Art. 23 NIS 2 + Art. 33 DSGVO

Violazione dei dati: NIS 2 e GDPR in parallelo

Due quadri di notifica gravano sullo stesso incidente. L'articolo 33 GDPR scorre verso l'autorità di protezione dei dati. L'articolo 23 NIS 2 scorre verso l'autorità di cybersicurezza. Non si sostituiscono a vicenda.

Simon OrzelSimon Orzel·

Perché un solo incidente innesca due orologi

Un attacco ransomware che esfiltra una banca dati dei dipendenti è un solo evento. Ai sensi dell'articolo 33 GDPR è una violazione di dati personali. Ai sensi dell'articolo 23 NIS 2 è un incidente di cybersicurezza significativo se interrompe l'erogazione del servizio, causa perdite finanziarie o danneggia terzi. I due regimi possono applicarsi agli stessi fatti nello stesso momento.

Il considerando 14 NIS 2 è esplicito. La NIS 2 lascia impregiudicata l'applicazione del GDPR. La notifica di cybersicurezza ai sensi dell'articolo 23 NIS 2 non assolve l'obbligo del titolare ai sensi dell'articolo 33 GDPR, e la notifica di violazione GDPR non assolve la notifica di cybersicurezza.

Questa pagina descrive i due quadri affiancati. Non è consulenza legale. Un'entità che affronta una violazione dei dati che soddisfa sia l'articolo 23 NIS 2 sia le soglie dell'articolo 33 GDPR notifica tipicamente in parallelo, con il responsabile della protezione dei dati e il responsabile della sicurezza che si coordinano su una base fattuale condivisa.

Ancoraggio giuridico
Due regolamenti dell'UE, un livello di recepimento in Germania.

Articolo 33(1) GDPR

In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

L'orologio delle 72 ore parte quando il titolare viene a conoscenza della violazione, non quando si verifica l'incidente. La soglia di rischio sono i diritti e le libertà delle persone fisiche, non l'impatto operativo.

Cascata dell'articolo 23(4) NIS 2

Gli Stati membri provvedono affinché i soggetti essenziali e importanti interessati trasmettano al CSIRT o, ove applicabile, all'autorità competente: a) senza ingiustificato ritardo e comunque entro 24 ore da quando sono venuti a conoscenza dell'incidente significativo, un preallarme; b) senza ingiustificato ritardo e comunque entro 72 ore da quando sono venuti a conoscenza dell'incidente significativo, una notifica di incidente; c) una relazione finale entro un mese dalla trasmissione della notifica di incidente di cui alla lettera b).

Tre passaggi verso il BSI in Germania, l'ANSSI in Francia, l'RDI nei Paesi Bassi. Il preallarme delle 24 ore è l'elemento distintivo. Il GDPR non ha un equivalente obbligo di notifica nella prima ora.

BSIG Sezione 32 (Germania)

Le entità importanti ed essenziali notificano gli incidenti di sicurezza significativi all'Ufficio federale senza ingiustificato ritardo, secondo la cascata stabilita all'articolo 23(4) della direttiva (UE) 2022/2555.

Il BSIG recepisce la cascata NIS 2 nel diritto tedesco. Non modifica l'orologio del GDPR. L'articolo 33 GDPR è un regolamento dell'UE direttamente applicabile e scorre parallelamente al BSIG.

Cosa contengono effettivamente le due notifiche
Rileva una volta, classifica rispetto a due soglie, presenta due notifiche se entrambe sono soddisfatte.
Passo 1

Rilevamento e triage

La risposta agli incidenti accerta che dati personali sono stati consultati, esfiltrati o resi indisponibili. Gli stessi fatti alimentano entrambe le valutazioni giuridiche. Log forensi, sistemi interessati, categorie di dati interessate e interessati colpiti costituiscono la base probatoria condivisa.

Passo 2

Classifica rispetto a due soglie

La significatività ai sensi del GDPR dipende dal rischio per i diritti e le libertà delle persone fisiche (articolo 33 GDPR). La significatività ai sensi della NIS 2 dipende dalla continuità operativa, dalla perdita finanziaria o dal danno materiale o immateriale a terzi (articolo 23(3) NIS 2, specificato dalla sezione 11.6 del CIR). Un incidente può superare una soglia, l'altra, entrambe o nessuna.

Passo 3

Presenta in parallelo se entrambe le soglie sono soddisfatte

Se entrambe le soglie sono soddisfatte, l'autorità di cybersicurezza riceve la cascata dell'articolo 23 NIS 2 e l'autorità di protezione dei dati riceve la notifica dell'articolo 33 GDPR. Due destinatari, due formati, due tempistiche. Il preallarme NIS 2 delle 24 ore è di solito la prima cosa a uscire.

Due orologi, fatti condivisi
Stesso incidente, due valutazioni giuridiche, due processi paralleli.

Due orologi scorrono in modo indipendente

L'articolo 23(4) NIS 2 avvia l'orologio del preallarme di 24 ore e della notifica di 72 ore al momento della conoscenza dell'incidente significativo. L'articolo 33 GDPR avvia un orologio di 72 ore al momento della conoscenza della violazione di dati personali. I due momenti di conoscenza spesso coincidono, ma i termini e i destinatari differiscono. Attendere l'orologio del GDPR prima di presentare il preallarme NIS 2 fa mancare la finestra delle 24 ore.

Fatti condivisi, soglie diverse

Entrambe le autorità vogliono sapere cosa è accaduto, quando, quali sistemi, quali dati e quale mitigazione. Le domande giuridiche sono diverse. Il GDPR chiede se le persone fisiche corrono un rischio per i loro diritti e libertà. La NIS 2 chiede se l'incidente causa interruzione operativa, perdita finanziaria o danno materiale. Lo stesso paragrafo fattuale può essere riutilizzato; la valutazione di significatività no.

Chi riceve cosa
Destinatari diversi, obbligo di coordinamento tra di essi.
DE

BSI: Ufficio federale per la sicurezza informatica

Autorità di cybersicurezza ai sensi del BSIG. Riceve la cascata dell'articolo 23 NIS 2: preallarme di 24 ore, notifica di incidente di 72 ore, relazione finale a un mese. Il canale di notifica è il portale BSI per le entità importanti ed essenziali.

DE

BfDI / LfDI: autorità di protezione dei dati

Il BfDI per gli organismi federali e i titolari del settore delle telecomunicazioni / postale. Il LfDI dello Stato del titolare per tutti gli altri. Riceve la notifica dell'articolo 33 GDPR entro 72 ore. La comunicazione dell'articolo 34 GDPR agli interessati colpiti si aggiunge ove la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà.

EU

Obbligo di coordinamento dell'articolo 23(11) NIS 2

Ove un incidente coinvolga dati personali, il CSIRT o l'autorità competente coopera con l'autorità di protezione dei dati. Ciò significa che le due autorità possono condividere informazioni sullo stesso incidente, ma non solleva l'entità da nessuno dei due obblighi di notifica. L'obbligo di coordinamento ricade sulle autorità, non sull'entità.

Tre errori comuni
Ciascuno è osservabile in decisioni di enforcement pubblicate o negli orientamenti delle autorità di protezione dei dati.
  • Abbiamo notificato al BfDI entro 72 ore, quindi abbiamo finito.

    L'articolo 33 GDPR si rivolge all'autorità di protezione dei dati. L'articolo 23 NIS 2 si rivolge all'autorità di cybersicurezza. Notificare a una non soddisfa l'altra. Il considerando 14 NIS 2 conferma che i due regimi si applicano in modo indipendente. Se entrambe le soglie sono soddisfatte, entrambe le notifiche vengono tipicamente presentate.

  • Possiamo incollare lo stesso testo di notifica in entrambi i moduli.

    I paragrafi fattuali su cosa è accaduto, quando e quali sistemi sono interessati possono essere condivisi. La classificazione giuridica è diversa. Il GDPR richiede una descrizione delle probabili conseguenze per gli interessati e delle misure per affrontare il rischio per i diritti e le libertà. La NIS 2 richiede gravità, impatto e indicatori di compromissione. I moduli pongono domande diverse.

  • Attenderemo che il responsabile della protezione dei dati completi la notifica GDPR prima di notificare al BSI.

    Il preallarme dell'articolo 23(4) NIS 2 è dovuto entro 24 ore dalla conoscenza. L'orologio di 72 ore del GDPR è più lungo. Sequenziare la cascata NIS 2 dietro la notifica GDPR fa tipicamente mancare la finestra delle 24 ore. La maggior parte dei playbook di risposta avvia prima il preallarme NIS 2 e la notifica GDPR in parallelo.

Cosa fanno effettivamente i professionisti

Eseguite un unico triage dell'incidente. Raccogliete i fatti una sola volta: cronologia, sistemi interessati, categorie di dati interessate, numero di interessati, mitigazione. Poi suddividete in due binari di valutazione. Il responsabile della sicurezza guida la cascata dell'articolo 23 NIS 2. Il responsabile della protezione dei dati guida la notifica dell'articolo 33 GDPR. Entrambi riferiscono allo stesso incident commander.

Se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, l'articolo 34 GDPR aggiunge una comunicazione agli interessati colpiti oltre alla notifica all'autorità di controllo. La NIS 2 ha il proprio obbligo di comunicazione al pubblico ai sensi dell'articolo 23(2) ove l'incidente possa colpire i destinatari del servizio.

Come la piattaforma supporta la notifica parallela

Il modulo incidenti raccoglie una sola volta la base fattuale condivisa. Gravità, sistemi interessati, categorie di dati interessate, cronologia e mitigazione alimentano sia la vista della cascata NIS 2 sia la bozza di notifica GDPR. I termini di 24 ore e 72 ore sono tracciati separatamente con i propri promemoria.

I ruoli sono suddivisi. Il responsabile della sicurezza è titolare del percorso NIS 2. Il responsabile della protezione dei dati è titolare del percorso GDPR. Entrambi vedono la stessa fonte di verità sull'incidente. La traccia di audit registra quale autorità ha ricevuto cosa e quando.

Fonti primarie
  • Regolamento (UE) 2016/679 (GDPR), articoli 33 e 34
  • Direttiva (UE) 2022/2555 (NIS 2), articolo 23 e considerando 14
  • Regolamento di esecuzione (UE) 2024/2690 della Commissione, sezione 11.6 (significatività degli incidenti)
  • BSIG sezione 32 (recepimento dell'articolo 23 NIS 2 in Germania)
  • Linee guida EDPB 9/2022 sulla notifica delle violazioni di dati personali ai sensi del GDPR
  • Orientamenti del BSI sulla notifica di incidenti significativi ai sensi del BSIG
Verifica se la NIS 2 si applica a te
Prima dell'incidente è il momento di sapere quali canali di notifica si applicano. La verifica di applicabilità richiede circa tre minuti.