSIG face à l'article 33 GDPR (Allemagne)
Le §30 BSIG transpose l'article 21 NIS2 dans le catalogue des mesures de gestion des risques en matière de cybersécurité. Le §32 BSIG transpose l'article 23 NIS2 dans la cascade 24h / 72h / un mois vers le BSI. L'article 33 GDPR demeure inchangé dans le règlement et s'applique directement vis-à-vis de l'autorité de contrôle de la protection des données (le BfDI pour les organismes fédéraux et certains secteurs réglementés, les autorités des Länder pour tous les autres).
Deux corpus de règles allemands, deux destinataires allemands. Le §30 BSIG et le §32 BSIG vont au BSI. L'article 33 GDPR va au BfDI ou au LfDI. Les deux autorités coopèrent au titre de l'article 23(11) NIS2 mais elles ne fusionnent pas leurs dossiers. Vous déclarez deux fois lorsqu'un incident touche les deux régimes.
Ensemble de mesures partagé
L'article 32 GDPR et l'article 21(2) NIS2 exigent les mêmes familles de mesures : contrôle d'accès, chiffrement, sauvegarde et restauration, réponse aux incidents, formation, gestion des vulnérabilités, sécurité des fournisseurs. Un seul ensemble de mesures techniques et organisationnelles satisfait généralement les deux. La formulation diffère, la substance non.
Deux horloges de notification
Article 33 GDPR : 72 heures vers l'autorité de contrôle de la protection des données dès que vous avez connaissance d'une violation de données à caractère personnel, avec un contenu défini à l'article 33(3). Article 23 NIS2 : alerte précoce sous 24 heures, notification complète sous 72 heures, rapport final sous un mois vers le BSI ou le CSIRT national. Destinataire différent, seuil différent (violation de données à caractère personnel contre incident important), modèle différent. Ils s'exécutent en parallèle.
La documentation doit tenir d'elle-même dans chaque dossier
Le BfDI ou le LfDI lira votre dossier au titre de l'article 32 et de l'article 33 GDPR. Le BSI lira votre dossier au titre du §30 et du §32 BSIG. Chaque autorité attend que sa propre base juridique soit citée, sa propre chronologie documentée, ses propres éléments de preuve au dossier. Un seul journal d'incident peut alimenter les deux, mais les deux déclarations restent distinctes.
Des intérêts protégés complémentaires, pas des obligations redondantes
Le GDPR protège les droits et libertés des personnes physiques dont les données à caractère personnel sont traitées. NIS2 protège la continuité opérationnelle des systèmes dont dépendent les entités essentielles et importantes. Les mesures de sécurité se recoupent parce que les deux régimes ont besoin du même type de contrôles. Les obligations ne deviennent pas redondantes. Une attaque par rançongiciel qui bloque le système de dossiers patients d'un hôpital est à la fois une violation de données à caractère personnel au titre de l'article 33 GDPR et un incident important au titre de l'article 23 NIS2. Les deux dossiers doivent être ouverts.
Les autorités coopèrent, les déclarations ne fusionnent pas
L'article 23(11) NIS2 oblige les autorités compétentes au titre de NIS2 et les autorités de contrôle de la protection des données à coopérer lorsqu'un incident concerne des données à caractère personnel. Elles partagent des informations, elles peuvent coordonner leur traitement. Elles ne mènent pas une seule enquête combinée et n'émettent pas une seule décision combinée. L'entité déclare deux fois, sur deux horloges différentes, avec deux ensembles de faits différents qui intéressent les autorités.
BSI (autorité compétente NIS2)
Le BSI exécute le cycle de contrôle NIS2 en Allemagne. Mesures du §30 BSIG, notification d'incident du §32 BSIG, enregistrement du §33 BSIG. Le BSI est le destinataire de la cascade 24h / 72h / un mois. Il n'examine pas votre dossier au titre de l'article 32 GDPR et ne coordonne pas votre notification aux personnes concernées au titre de l'article 34 GDPR.
BfDI et les autorités des Länder (LfDI)
Le contrôle de la protection des données est réparti. Le BfDI gère les organismes fédéraux, les opérateurs postaux et de télécommunications et certains autres domaines réglementés. Chaque Land dispose de sa propre autorité de protection des données (LfDI Baden-Württemberg, LDI NRW, BlnBDI Berlin, etc.) pour tous les autres. L'autorité de protection des données est le destinataire de la notification de l'article 33 GDPR et le destinataire des amendes au titre de l'article 83 GDPR.
ENISA et le Comité européen de la protection des données
L'ENISA coordonne la couche cybersécurité entre les États membres au titre du cadre NIS2. Le Comité européen de la protection des données (CEPD) coordonne la couche protection des données au titre du GDPR. Les deux travaillent côte à côte. Ils publient des orientations distinctes : l'ENISA sur la notification d'incident et la gestion des risques, le CEPD sur les articles 33 et 34 GDPR. Les deux volets ne fusionnent pas en un seul instrument de l'UE.
RDI et Autoriteit Persoonsgegevens (Pays-Bas)
La répartition néerlandaise reflète la répartition allemande. La Rijksinspectie Digitale Infrastructuur (RDI) et les autorités compétentes sectorielles gèrent le volet NIS2. L'Autoriteit Persoonsgegevens (AP) gère le volet GDPR. La Belgique, la France et l'Autriche suivent un schéma similaire. La structure à deux autorités est la norme par défaut dans toute l'UE.
Nous sommes conformes au GDPR, NIS2 est donc couvert aussi.
Le GDPR couvre les données à caractère personnel. NIS2 couvre les réseaux et systèmes d'information indépendamment de la présence ou non de données à caractère personnel. Les systèmes de contrôle d'usine, l'OT, une panne qui ne touche aucune donnée à caractère personnel restent des incidents NIS2. Un dossier GDPR irréprochable ne dépose pas votre notification du §32 BSIG et ne satisfait pas au §30 BSIG sur des systèmes qui ne contiennent aucune donnée à caractère personnel.
Nous sommes conformes à NIS2, le GDPR est donc couvert aussi.
NIS2 sécurise les systèmes. Le GDPR sécurise les droits et libertés des personnes dont ces systèmes traitent les données à caractère personnel. Un ensemble de mesures bien construit au titre du §30 BSIG doit tout de même être documenté dans le dossier de l'article 32 GDPR, le registre des activités de traitement au titre de l'article 30 GDPR, les analyses d'impact relatives à la protection des données au titre de l'article 35 GDPR. Le BfDI ou le LfDI lit sa propre base juridique, pas le BSIG.
Un incident, un rapport. Nous déclarons au BSI et c'est terminé.
Un incident qui affecte des données à caractère personnel déclenche les deux régimes. L'article 33 GDPR court vers l'autorité de protection des données sur son horloge de 72 heures. L'article 23 NIS2 court vers le BSI sur la cascade 24h / 72h / un mois. Les seuils ne sont pas identiques et les destinataires ne sont pas les mêmes. Vous ouvrez deux dossiers en parallèle, avec des renvois croisés, et non une seule déclaration fusionnée.
Un seul ensemble de mesures, deux manuels de notification. Une entité essentielle type de 200 personnes ne maintient pas deux catalogues distincts de mesures techniques et organisationnelles. La même politique de contrôle d'accès, la même norme de chiffrement, la même procédure de réponse aux incidents figurent dans le dossier de l'article 32 GDPR et dans le dossier du §30 BSIG avec des pages de garde différentes. Le travail se fait une seule fois. La base juridique citée diffère.
Là où les deux régimes divergent, c'est l'exercice de notification. Le manuel de réponse aux incidents doit poser trois questions dans la première heure : y a-t-il une violation de données à caractère personnel au sens de l'article 4(12) GDPR, y a-t-il un incident important au sens de l'article 23(3) NIS2, ou les deux. Si la réponse est les deux, deux minuteurs parallèles démarrent. Le délégué à la protection des données et le RSSI ouvrent des dossiers distincts, partagent les faits, ne consolident pas les déclarations. La version épurée de ce manuel tient sur une page.
La plateforme modélise le registre des obligations NIS2 : enregistrement au titre de l'article 27, mesures de gestion des risques au titre de l'article 21, notification d'incident au titre de l'article 23, formation de l'organe de direction au titre de l'article 20. Elle ne modélise pas le registre des traitements GDPR et n'exécute pas vos analyses d'impact relatives à la protection des données. Celles-ci restent dans votre outillage de protection des données, gérées par votre délégué à la protection des données, contrôlées par votre autorité de protection des données.
Là où les deux régimes partagent des éléments de preuve (mesures techniques et organisationnelles, clauses de sécurité fournisseur, dossiers de formation), nous les exposons sous forme d'artefacts exportables que vous pouvez également joindre à votre dossier de l'article 32 GDPR. La cascade d'incident du §32 BSIG dispose de son propre flux de travail sur la plateforme. La notification de l'article 33 GDPR reste là où elle a toujours résidé, dans votre registre des violations de protection des données.
- Règlement (UE) 2016/679 (GDPR), articles 4(12), 32, 33, 34, 83 — eur-lex.europa.eu/eli/reg/2016/679/oj
- Directive (UE) 2022/2555 (NIS2), articles 20, 21, 23, 27 et considérant 14 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Loi BSI (BSIG), §30 et §32 telle que modifiée par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité — gesetze-im-internet.de/bsig_2009
- Comité européen de la protection des données, lignes directrices 9/2022 sur la notification de violation de données à caractère personnel — edpb.europa.eu
- ENISA, Technical Implementation Guidance sur les mesures de l'article 21 NIS2 — enisa.europa.eu