Violação de dados: NIS 2 e GDPR em paralelo
Dois quadros de notificação assentam sobre o mesmo incidente. O artigo 33.º do GDPR corre para a autoridade de proteção de dados. O artigo 23.º da NIS 2 corre para a autoridade de cibersegurança. Não se substituem mutuamente.
Porque um incidente desencadeia dois relógios
Um ataque de ransomware que exfiltra uma base de dados de colaboradores é um único evento. Ao abrigo do artigo 33.º do GDPR é uma violação de dados pessoais. Ao abrigo do artigo 23.º da NIS 2 é um incidente de cibersegurança significativo se perturbar a prestação de serviços, causar perdas financeiras ou prejudicar terceiros. Os dois regimes podem aplicar-se aos mesmos factos ao mesmo tempo.
O considerando 14 da NIS 2 é explícito. A NIS 2 não prejudica a aplicação do GDPR. O relatório de cibersegurança ao abrigo do artigo 23.º da NIS 2 não exonera a obrigação do responsável pelo tratamento ao abrigo do artigo 33.º do GDPR, e a notificação de violação do GDPR não exonera o relatório de cibersegurança.
Esta página descreve os dois quadros lado a lado. Não é aconselhamento jurídico. Uma entidade perante uma violação de dados que cumpre os limiares do artigo 23.º da NIS 2 e do artigo 33.º do GDPR notifica tipicamente em paralelo, com o encarregado da proteção de dados e o responsável de segurança a coordenarem-se sobre uma base factual partilhada.
Artigo 33.º, n.º 1, do GDPR
Em caso de violação de dados pessoais, o responsável pelo tratamento notifica a violação de dados pessoais à autoridade de controlo competente nos termos do artigo 55.º sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares.
O relógio das 72 horas começa quando o responsável pelo tratamento tem conhecimento da violação, não quando o incidente ocorre. O limiar de risco é os direitos e liberdades das pessoas singulares, não o impacto operacional.
Cascata do artigo 23.º, n.º 4, da NIS 2
Os Estados-Membros asseguram que as entidades essenciais e importantes em causa apresentam à CSIRT ou, se for caso disso, à autoridade competente: a) sem demora injustificada e, em qualquer caso, no prazo de 24 horas após terem tido conhecimento do incidente significativo, um alerta precoce; b) sem demora injustificada e, em qualquer caso, no prazo de 72 horas após terem tido conhecimento do incidente significativo, uma notificação de incidente; c) um relatório final, o mais tardar um mês após a apresentação da notificação de incidente nos termos da alínea b).
Três passos para o BSI na Alemanha, a ANSSI em França, o RDI nos Países Baixos. O alerta precoce de 24 horas é o item distintivo. O GDPR não tem um dever de comunicação equivalente na primeira hora.
§32 BSIG (Alemanha)
As entidades importantes e essenciais comunicam os incidentes de segurança significativos ao Serviço Federal sem demora injustificada, seguindo a cascata estabelecida no artigo 23.º, n.º 4, da Diretiva (UE) 2022/2555.
O BSIG transpõe a cascata da NIS 2 para o direito alemão. Não altera o relógio do GDPR. O artigo 33.º do GDPR é um regulamento da UE diretamente aplicável e corre a par do BSIG.
Detetar e triar
A resposta a incidentes identifica que dados pessoais foram acedidos, exfiltrados ou tornados indisponíveis. Os mesmos factos alimentam ambas as avaliações jurídicas. Registos forenses, sistemas afetados, categorias de dados afetadas e titulares dos dados afetados são a base de provas partilhada.
Classificar face a dois limiares
A significância do GDPR depende do risco para os direitos e liberdades das pessoas singulares (artigo 33.º do GDPR). A significância da NIS 2 depende da continuidade operacional, das perdas financeiras ou dos danos materiais ou imateriais a terceiros (artigo 23.º, n.º 3, da NIS 2, especificado pela secção 11.6 do CIR). Um incidente pode ultrapassar um limiar, o outro, ambos ou nenhum.
Notificar em paralelo se ambos os limiares forem cumpridos
Se ambos os limiares forem cumpridos, a autoridade de cibersegurança recebe a cascata do artigo 23.º da NIS 2 e a autoridade de proteção de dados recebe a notificação do artigo 33.º do GDPR. Dois destinatários, dois formatos, dois prazos. O alerta precoce de 24 horas da NIS 2 é, em regra, a primeira coisa a sair.
Dois relógios correm de forma independente
O artigo 23.º, n.º 4, da NIS 2 inicia o relógio do alerta precoce de 24 horas e da notificação de 72 horas no conhecimento do incidente significativo. O artigo 33.º do GDPR inicia um relógio de 72 horas no conhecimento da violação de dados pessoais. Os dois pontos de conhecimento coincidem frequentemente, mas os prazos e os destinatários diferem. Esperar pelo relógio do GDPR antes de notificar o alerta precoce da NIS 2 faz perder a janela de 24 horas.
Factos partilhados, limiares diferentes
Ambas as autoridades querem o que aconteceu, quando, que sistemas, que dados e que mitigação. As questões jurídicas são diferentes. O GDPR pergunta se as pessoas singulares enfrentam um risco para os seus direitos e liberdades. A NIS 2 pergunta se o incidente causa perturbação operacional, perdas financeiras ou danos materiais. O mesmo parágrafo factual pode ser reutilizado; a avaliação de significância não pode.
BSI: Serviço Federal para a Segurança da Informação
Autoridade de cibersegurança ao abrigo do BSIG. Recebe a cascata do artigo 23.º da NIS 2: alerta precoce de 24 horas, notificação de incidente de 72 horas, relatório final de um mês. O canal de comunicação é o portal do BSI para entidades importantes e essenciais.
BfDI / LfDI: autoridades de proteção de dados
O BfDI para organismos federais e responsáveis pelo tratamento do setor das telecomunicações / postal. O LfDI do estado do responsável pelo tratamento para todos os restantes. Recebe a notificação do artigo 33.º do GDPR no prazo de 72 horas. A comunicação do artigo 34.º do GDPR aos titulares dos dados afetados corre adicionalmente quando a violação é suscetível de resultar num risco elevado para os direitos e liberdades.
Dever de coordenação do artigo 23.º, n.º 11, da NIS 2
Quando um incidente envolve dados pessoais, a CSIRT ou a autoridade competente coopera com a autoridade de proteção de dados. Isto significa que as duas autoridades podem partilhar informação sobre o mesmo incidente, mas não dispensa a entidade de nenhum dos deveres de comunicação. O dever de coordenação recai sobre as autoridades, não sobre a entidade.
Notificámos o BfDI no prazo de 72 horas, por isso terminámos.
O artigo 33.º do GDPR dirige-se à autoridade de proteção de dados. O artigo 23.º da NIS 2 dirige-se à autoridade de cibersegurança. Notificar uma não satisfaz a outra. O considerando 14 da NIS 2 confirma que os dois regimes se aplicam de forma independente. Se ambos os limiares forem cumpridos, ambos os relatórios são tipicamente notificados.
Podemos colar o mesmo texto de notificação em ambos os formulários.
Os parágrafos factuais sobre o que aconteceu, quando e que sistemas estão afetados podem ser partilhados. A classificação jurídica é diferente. O GDPR exige uma descrição das consequências prováveis para os titulares dos dados e das medidas para fazer face ao risco para os direitos e liberdades. A NIS 2 exige severidade, impacto e indicadores de comprometimento. Os formulários fazem perguntas diferentes.
Vamos esperar que o encarregado da proteção de dados termine a notificação do GDPR antes de notificarmos o BSI.
O alerta precoce do artigo 23.º, n.º 4, da NIS 2 é devido no prazo de 24 horas após o conhecimento. O relógio de 72 horas do GDPR é mais longo. Sequenciar a cascata da NIS 2 atrás da notificação do GDPR faz tipicamente perder a janela de 24 horas. A maioria dos manuais de resposta inicia primeiro o alerta precoce da NIS 2 e a notificação do GDPR em paralelo.
Faça uma única triagem de incidente. Capte os factos uma vez: cronologia, sistemas afetados, categorias de dados afetadas, número de titulares dos dados, mitigação. Depois divida em duas vias de avaliação. O responsável de segurança conduz a cascata do artigo 23.º da NIS 2. O encarregado da proteção de dados conduz a notificação do artigo 33.º do GDPR. Ambos reportam ao mesmo comandante do incidente.
Se a violação for suscetível de resultar num risco elevado para os direitos e liberdades das pessoas singulares, o artigo 34.º do GDPR acrescenta uma comunicação aos titulares dos dados afetados, para além da notificação à autoridade de controlo. A NIS 2 tem o seu próprio dever de comunicação pública ao abrigo do artigo 23.º, n.º 2, quando o incidente pode afetar os destinatários do serviço.
O módulo de incidentes capta a base factual partilhada uma única vez. Severidade, sistemas afetados, categorias de dados afetadas, cronologia e mitigação alimentam tanto a vista de cascata da NIS 2 como o rascunho da notificação do GDPR. Os prazos de 24 horas e de 72 horas são acompanhados separadamente, com os seus próprios lembretes.
As funções estão separadas. O responsável de segurança é dono da via NIS 2. O encarregado da proteção de dados é dono da via GDPR. Ambos veem a mesma fonte de verdade sobre o incidente. O rasto de auditoria regista que autoridade recebeu o quê e quando.
- Regulamento (UE) 2016/679 (GDPR), artigos 33.º e 34.º
- Diretiva (UE) 2022/2555 (NIS 2), artigo 23.º e considerando 14
- Regulamento de Execução (UE) 2024/2690 da Comissão, secção 11.6 (significância dos incidentes)
- §32 BSIG (transposição do artigo 23.º da NIS 2 na Alemanha)
- Orientações 9/2022 do CEPD sobre a notificação de violações de dados pessoais ao abrigo do GDPR
- Orientação do BSI sobre a comunicação de incidentes significativos ao abrigo do BSIG