NIS 2 și GDPR: suprapunerea care nu este o fuziune
Articolul 32 GDPR și articolul 21 NIS 2 solicită multe dintre aceleași măsuri de securitate. Articolul 33 GDPR și articolul 23 NIS 2 sunt piste de raportare separate, cu ceasuri separate și autorități separate. Considerentul 14 NIS 2 precizează că cele două regimuri se completează reciproc. Nu se contopesc într-o singură depunere.
Pe scurt
GDPR (Regulamentul (UE) 2016/679) protejează drepturile și libertățile persoanelor fizice ale căror date cu caracter personal le prelucrați. NIS 2 (Directiva (UE) 2022/2555) protejează continuitatea operațională a rețelelor și sistemelor informatice din sectoarele esențiale și importante. Două regimuri, două interese protejate, în mare parte aceleași controale tehnice și organizatorice.
Setul de controale se suprapune puternic. Articolul 32 GDPR solicită măsuri tehnice și organizatorice adecvate pentru securitatea datelor cu caracter personal. Articolul 21 NIS 2 solicită măsuri de gestionare a riscurilor pentru securitatea rețelelor și sistemelor informatice. Un control al accesului matur, o copie de rezervă funcțională, o procedură de răspuns la incidente testată servesc de obicei la ambele deodată.
Pistele de raportare nu se suprapun. Articolul 33 GDPR trimite o notificare de încălcare a datelor cu caracter personal autorității de supraveghere pentru protecția datelor în termen de 72 de ore. Articolul 23 NIS 2 trimite o avertizare timpurie către CSIRT sau autoritatea competentă în termen de 24 de ore, o notificare completă în termen de 72 de ore și un raport final în termen de o lună. Destinatar diferit, conținut diferit, ceas diferit. Nu există o depunere comună.
Articolul 32(1) GDPR (Regulamentul (UE) 2016/679)
Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de operator implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc.
Clauza de securitate a GDPR. Bazată pe risc, proporțională, atașată drepturilor și libertăților persoanelor fizice. Articolul 32(2) enumeră pseudonimizarea, criptarea, confidențialitatea, integritatea, disponibilitatea, reziliența și un proces periodic de testare ca tipul de măsuri pe care operatorul și persoana împuternicită de operator trebuie să le ia în considerare. Formularea este deliberat apropiată de articolul 21(2) NIS 2.
Articolul 21 NIS 2 + considerentul 14 (Directiva (UE) 2022/2555)
Statele membre se asigură că entitățile esențiale și importante iau măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile la adresa securității rețelelor și sistemelor informatice pe care aceste entități le utilizează pentru operațiunile lor sau pentru furnizarea serviciilor lor și pentru a preveni sau a reduce la minimum impactul incidentelor asupra destinatarilor serviciilor lor și asupra altor servicii. [Articolul 21(1)] / Prezenta directivă nu aduce atingere Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului. [Considerentul 14]
Articolul 21 stabilește obligația de securitate pentru rețelele și sistemele informatice. Articolul 21(2) enumeră apoi cele zece domenii de măsuri (politica de risc, tratarea incidentelor, continuitatea activității, lanțul de aprovizionare, achiziția și dezvoltarea sigure, tratarea vulnerabilităților, formare, criptografie, control al accesului și gestionarea activelor, autentificarea cu mai mulți factori). Considerentul 14 confirmă că GDPR nu este înlocuit. Cele două regimuri stau unul lângă celălalt.
§30 + §32 BSIG vs articolul 33 GDPR (Germania)
§30 BSIG transpune articolul 21 NIS 2 în catalogul măsurilor de gestionare a riscurilor în materie de securitate cibernetică. §32 BSIG transpune articolul 23 NIS 2 în cascada de 24h / 72h / o lună către BSI. Articolul 33 GDPR rămâne neschimbat în regulament și se aplică direct autorității de supraveghere pentru protecția datelor (BfDI pentru organismele federale și anumite sectoare reglementate, autoritățile de land pentru toți ceilalți).
Două seturi de reguli germane, doi destinatari germani. §30 BSIG și §32 BSIG merg la BSI. Articolul 33 GDPR merge la BfDI sau LfDI. Cele două autorități cooperează conform articolului 23(11) NIS 2, dar nu își contopesc dosarele de caz. Depuneți de două ori atunci când un incident atinge ambele regimuri.
Set de controale comun
Articolul 32 GDPR și articolul 21(2) NIS 2 solicită aceleași familii de măsuri: control al accesului, criptare, copie de rezervă și restaurare, răspuns la incidente, formare, gestionarea vulnerabilităților, securitatea furnizorilor. Un singur set de măsuri tehnice și organizatorice satisface de obicei ambele. Formularea diferă, fondul nu.
Două ceasuri de raportare
Articolul 33 GDPR: 72 de ore către autoritatea de supraveghere pentru protecția datelor odată ce luați cunoștință de o încălcare a datelor cu caracter personal, cu conținut definit în articolul 33(3). Articolul 23 NIS 2: 24 de ore avertizare timpurie, 72 de ore notificare completă, o lună raport final către BSI sau CSIRT-ul național. Destinatar diferit, prag diferit (încălcare a datelor cu caracter personal vs incident semnificativ), șablon diferit. Rulează în paralel.
Documentația trebuie să stea în picioare în fiecare dosar
BfDI sau LfDI vă va citi dosarul conform articolului 32 și articolului 33 GDPR. BSI vă va citi dosarul conform §30 și §32 BSIG. Fiecare autoritate se așteaptă să fie citat propriul temei juridic, propria cronologie documentată, propriile dovezi la dosar. Un singur jurnal de incidente poate alimenta ambele, dar cele două depuneri rămân separate.
Interese protejate complementare, nu obligații redundante
GDPR protejează drepturile și libertățile persoanelor fizice ale căror date cu caracter personal sunt prelucrate. NIS 2 protejează continuitatea operațională a sistemelor de care depind entitățile esențiale și importante. Măsurile de securitate se suprapun deoarece ambele regimuri au nevoie de același tip de controale. Obligațiile nu devin redundante. Un atac de tip ransomware care blochează sistemul de evidență a pacienților unui spital este atât o încălcare a datelor cu caracter personal conform articolului 33 GDPR, cât și un incident semnificativ conform articolului 23 NIS 2. Ambele dosare trebuie deschise.
Autoritățile cooperează, depunerile nu fuzionează
Articolul 23(11) NIS 2 obligă autoritățile competente conform NIS 2 și autoritățile de supraveghere pentru protecția datelor să coopereze atunci când un incident implică date cu caracter personal. Ele fac schimb de informații, pot coordona tratarea. Nu desfășoară o singură investigație combinată și nu emit o singură decizie combinată. Entitatea depune de două ori, pe două ceasuri diferite, cu două seturi diferite de fapte care îi interesează pe autorități.
BSI (autoritatea competentă NIS 2)
BSI rulează ciclul de supraveghere NIS 2 în Germania. Măsurile conform §30 BSIG, raportarea incidentelor conform §32 BSIG, înregistrarea conform §33 BSIG. BSI este destinatarul cascadei de 24h / 72h / o lună. Nu vă revizuiește dosarul conform articolului 32 GDPR și nu vă coordonează notificarea persoanelor vizate conform articolului 34 GDPR.
BfDI și autoritățile de land (LfDI)
Supravegherea protecției datelor este împărțită. BfDI gestionează organismele federale, operatorii poștali și de telecomunicații și alte câteva domenii reglementate. Fiecare land are propria autoritate de protecție a datelor (LfDI Baden-Württemberg, LDI NRW, BlnBDI Berlin și așa mai departe) pentru toți ceilalți. Autoritatea de protecție a datelor este destinatarul notificării conform articolului 33 GDPR și destinatarul amenzilor conform articolului 83 GDPR.
ENISA și Comitetul european pentru protecția datelor
ENISA coordonează stratul de securitate cibernetică între statele membre în cadrul NIS 2. Comitetul european pentru protecția datelor (CEPD) coordonează stratul de protecție a datelor în cadrul GDPR. Cele două lucrează una lângă cealaltă. Emit orientări separate: ENISA privind raportarea incidentelor și gestionarea riscurilor, CEPD privind articolele 33 și 34 GDPR. Cele două fire nu fuzionează într-un singur instrument al UE.
RDI și Autoriteit Persoonsgegevens (Țările de Jos)
Împărțirea olandeză o reflectă pe cea germană. Rijksinspectie Digitale Infrastructuur (RDI) și autoritățile competente sectoriale gestionează pista NIS 2. Autoriteit Persoonsgegevens (AP) gestionează pista GDPR. Belgia, Franța, Austria au un model similar. Structura cu două autorități este cea implicită în întreaga UE.
Suntem conformi cu GDPR, deci NIS 2 este acoperit și el.
GDPR acoperă datele cu caracter personal. NIS 2 acoperă rețelele și sistemele informatice independent de dacă sunt implicate date cu caracter personal. Sistemele de control al instalațiilor, OT, o întrerupere care nu atinge deloc date cu caracter personal sunt în continuare incidente NIS 2. Un dosar GDPR curat nu vă depune notificarea conform §32 BSIG și nu satisface §30 BSIG pe sisteme care nu conțin date cu caracter personal.
Suntem conformi cu NIS 2, deci GDPR este acoperit și el.
NIS 2 securizează sistemele. GDPR securizează drepturile și libertățile persoanelor ale căror date cu caracter personal le prelucrează acele sisteme. Un set de controale bine construit conform §30 BSIG trebuie totuși documentat în dosarul conform articolului 32 GDPR, în evidențele activităților de prelucrare conform articolului 30 GDPR, în evaluările impactului asupra protecției datelor conform articolului 35 GDPR. BfDI sau LfDI citește propriul temei juridic, nu BSIG.
Un incident, un raport. Depunem la BSI și am terminat.
Un incident care afectează date cu caracter personal declanșează ambele regimuri. Articolul 33 GDPR merge la autoritatea de protecție a datelor pe ceasul său de 72 de ore. Articolul 23 NIS 2 merge la BSI pe cascada de 24h / 72h / o lună. Pragurile nu sunt identice, iar destinatarii nu sunt aceiași. Deschideți două dosare în paralel, cu referințe încrucișate, nu o singură depunere comună.
Un singur set de controale, două manuale de raportare. O entitate esențială tipică de 200 de persoane nu menține două cataloage separate de măsuri tehnice și organizatorice. Aceeași politică de control al accesului, același standard de criptare, aceeași procedură de răspuns la incidente apare în dosarul conform articolului 32 GDPR și în dosarul conform §30 BSIG, cu pagini de copertă diferite. Munca se face o singură dată. Temeiul juridic citat diferă.
Unde diverg cele două regimuri este exercițiul de raportare. Manualul de răspuns la incidente trebuie să pună trei întrebări în prima oră: există o încălcare a datelor cu caracter personal în sensul articolului 4(12) GDPR, există un incident semnificativ în sensul articolului 23(3) NIS 2, sunt ambele. Dacă răspunsul este ambele, pornesc două cronometre paralele. Responsabilul cu protecția datelor și CISO deschid dosare separate, fac schimb de fapte, nu consolidează depunerile. Versiunea curată a acestui manual încape pe o pagină.
Platforma modelează registrul de obligații NIS 2: înregistrarea conform articolului 27, măsurile de gestionare a riscurilor conform articolului 21, raportarea incidentelor conform articolului 23, formarea conducerii conform articolului 20. Nu modelează registrul de prelucrare GDPR și nu vă rulează evaluările impactului asupra protecției datelor. Acelea rămân în instrumentele dvs. de protecție a datelor, operate de responsabilul dvs. cu protecția datelor, supravegheate de autoritatea dvs. de protecție a datelor.
Unde cele două regimuri împart dovezi (măsuri tehnice și organizatorice, clauze de securitate a furnizorilor, evidențe de formare), le expunem ca artefacte exportabile pe care le puteți atașa și la dosarul dvs. conform articolului 32 GDPR. Cascada de incidente conform §32 BSIG are propriul flux de lucru pe platformă. Notificarea conform articolului 33 GDPR rămâne acolo unde a stat dintotdeauna, în registrul dvs. de încălcări privind protecția datelor.
- Regulamentul (UE) 2016/679 (GDPR), articolele 4(12), 32, 33, 34, 83. eur-lex.europa.eu/eli/reg/2016/679/oj
- Directiva (UE) 2022/2555 (NIS 2), articolele 20, 21, 23, 27 și considerentul 14. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Legea BSI (BSIG), §30 și §32 astfel cum au fost modificate prin Legea de punere în aplicare a NIS2 și de consolidare a securității cibernetice. gesetze-im-internet.de/bsig_2009
- Comitetul european pentru protecția datelor, Orientările 9/2022 privind notificarea încălcării datelor cu caracter personal. edpb.europa.eu
- ENISA, Orientarea tehnică de punere în aplicare privind măsurile din articolul 21 NIS 2. enisa.europa.eu