NIS 2 a GDPR: pokrywanie się, które nie jest połączeniem
Art. 32 GDPR i art. 21 NIS 2 wymagają wielu tych samych środków bezpieczeństwa. Art. 33 GDPR i art. 23 NIS 2 to odrębne ścieżki zgłaszania z odrębnymi zegarami i odrębnymi organami. Motyw 14 NIS 2 wyraźnie stwierdza, że oba reżimy się uzupełniają. Nie zlewają się w jedno zgłoszenie.
Wersja skrócona
GDPR (rozporządzenie (UE) 2016/679) chroni prawa i wolności osób fizycznych, których dane osobowe przetwarzasz. NIS 2 (dyrektywa (UE) 2022/2555) chroni ciągłość operacyjną sieci i systemów informatycznych w sektorach kluczowych i ważnych. Dwa reżimy, dwa chronione interesy, w większości wspólne środki techniczne i organizacyjne.
Zestaw kontroli pokrywa się silnie. Art. 32 GDPR wymaga odpowiednich środków technicznych i organizacyjnych dla bezpieczeństwa danych osobowych. Art. 21 NIS 2 wymaga środków zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych. Dojrzała kontrola dostępu, działająca kopia zapasowa, przetestowana procedura reagowania na incydenty zwykle służą obu naraz.
Ścieżki zgłaszania się nie pokrywają. Art. 33 GDPR wysyła zawiadomienie o naruszeniu ochrony danych osobowych do organu nadzorczego ds. ochrony danych w ciągu 72 godzin. Art. 23 NIS 2 wysyła wczesne ostrzeżenie do CSIRT lub właściwego organu w ciągu 24 godzin, pełne powiadomienie w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu jednego miesiąca. Inny odbiorca, inna treść, inny zegar. Nie ma połączonego zgłoszenia.
Art. 32 ust. 1 GDPR (rozporządzenie (UE) 2016/679)
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
Klauzula bezpieczeństwa GDPR. Oparta na ryzyku, proporcjonalna, powiązana z prawami i wolnościami osób fizycznych. Art. 32 ust. 2 wymienia pseudonimizację, szyfrowanie, poufność, integralność, dostępność, odporność oraz regularny proces testowania jako rodzaj środków, które administrator i podmiot przetwarzający muszą wziąć pod uwagę. Brzmienie jest celowo bliskie art. 21 ust. 2 NIS 2.
Art. 21 NIS 2 + motyw 14 (dyrektywa (UE) 2022/2555)
Państwa członkowskie zapewniają, by podmioty kluczowe i ważne wprowadzały odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych, które podmioty te wykorzystują w swojej działalności lub do świadczenia swoich usług, oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług i na inne usługi lub minimalizowania tego wpływu. [Art. 21 ust. 1] / Niniejsza dyrektywa pozostaje bez uszczerbku dla rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. [Motyw 14]
Art. 21 ustala obowiązek bezpieczeństwa dla sieci i systemów informatycznych. Art. 21 ust. 2 wymienia następnie dziesięć obszarów środków (polityka ryzyka, obsługa incydentów, ciągłość działania, łańcuch dostaw, bezpieczne nabywanie i rozwój, obsługa podatności, szkolenia, kryptografia, kontrola dostępu i zarządzanie aktywami, uwierzytelnianie wieloskładnikowe). Motyw 14 potwierdza, że GDPR nie jest wyłączone. Oba reżimy stoją obok siebie.
§30 + §32 BSIG wobec art. 33 GDPR (Niemcy)
§30 BSIG transponuje art. 21 NIS 2 do katalogu środków zarządzania ryzykiem w cyberbezpieczeństwie. §32 BSIG transponuje art. 23 NIS 2 do kaskady 24 godz. / 72 godz. / jeden miesiąc do BSI. Art. 33 GDPR pozostaje niezmieniony w rozporządzeniu i stosuje się bezpośrednio wobec organu nadzorczego ds. ochrony danych (BfDI dla organów federalnych i niektórych regulowanych sektorów, organy krajów związkowych dla wszystkich pozostałych).
Dwie niemieckie księgi reguł, dwóch niemieckich odbiorców. §30 BSIG i §32 BSIG trafiają do BSI. Art. 33 GDPR trafia do BfDI lub LfDI. Oba organy współpracują na podstawie art. 23 ust. 11 NIS 2, ale nie łączą swoich akt sprawy. Zgłaszasz dwukrotnie, gdy incydent dotyka obu reżimów.
Wspólny zestaw kontroli
Art. 32 GDPR i art. 21 ust. 2 NIS 2 wymagają tych samych rodzin środków: kontrola dostępu, szyfrowanie, kopie zapasowe i odtwarzanie, reagowanie na incydenty, szkolenia, zarządzanie podatnościami, bezpieczeństwo dostawców. Jeden zestaw środków technicznych i organizacyjnych zwykle spełnia oba. Brzmienie się różni, treść nie.
Dwa zegary zgłaszania
Art. 33 GDPR: 72 godziny do organu nadzorczego ds. ochrony danych od chwili powzięcia wiedzy o naruszeniu ochrony danych osobowych, z treścią określoną w art. 33 ust. 3. Art. 23 NIS 2: 24 godziny wczesne ostrzeżenie, 72 godziny pełne powiadomienie, jeden miesiąc sprawozdanie końcowe do BSI lub krajowego CSIRT. Inny odbiorca, inny próg (naruszenie ochrony danych osobowych a istotny incydent), inny szablon. Działają równolegle.
Dokumentacja musi się bronić sama w każdej teczce
BfDI lub LfDI przeczyta twoją teczkę na podstawie art. 32 i art. 33 GDPR. BSI przeczyta twoją teczkę na podstawie §30 i §32 BSIG. Każdy organ oczekuje powołanej własnej podstawy prawnej, udokumentowanego własnego harmonogramu, własnych dowodów w aktach. Jeden dziennik incydentów może zasilić oba, ale oba zgłoszenia pozostają odrębne.
Uzupełniające się chronione interesy, a nie zbędne obowiązki
GDPR chroni prawa i wolności osób fizycznych, których dane osobowe są przetwarzane. NIS 2 chroni ciągłość operacyjną systemów, od których zależą podmioty kluczowe i ważne. Środki bezpieczeństwa pokrywają się, ponieważ oba reżimy potrzebują tego samego rodzaju kontroli. Obowiązki nie stają się zbędne. Atak ransomware, który blokuje system kartotek pacjentów w szpitalu, jest jednocześnie naruszeniem ochrony danych osobowych na podstawie art. 33 GDPR i istotnym incydentem na podstawie art. 23 NIS 2. Obie teczki muszą zostać otwarte.
Organy współpracują, zgłoszenia się nie łączą
Art. 23 ust. 11 NIS 2 zobowiązuje właściwe organy na podstawie NIS 2 oraz organy nadzorcze ds. ochrony danych do współpracy, gdy incydent dotyczy danych osobowych. Dzielą się informacjami, mogą koordynować swoje postępowanie. Nie prowadzą jednego połączonego dochodzenia i nie wydają jednej połączonej decyzji. Podmiot zgłasza dwukrotnie, na dwóch różnych zegarach, z dwoma różnymi zestawami faktów, które interesują organy.
BSI (właściwy organ NIS 2)
BSI prowadzi cykl nadzoru NIS 2 w Niemczech. Środki z §30 BSIG, zgłaszanie incydentów na podstawie §32 BSIG, rejestracja na podstawie §33 BSIG. BSI jest odbiorcą kaskady 24 godz. / 72 godz. / jeden miesiąc. Nie przegląda twojej teczki z art. 32 GDPR i nie koordynuje twojego zawiadomienia osób, których dane dotyczą, na podstawie art. 34 GDPR.
BfDI oraz organy krajów związkowych (LfDI)
Nadzór nad ochroną danych jest podzielony. BfDI obsługuje organy federalne, operatorów pocztowych i telekomunikacyjnych oraz niektóre inne regulowane obszary. Każdy kraj związkowy ma własny organ ochrony danych (LfDI Baden-Württemberg, LDI NRW, BlnBDI Berlin itd.) dla wszystkich pozostałych. Organ ochrony danych jest odbiorcą powiadomienia z art. 33 GDPR i adresatem kar na podstawie art. 83 GDPR.
ENISA oraz Europejska Rada Ochrony Danych
ENISA koordynuje warstwę cyberbezpieczeństwa między państwami członkowskimi w ramach NIS 2. Europejska Rada Ochrony Danych (EROD) koordynuje warstwę ochrony danych w ramach GDPR. Oba działają obok siebie. Wydają odrębne wytyczne: ENISA dotyczące zgłaszania incydentów i zarządzania ryzykiem, EROD dotyczące art. 33 i art. 34 GDPR. Oba nurty nie łączą się w jeden instrument unijny.
RDI oraz Autoriteit Persoonsgegevens (Holandia)
Holenderski podział odzwierciedla niemiecki. Rijksinspectie Digitale Infrastructuur (RDI) oraz sektorowe właściwe organy obsługują ścieżkę NIS 2. Autoriteit Persoonsgegevens (AP) obsługuje ścieżkę GDPR. Belgia, Francja, Austria stosują podobny wzorzec. Struktura dwóch organów jest domyślna w całej UE.
Jesteśmy zgodni z GDPR, więc NIS 2 też jest pokryte.
GDPR obejmuje dane osobowe. NIS 2 obejmuje sieci i systemy informatyczne niezależnie od tego, czy dane osobowe są w to zaangażowane. Systemy sterowania instalacjami, OT, awaria, która w ogóle nie dotyka danych osobowych, są nadal incydentami NIS 2. Czysta teczka GDPR nie składa twojego powiadomienia na podstawie §32 BSIG i nie spełnia §30 BSIG dla systemów, które nie zawierają żadnych danych osobowych.
Jesteśmy zgodni z NIS 2, więc GDPR też jest pokryte.
NIS 2 zabezpiecza systemy. GDPR zabezpiecza prawa i wolności osób, których dane osobowe te systemy przetwarzają. Dobrze zbudowany zestaw kontroli z §30 BSIG i tak musi zostać udokumentowany w teczce z art. 32 GDPR, w rejestrze czynności przetwarzania na podstawie art. 30 GDPR, w ocenach skutków dla ochrony danych na podstawie art. 35 GDPR. BfDI lub LfDI czyta własną podstawę prawną, a nie BSIG.
Jeden incydent, jedno zgłoszenie. Zgłaszamy do BSI i koniec.
Incydent, który dotyka danych osobowych, uruchamia oba reżimy. Art. 33 GDPR biegnie do organu ochrony danych na swoim 72-godzinnym zegarze. Art. 23 NIS 2 biegnie do BSI na kaskadzie 24 godz. / 72 godz. / jeden miesiąc. Progi nie są identyczne, a odbiorcy nie są ci sami. Otwierasz dwie teczki równolegle, z odniesieniami krzyżowymi, a nie jedno połączone zgłoszenie.
Jeden zestaw kontroli, dwa scenariusze zgłaszania. Typowy 200-osobowy podmiot kluczowy nie utrzymuje dwóch odrębnych katalogów środków technicznych i organizacyjnych. Ta sama polityka kontroli dostępu, ten sam standard szyfrowania, ta sama procedura reagowania na incydenty pojawia się w teczce z art. 32 GDPR i w teczce z §30 BSIG z różnymi stronami tytułowymi. Praca odbywa się raz. Powołana podstawa prawna się różni.
Tam, gdzie oba reżimy się rozchodzą, jest ćwiczenie zgłaszania. Procedura reagowania na incydenty musi w pierwszej godzinie zadać trzy pytania: czy zachodzi naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 GDPR, czy zachodzi istotny incydent w rozumieniu art. 23 ust. 3 NIS 2, czy oba. Jeżeli odpowiedź brzmi: oba, startują dwa równoległe zegary. Inspektor ochrony danych i CISO otwierają odrębne teczki, dzielą się faktami, nie konsolidują zgłoszeń. Czysta wersja tej procedury mieści się na jednej stronie.
Platforma modeluje rejestr obowiązków NIS 2: rejestracja na podstawie art. 27, środki zarządzania ryzykiem z art. 21, zgłaszanie incydentów z art. 23, szkolenie kierownictwa z art. 20. Nie modeluje rejestru czynności przetwarzania GDPR i nie prowadzi twoich ocen skutków dla ochrony danych. Te pozostają w twoich narzędziach ochrony danych, prowadzone przez twojego inspektora ochrony danych, nadzorowane przez twój organ ochrony danych.
Tam, gdzie oba reżimy dzielą dowody (środki techniczne i organizacyjne, klauzule bezpieczeństwa dostawców, zapisy szkoleń), udostępniamy je jako eksportowalne artefakty, które możesz dołączyć także do swojej teczki z art. 32 GDPR. Kaskada incydentów na podstawie §32 BSIG ma własny przepływ pracy na platformie. Powiadomienie z art. 33 GDPR pozostaje tam, gdzie zawsze było, w twoim rejestrze naruszeń ochrony danych.
- Rozporządzenie (UE) 2016/679 (GDPR), art. 4 pkt 12, 32, 33, 34, 83 — eur-lex.europa.eu/eli/reg/2016/679/oj
- Dyrektywa (UE) 2022/2555 (NIS 2), art. 20, 21, 23, 27 oraz motyw 14 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Ustawa o BSI (BSIG), §30 i §32 w brzmieniu ustawy o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa — gesetze-im-internet.de/bsig_2009
- Europejska Rada Ochrony Danych, Wytyczne 9/2022 dotyczące zgłaszania naruszeń ochrony danych osobowych — edpb.europa.eu
- ENISA, Wytyczne techniczne dotyczące wdrożenia środków z art. 21 NIS 2 — enisa.europa.eu