Art. 23 NIS 2 + Art. 33 DSGVO

Violação de dados: NIS 2 e GDPR em paralelo

Dois quadros de notificação assentam sobre o mesmo incidente. O artigo 33.º do GDPR corre para a autoridade de proteção de dados. O artigo 23.º da NIS 2 corre para a autoridade de cibersegurança. Não se substituem mutuamente.

Simon OrzelSimon Orzel·

Porque um incidente desencadeia dois relógios

Um ataque de ransomware que exfiltra uma base de dados de colaboradores é um único evento. Ao abrigo do artigo 33.º do GDPR é uma violação de dados pessoais. Ao abrigo do artigo 23.º da NIS 2 é um incidente de cibersegurança significativo se perturbar a prestação de serviços, causar perdas financeiras ou prejudicar terceiros. Os dois regimes podem aplicar-se aos mesmos factos ao mesmo tempo.

O considerando 14 da NIS 2 é explícito. A NIS 2 não prejudica a aplicação do GDPR. O relatório de cibersegurança ao abrigo do artigo 23.º da NIS 2 não exonera a obrigação do responsável pelo tratamento ao abrigo do artigo 33.º do GDPR, e a notificação de violação do GDPR não exonera o relatório de cibersegurança.

Esta página descreve os dois quadros lado a lado. Não é aconselhamento jurídico. Uma entidade perante uma violação de dados que cumpre os limiares do artigo 23.º da NIS 2 e do artigo 33.º do GDPR notifica tipicamente em paralelo, com o encarregado da proteção de dados e o responsável de segurança a coordenarem-se sobre uma base factual partilhada.

Âncora jurídica
Dois regulamentos da UE, uma camada de transposição na Alemanha.

Artigo 33.º, n.º 1, do GDPR

Em caso de violação de dados pessoais, o responsável pelo tratamento notifica a violação de dados pessoais à autoridade de controlo competente nos termos do artigo 55.º sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares.

O relógio das 72 horas começa quando o responsável pelo tratamento tem conhecimento da violação, não quando o incidente ocorre. O limiar de risco é os direitos e liberdades das pessoas singulares, não o impacto operacional.

Cascata do artigo 23.º, n.º 4, da NIS 2

Os Estados-Membros asseguram que as entidades essenciais e importantes em causa apresentam à CSIRT ou, se for caso disso, à autoridade competente: a) sem demora injustificada e, em qualquer caso, no prazo de 24 horas após terem tido conhecimento do incidente significativo, um alerta precoce; b) sem demora injustificada e, em qualquer caso, no prazo de 72 horas após terem tido conhecimento do incidente significativo, uma notificação de incidente; c) um relatório final, o mais tardar um mês após a apresentação da notificação de incidente nos termos da alínea b).

Três passos para o BSI na Alemanha, a ANSSI em França, o RDI nos Países Baixos. O alerta precoce de 24 horas é o item distintivo. O GDPR não tem um dever de comunicação equivalente na primeira hora.

§32 BSIG (Alemanha)

As entidades importantes e essenciais comunicam os incidentes de segurança significativos ao Serviço Federal sem demora injustificada, seguindo a cascata estabelecida no artigo 23.º, n.º 4, da Diretiva (UE) 2022/2555.

O BSIG transpõe a cascata da NIS 2 para o direito alemão. Não altera o relógio do GDPR. O artigo 33.º do GDPR é um regulamento da UE diretamente aplicável e corre a par do BSIG.

O que os dois relatórios realmente contêm
Detete uma vez, classifique face a dois limiares, notifique dois relatórios se ambos forem cumpridos.
Passo 1

Detetar e triar

A resposta a incidentes identifica que dados pessoais foram acedidos, exfiltrados ou tornados indisponíveis. Os mesmos factos alimentam ambas as avaliações jurídicas. Registos forenses, sistemas afetados, categorias de dados afetadas e titulares dos dados afetados são a base de provas partilhada.

Passo 2

Classificar face a dois limiares

A significância do GDPR depende do risco para os direitos e liberdades das pessoas singulares (artigo 33.º do GDPR). A significância da NIS 2 depende da continuidade operacional, das perdas financeiras ou dos danos materiais ou imateriais a terceiros (artigo 23.º, n.º 3, da NIS 2, especificado pela secção 11.6 do CIR). Um incidente pode ultrapassar um limiar, o outro, ambos ou nenhum.

Passo 3

Notificar em paralelo se ambos os limiares forem cumpridos

Se ambos os limiares forem cumpridos, a autoridade de cibersegurança recebe a cascata do artigo 23.º da NIS 2 e a autoridade de proteção de dados recebe a notificação do artigo 33.º do GDPR. Dois destinatários, dois formatos, dois prazos. O alerta precoce de 24 horas da NIS 2 é, em regra, a primeira coisa a sair.

Dois relógios, factos partilhados
Mesmo incidente, duas avaliações jurídicas, dois processos paralelos.

Dois relógios correm de forma independente

O artigo 23.º, n.º 4, da NIS 2 inicia o relógio do alerta precoce de 24 horas e da notificação de 72 horas no conhecimento do incidente significativo. O artigo 33.º do GDPR inicia um relógio de 72 horas no conhecimento da violação de dados pessoais. Os dois pontos de conhecimento coincidem frequentemente, mas os prazos e os destinatários diferem. Esperar pelo relógio do GDPR antes de notificar o alerta precoce da NIS 2 faz perder a janela de 24 horas.

Factos partilhados, limiares diferentes

Ambas as autoridades querem o que aconteceu, quando, que sistemas, que dados e que mitigação. As questões jurídicas são diferentes. O GDPR pergunta se as pessoas singulares enfrentam um risco para os seus direitos e liberdades. A NIS 2 pergunta se o incidente causa perturbação operacional, perdas financeiras ou danos materiais. O mesmo parágrafo factual pode ser reutilizado; a avaliação de significância não pode.

Quem recebe o quê
Destinatários diferentes, dever de coordenação entre eles.
DE

BSI: Serviço Federal para a Segurança da Informação

Autoridade de cibersegurança ao abrigo do BSIG. Recebe a cascata do artigo 23.º da NIS 2: alerta precoce de 24 horas, notificação de incidente de 72 horas, relatório final de um mês. O canal de comunicação é o portal do BSI para entidades importantes e essenciais.

DE

BfDI / LfDI: autoridades de proteção de dados

O BfDI para organismos federais e responsáveis pelo tratamento do setor das telecomunicações / postal. O LfDI do estado do responsável pelo tratamento para todos os restantes. Recebe a notificação do artigo 33.º do GDPR no prazo de 72 horas. A comunicação do artigo 34.º do GDPR aos titulares dos dados afetados corre adicionalmente quando a violação é suscetível de resultar num risco elevado para os direitos e liberdades.

UE

Dever de coordenação do artigo 23.º, n.º 11, da NIS 2

Quando um incidente envolve dados pessoais, a CSIRT ou a autoridade competente coopera com a autoridade de proteção de dados. Isto significa que as duas autoridades podem partilhar informação sobre o mesmo incidente, mas não dispensa a entidade de nenhum dos deveres de comunicação. O dever de coordenação recai sobre as autoridades, não sobre a entidade.

Três erros comuns
Cada um é observável em decisões de aplicação publicadas ou em orientações de APD.
  • Notificámos o BfDI no prazo de 72 horas, por isso terminámos.

    O artigo 33.º do GDPR dirige-se à autoridade de proteção de dados. O artigo 23.º da NIS 2 dirige-se à autoridade de cibersegurança. Notificar uma não satisfaz a outra. O considerando 14 da NIS 2 confirma que os dois regimes se aplicam de forma independente. Se ambos os limiares forem cumpridos, ambos os relatórios são tipicamente notificados.

  • Podemos colar o mesmo texto de notificação em ambos os formulários.

    Os parágrafos factuais sobre o que aconteceu, quando e que sistemas estão afetados podem ser partilhados. A classificação jurídica é diferente. O GDPR exige uma descrição das consequências prováveis para os titulares dos dados e das medidas para fazer face ao risco para os direitos e liberdades. A NIS 2 exige severidade, impacto e indicadores de comprometimento. Os formulários fazem perguntas diferentes.

  • Vamos esperar que o encarregado da proteção de dados termine a notificação do GDPR antes de notificarmos o BSI.

    O alerta precoce do artigo 23.º, n.º 4, da NIS 2 é devido no prazo de 24 horas após o conhecimento. O relógio de 72 horas do GDPR é mais longo. Sequenciar a cascata da NIS 2 atrás da notificação do GDPR faz tipicamente perder a janela de 24 horas. A maioria dos manuais de resposta inicia primeiro o alerta precoce da NIS 2 e a notificação do GDPR em paralelo.

O que os profissionais fazem de facto

Faça uma única triagem de incidente. Capte os factos uma vez: cronologia, sistemas afetados, categorias de dados afetadas, número de titulares dos dados, mitigação. Depois divida em duas vias de avaliação. O responsável de segurança conduz a cascata do artigo 23.º da NIS 2. O encarregado da proteção de dados conduz a notificação do artigo 33.º do GDPR. Ambos reportam ao mesmo comandante do incidente.

Se a violação for suscetível de resultar num risco elevado para os direitos e liberdades das pessoas singulares, o artigo 34.º do GDPR acrescenta uma comunicação aos titulares dos dados afetados, para além da notificação à autoridade de controlo. A NIS 2 tem o seu próprio dever de comunicação pública ao abrigo do artigo 23.º, n.º 2, quando o incidente pode afetar os destinatários do serviço.

Como a plataforma apoia a notificação em paralelo

O módulo de incidentes capta a base factual partilhada uma única vez. Severidade, sistemas afetados, categorias de dados afetadas, cronologia e mitigação alimentam tanto a vista de cascata da NIS 2 como o rascunho da notificação do GDPR. Os prazos de 24 horas e de 72 horas são acompanhados separadamente, com os seus próprios lembretes.

As funções estão separadas. O responsável de segurança é dono da via NIS 2. O encarregado da proteção de dados é dono da via GDPR. Ambos veem a mesma fonte de verdade sobre o incidente. O rasto de auditoria regista que autoridade recebeu o quê e quando.

Fontes primárias
  • Regulamento (UE) 2016/679 (GDPR), artigos 33.º e 34.º
  • Diretiva (UE) 2022/2555 (NIS 2), artigo 23.º e considerando 14
  • Regulamento de Execução (UE) 2024/2690 da Comissão, secção 11.6 (significância dos incidentes)
  • §32 BSIG (transposição do artigo 23.º da NIS 2 na Alemanha)
  • Orientações 9/2022 do CEPD sobre a notificação de violações de dados pessoais ao abrigo do GDPR
  • Orientação do BSI sobre a comunicação de incidentes significativos ao abrigo do BSIG
Verifique se a NIS 2 se aplica a si
Antes do incidente é a altura de saber que canais de comunicação se aplicam. A verificação de aplicabilidade demora cerca de três minutos.