NIS 2 e GDPR: a sobreposição que não é uma fusão
O artigo 32.o do GDPR e o artigo 21.o da NIS 2 pedem muitas das mesmas medidas de segurança. O artigo 33.o do GDPR e o artigo 23.o da NIS 2 são vias de comunicação separadas com relógios separados e autoridades separadas. O considerando 14 da NIS 2 explicita que os dois regimes se complementam. Não colapsam numa só submissão.
A versão curta
O GDPR (Regulamento (UE) 2016/679) protege os direitos e liberdades das pessoas singulares cujos dados pessoais trata. A NIS 2 (Diretiva (UE) 2022/2555) protege a continuidade operacional dos sistemas de redes e de informação nos setores essenciais e importantes. Dois regimes, dois interesses protegidos, controlos técnicos e organizacionais maioritariamente partilhados.
O conjunto de controlos sobrepõe-se fortemente. O artigo 32.o do GDPR pede medidas técnicas e organizacionais adequadas para a segurança dos dados pessoais. O artigo 21.o da NIS 2 pede medidas de gestão de riscos para a segurança dos sistemas de redes e de informação. Um controlo de acesso maduro, uma cópia de segurança funcional, um procedimento de resposta a incidentes testado servem normalmente ambos ao mesmo tempo.
As vias de comunicação não se sobrepõem. O artigo 33.o do GDPR envia uma notificação de violação de dados pessoais à autoridade de controlo da proteção de dados no prazo de 72 horas. O artigo 23.o da NIS 2 envia um aviso prévio ao CSIRT ou à autoridade competente no prazo de 24 horas, uma notificação completa no prazo de 72 horas, e um relatório final no prazo de um mês. Destinatário diferente, conteúdo diferente, relógio diferente. Não há submissão conjunta.
Artigo 32.o, n.o 1 do GDPR (Regulamento (UE) 2016/679)
Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco.
A cláusula de segurança do GDPR. Baseada no risco, proporcionada, ligada aos direitos e liberdades das pessoas singulares. O artigo 32.o, n.o 2 lista a pseudonimização, a cifragem, a confidencialidade, a integridade, a disponibilidade, a resiliência e um processo de teste regular como o tipo de medidas que o responsável pelo tratamento e o subcontratante têm de considerar. A redação está deliberadamente próxima do artigo 21.o, n.o 2 da NIS 2.
Artigo 21.o da NIS 2 + considerando 14 (Diretiva (UE) 2022/2555)
Os Estados-Membros asseguram que as entidades essenciais e importantes tomem medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos que se colocam à segurança dos sistemas de redes e de informação que essas entidades utilizam nas suas operações ou na prestação dos seus serviços, e para evitar ou minimizar o impacto de incidentes nos destinatários dos seus serviços e noutros serviços. [Artigo 21.o, n.o 1] / A presente diretiva não prejudica o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho. [Considerando 14]
O artigo 21.o fixa o dever de segurança para os sistemas de redes e de informação. O artigo 21.o, n.o 2 lista depois as dez áreas de medidas (política de risco, tratamento de incidentes, continuidade do negócio, cadeia de abastecimento, aquisição e desenvolvimento seguros, tratamento de vulnerabilidades, formação, criptografia, controlo de acesso e gestão de ativos, autenticação multifator). O considerando 14 confirma que o GDPR não é afastado. Os dois regimes situam-se lado a lado.
§30 + §32 BSIG vs artigo 33.o do GDPR (Alemanha)
O §30 BSIG transpõe o artigo 21.o da NIS 2 para o catálogo de medidas de gestão de riscos de cibersegurança. O §32 BSIG transpõe o artigo 23.o da NIS 2 para a cascata de 24h / 72h / um mês ao BSI. O artigo 33.o do GDPR mantém-se inalterado no Regulamento e aplica-se diretamente à autoridade de controlo da proteção de dados (BfDI para organismos federais e certos setores regulados, as autoridades dos Länder para todos os outros).
Dois livros de regras alemães, dois destinatários alemães. O §30 BSIG e o §32 BSIG vão para o BSI. O artigo 33.o do GDPR vai para o BfDI ou para o LfDI. As duas autoridades cooperam ao abrigo do artigo 23.o, n.o 11 da NIS 2 mas não fundem os seus processos. Submete duas vezes quando um incidente toca ambos os regimes.
Conjunto de controlos partilhado
O artigo 32.o do GDPR e o artigo 21.o, n.o 2 da NIS 2 pedem as mesmas famílias de medidas: controlo de acesso, cifragem, cópia de segurança e restauro, resposta a incidentes, formação, gestão de vulnerabilidades, segurança de fornecedores. Um único conjunto de medidas técnicas e organizacionais satisfaz normalmente ambos. A redação difere, a substância não.
Dois relógios de comunicação
Artigo 33.o do GDPR: 72 horas para a autoridade de controlo da proteção de dados a partir do momento em que toma conhecimento de uma violação de dados pessoais, com o conteúdo definido no artigo 33.o, n.o 3. Artigo 23.o da NIS 2: 24 horas de aviso prévio, 72 horas de notificação completa, um mês de relatório final ao BSI ou ao CSIRT nacional. Destinatário diferente, limiar diferente (violação de dados pessoais vs incidente significativo), modelo diferente. Correm em paralelo.
A documentação tem de se sustentar por si em cada processo
O BfDI ou o LfDI lerão o seu processo ao abrigo do artigo 32.o e do artigo 33.o do GDPR. O BSI lerá o seu processo ao abrigo do §30 e do §32 BSIG. Cada autoridade espera ver citada a sua própria base legal, a sua própria linha temporal documentada, a sua própria prova em processo. Um único registo de incidentes pode alimentar ambos, mas as duas submissões mantêm-se separadas.
Interesses protegidos complementares, não deveres redundantes
O GDPR protege os direitos e liberdades das pessoas singulares cujos dados pessoais são tratados. A NIS 2 protege a continuidade operacional dos sistemas de que as entidades essenciais e importantes dependem. As medidas de segurança sobrepõem-se porque ambos os regimes precisam do mesmo tipo de controlos. Os deveres não se tornam redundantes. Um ataque de ransomware que bloqueia o sistema de registos de doentes de um hospital é simultaneamente uma violação de dados pessoais ao abrigo do artigo 33.o do GDPR e um incidente significativo ao abrigo do artigo 23.o da NIS 2. Ambos os processos têm de ser abertos.
As autoridades cooperam, as submissões não se fundem
O artigo 23.o, n.o 11 da NIS 2 obriga as autoridades competentes da NIS 2 e as autoridades de controlo da proteção de dados a cooperar quando um incidente envolve dados pessoais. Partilham informação, podem coordenar o seu tratamento. Não conduzem uma investigação combinada e não emitem uma decisão combinada. A entidade submete duas vezes, em dois relógios diferentes, com dois conjuntos diferentes de factos com que as autoridades se preocupam.
BSI (autoridade competente da NIS 2)
O BSI executa o ciclo de supervisão da NIS 2 na Alemanha. Medidas do §30 BSIG, comunicação de incidentes do §32 BSIG, registo do §33 BSIG. O BSI é o destinatário da cascata de 24h / 72h / um mês. Não analisa o seu processo do artigo 32.o do GDPR e não coordena a sua notificação ao titular dos dados ao abrigo do artigo 34.o do GDPR.
BfDI e as autoridades dos Länder (LfDI)
A supervisão da proteção de dados está dividida. O BfDI trata dos organismos federais, dos operadores postais e de telecomunicações e de algumas outras áreas reguladas. Cada Land tem a sua própria autoridade de proteção de dados (LfDI Baden-Württemberg, LDI NRW, BlnBDI Berlin e por aí em diante) para todos os outros. A autoridade de proteção de dados é o destinatário da notificação do artigo 33.o do GDPR e o destinatário das coimas ao abrigo do artigo 83.o do GDPR.
ENISA e o Comité Europeu para a Proteção de Dados
A ENISA coordena a camada de cibersegurança entre os Estados-Membros ao abrigo do quadro da NIS 2. O Comité Europeu para a Proteção de Dados (EDPB) coordena a camada de proteção de dados ao abrigo do GDPR. Os dois trabalham lado a lado. Emitem orientações separadas: a ENISA sobre comunicação de incidentes e gestão de riscos, o EDPB sobre os artigos 33.o e 34.o do GDPR. As duas vertentes não se fundem num só instrumento da UE.
RDI e Autoriteit Persoonsgegevens (Países Baixos)
A divisão neerlandesa espelha a alemã. A Rijksinspectie Digitale Infrastructuur (RDI) e as autoridades competentes setoriais tratam da via da NIS 2. A Autoriteit Persoonsgegevens (AP) trata da via do GDPR. A Bélgica, a França e a Áustria seguem um padrão semelhante. A estrutura de duas autoridades é a regra por defeito em toda a UE.
Estamos em conformidade com o GDPR, por isso a NIS 2 também está coberta.
O GDPR cobre os dados pessoais. A NIS 2 cobre os sistemas de redes e de informação independentemente de estarem envolvidos dados pessoais. Sistemas de controlo de fábrica, OT, uma interrupção que não toca de todo em dados pessoais continuam a ser incidentes da NIS 2. Um processo de GDPR limpo não submete a sua notificação do §32 BSIG e não satisfaz o §30 BSIG em sistemas que não contêm dados pessoais.
Estamos em conformidade com a NIS 2, por isso o GDPR também está coberto.
A NIS 2 protege os sistemas. O GDPR protege os direitos e liberdades das pessoas cujos dados pessoais esses sistemas tratam. Um conjunto de controlos bem construído do §30 BSIG continua a ter de ser documentado no processo do artigo 32.o do GDPR, no registo das atividades de tratamento do artigo 30.o do GDPR, nas avaliações de impacto sobre a proteção de dados do artigo 35.o do GDPR. O BfDI ou o LfDI lê a sua própria base legal, não o BSIG.
Um incidente, um relatório. Submetemos ao BSI e está feito.
Um incidente que afeta dados pessoais aciona ambos os regimes. O artigo 33.o do GDPR corre para a autoridade de proteção de dados no seu relógio de 72 horas. O artigo 23.o da NIS 2 corre para o BSI na cascata de 24h / 72h / um mês. Os limiares não são idênticos e os destinatários não são os mesmos. Abre dois processos em paralelo, com referências cruzadas, não uma submissão conjunta.
Um conjunto de controlos, dois manuais de comunicação. Uma entidade essencial típica de 200 pessoas não mantém dois catálogos separados de medidas técnicas e organizacionais. A mesma política de controlo de acesso, a mesma norma de cifragem, o mesmo procedimento de resposta a incidentes aparece no processo do artigo 32.o do GDPR e no processo do §30 BSIG com folhas de rosto diferentes. O trabalho acontece uma vez. A base legal citada difere.
Onde os dois regimes divergem é no exercício de comunicação. O manual de resposta a incidentes tem de fazer três perguntas na primeira hora: há uma violação de dados pessoais no sentido do artigo 4.o, n.o 12 do GDPR, há um incidente significativo no sentido do artigo 23.o, n.o 3 da NIS 2, há ambos. Se a resposta for ambos, arrancam dois temporizadores em paralelo. O encarregado da proteção de dados e o CISO abrem processos separados, partilham factos, não consolidam as submissões. A versão limpa deste manual cabe numa página.
A plataforma modela o registo de obrigações da NIS 2: registo ao abrigo do artigo 27.o, medidas de gestão de riscos ao abrigo do artigo 21.o, comunicação de incidentes ao abrigo do artigo 23.o, formação da direção ao abrigo do artigo 20.o. Não modela o registo de tratamento do GDPR e não executa as suas avaliações de impacto sobre a proteção de dados. Essas ficam nas suas ferramentas de proteção de dados, executadas pelo seu encarregado da proteção de dados, supervisionadas pela sua autoridade de proteção de dados.
Onde os dois regimes partilham prova (medidas técnicas e organizacionais, cláusulas de segurança de fornecedores, registos de formação) expomos essas como artefactos exportáveis que pode anexar também ao seu processo do artigo 32.o do GDPR. A cascata de incidentes do §32 BSIG tem o seu próprio fluxo de trabalho na plataforma. A notificação do artigo 33.o do GDPR mantém-se onde sempre viveu, no seu registo de violações de proteção de dados.
- Regulamento (UE) 2016/679 (GDPR), artigos 4.o, n.o 12, 32.o, 33.o, 34.o, 83.o. eur-lex.europa.eu/eli/reg/2016/679/oj
- Diretiva (UE) 2022/2555 (NIS 2), artigos 20.o, 21.o, 23.o, 27.o e considerando 14. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Lei do BSI (BSIG), §30 e §32 na redação dada pela Lei de Implementação da NIS2 e de Reforço da Cibersegurança. gesetze-im-internet.de/bsig_2009
- Comité Europeu para a Proteção de Dados, Orientações 9/2022 sobre a notificação de violações de dados pessoais. edpb.europa.eu
- ENISA, Technical Implementation Guidance sobre as medidas do artigo 21.o da NIS 2. enisa.europa.eu