Naruszenie danych: NIS 2 i GDPR równolegle
Na tym samym incydencie opierają się dwie ramy zgłaszania. Artykuł 33 GDPR biegnie do organu ochrony danych. Artykuł 23 NIS 2 biegnie do organu ds. cyberbezpieczeństwa. Nie zastępują się nawzajem.
Dlaczego jeden incydent uruchamia dwa zegary
Atak ransomware, który wykrada bazę danych pracowników, to jedno zdarzenie. Na podstawie artykułu 33 GDPR jest to naruszenie ochrony danych osobowych. Na podstawie artykułu 23 NIS 2 jest to poważny incydent cyberbezpieczeństwa, jeśli zakłóca świadczenie usług, powoduje stratę finansową lub szkodzi osobom trzecim. Oba reżimy mogą mieć zastosowanie do tych samych faktów w tym samym czasie.
Motyw 14 NIS 2 jest wyraźny. NIS 2 nie wpływa na stosowanie GDPR. Zgłoszenie cyberbezpieczeństwa na podstawie artykułu 23 NIS 2 nie zwalnia z obowiązku administratora na podstawie artykułu 33 GDPR, a zawiadomienie o naruszeniu GDPR nie zwalnia ze zgłoszenia cyberbezpieczeństwa.
Ta strona opisuje obie ramy obok siebie. Nie jest poradą prawną. Podmiot stojący w obliczu naruszenia danych, które spełnia progi zarówno artykułu 23 NIS 2, jak i artykułu 33 GDPR, zwykle składa zgłoszenia równolegle, przy czym inspektor ochrony danych i kierownik bezpieczeństwa koordynują się na wspólnej podstawie faktycznej.
Artykuł 33(1) GDPR
In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons.
Zegar 72-godzinny rusza, gdy administrator dowiaduje się o naruszeniu, a nie gdy incydent zachodzi. Progiem ryzyka są prawa i wolności osób fizycznych, a nie wpływ operacyjny.
Kaskada z artykułu 23(4) NIS 2
Member States shall ensure that the essential and important entities concerned submit to the CSIRT or, where applicable, the competent authority: (a) without undue delay and in any event within 24 hours of becoming aware of the significant incident, an early warning; (b) without undue delay and in any event within 72 hours of becoming aware of the significant incident, an incident notification; (c) a final report not later than one month after the submission of the incident notification under point (b).
Trzy kroki do BSI w Niemczech, ANSSI we Francji, RDI w Holandii. Wczesne ostrzeżenie 24-godzinne to wyróżniająca pozycja. GDPR nie ma odpowiednika obowiązku zgłoszenia w pierwszej godzinie.
BSIG sekcja 32 (Niemcy)
Important and essential entities shall report significant security incidents to the Federal Office without undue delay, following the cascade set out in Article 23(4) of Directive (EU) 2022/2555.
BSIG transponuje kaskadę NIS 2 do prawa niemieckiego. Nie zmienia zegara GDPR. Artykuł 33 GDPR jest bezpośrednio stosowanym rozporządzeniem UE i biegnie obok BSIG.
Wykryj i przeprowadź triaż
Reagowanie na incydent ustala, że dane osobowe zostały udostępnione, wykradzione lub uczynione niedostępnymi. Te same fakty zasilają obie oceny prawne. Dzienniki śledcze, dotknięte systemy, dotknięte kategorie danych oraz dotknięte osoby, których dane dotyczą, stanowią wspólną podstawę dowodową.
Sklasyfikuj względem dwóch progów
Istotność w GDPR zależy od ryzyka dla praw i wolności osób fizycznych (artykuł 33 GDPR). Istotność w NIS 2 zależy od ciągłości operacyjnej, straty finansowej lub szkody majątkowej bądź niemajątkowej dla osób trzecich (artykuł 23(3) NIS 2, doprecyzowany przez CIR sekcja 11.6). Jeden incydent może przekroczyć jeden próg, drugi, oba albo żaden.
Złóż równolegle, jeśli oba progi są spełnione
Jeśli oba progi są spełnione, organ ds. cyberbezpieczeństwa otrzymuje kaskadę z artykułu 23 NIS 2, a organ ochrony danych otrzymuje zawiadomienie z artykułu 33 GDPR. Dwóch odbiorców, dwa formaty, dwa terminy. Wczesne ostrzeżenie 24-godzinne NIS 2 to zwykle pierwsza rzecz, która wychodzi za drzwi.
Dwa zegary biegną niezależnie
Artykuł 23(4) NIS 2 uruchamia zegar wczesnego ostrzeżenia 24-godzinnego i zgłoszenia 72-godzinnego z chwilą powzięcia wiedzy o poważnym incydencie. Artykuł 33 GDPR uruchamia zegar 72-godzinny z chwilą powzięcia wiedzy o naruszeniu ochrony danych osobowych. Oba momenty powzięcia wiedzy często się pokrywają, ale terminy i odbiorcy się różnią. Czekanie na zegar GDPR przed złożeniem wczesnego ostrzeżenia NIS 2 powoduje przekroczenie okna 24-godzinnego.
Wspólne fakty, różne progi
Oba organy chcą wiedzieć, co się stało, kiedy, jakie systemy, jakie dane i jakie środki zaradcze. Pytania prawne są różne. GDPR pyta, czy osoby fizyczne są narażone na ryzyko dla swoich praw i wolności. NIS 2 pyta, czy incydent powoduje zakłócenie operacyjne, stratę finansową lub szkodę majątkową. Ten sam akapit faktyczny można ponownie wykorzystać; oceny istotności nie można.
BSI: Federalny Urząd ds. Bezpieczeństwa Informacji
Organ ds. cyberbezpieczeństwa na podstawie BSIG. Otrzymuje kaskadę z artykułu 23 NIS 2: wczesne ostrzeżenie 24-godzinne, zgłoszenie incydentu 72-godzinne, raport końcowy w ciągu jednego miesiąca. Kanałem zgłaszania jest portal BSI dla podmiotów ważnych i kluczowych.
BfDI / LfDI: organy ochrony danych
BfDI dla organów federalnych oraz administratorów z sektora telekomunikacyjnego i pocztowego. LfDI kraju związkowego administratora dla wszystkich pozostałych. Otrzymuje zawiadomienie z artykułu 33 GDPR w ciągu 72 godzin. Zawiadomienie osób, których dane dotyczą, na podstawie artykułu 34 GDPR biegnie dodatkowo, gdy naruszenie może powodować wysokie ryzyko dla praw i wolności.
Obowiązek koordynacji z artykułu 23(11) NIS 2
Gdy incydent obejmuje dane osobowe, CSIRT lub właściwy organ współpracuje z organem ochrony danych. Oznacza to, że oba organy mogą dzielić się informacjami o tym samym incydencie, ale nie zwalnia to podmiotu z żadnego z obowiązków zgłoszeniowych. Obowiązek koordynacji spoczywa na organach, a nie na podmiocie.
Złożyliśmy zgłoszenie do BfDI w ciągu 72 godzin, więc skończyliśmy.
Artykuł 33 GDPR jest adresowany do organu ochrony danych. Artykuł 23 NIS 2 jest adresowany do organu ds. cyberbezpieczeństwa. Złożenie do jednego nie spełnia drugiego. Motyw 14 NIS 2 potwierdza, że oba reżimy mają zastosowanie niezależnie. Jeśli oba progi są spełnione, zwykle składa się oba zgłoszenia.
Możemy wkleić ten sam tekst zawiadomienia do obu formularzy.
Akapity faktyczne o tym, co się stało, kiedy i jakie systemy zostały dotknięte, można współdzielić. Kwalifikacja prawna jest różna. GDPR wymaga opisu prawdopodobnych konsekwencji dla osób, których dane dotyczą, oraz środków zaradczych wobec ryzyka dla praw i wolności. NIS 2 wymaga dotkliwości, wpływu oraz wskaźników naruszenia bezpieczeństwa. Formularze zadają różne pytania.
Poczekamy, aż inspektor ochrony danych skończy zawiadomienie GDPR, zanim złożymy zgłoszenie do BSI.
Wczesne ostrzeżenie z artykułu 23(4) NIS 2 jest wymagane w ciągu 24 godzin od powzięcia wiedzy. Zegar 72-godzinny GDPR jest dłuższy. Ustawienie kaskady NIS 2 za zawiadomieniem GDPR zwykle powoduje przekroczenie okna 24-godzinnego. Większość scenariuszy reakcji rozpoczyna najpierw wczesne ostrzeżenie NIS 2, a zawiadomienie GDPR równolegle.
Przeprowadź jeden triaż incydentu. Ujmij fakty raz: oś czasu, dotknięte systemy, dotknięte kategorie danych, liczbę osób, których dane dotyczą, środki zaradcze. Następnie rozdziel na dwie ścieżki oceny. Kierownik bezpieczeństwa prowadzi kaskadę z artykułu 23 NIS 2. Inspektor ochrony danych prowadzi zawiadomienie z artykułu 33 GDPR. Oboje raportują do tego samego koordynatora incydentu.
Jeśli naruszenie może powodować wysokie ryzyko dla praw i wolności osób fizycznych, artykuł 34 GDPR dodaje zawiadomienie osób, których dane dotyczą, na szczycie zawiadomienia organu nadzorczego. NIS 2 ma własny obowiązek komunikacji publicznej na podstawie artykułu 23(2), gdy incydent może dotknąć odbiorców usług.
Moduł incydentów ujmuje wspólną podstawę faktyczną jeden raz. Dotkliwość, dotknięte systemy, dotknięte kategorie danych, oś czasu i środki zaradcze zasilają zarówno widok kaskady NIS 2, jak i projekt zawiadomienia GDPR. Terminy 24-godzinny i 72-godzinny są śledzone osobno z własnymi przypomnieniami.
Role są rozdzielone. Kierownik bezpieczeństwa jest właścicielem ścieżki NIS 2. Inspektor ochrony danych jest właścicielem ścieżki GDPR. Oboje widzą to samo źródło prawdy o incydencie. Ślad audytowy rejestruje, który organ co i kiedy otrzymał.
- Regulation (EU) 2016/679 (GDPR), Articles 33 and 34
- Directive (EU) 2022/2555 (NIS 2), Article 23 and Recital 14
- Commission Implementing Regulation (EU) 2024/2690, section 11.6 (significance of incidents)
- BSIG section 32 (transposition of Article 23 NIS 2 in Germany)
- EDPB Guidelines 9/2022 on personal data breach notification under GDPR
- BSI guidance on reporting significant incidents under BSIG