Breșă de date: NIS 2 și GDPR în paralel
Două cadre de raportare stau pe același incident. Articolul 33 GDPR merge la autoritatea de protecție a datelor. Articolul 23 NIS 2 merge la autoritatea de securitate cibernetică. Nu se înlocuiesc reciproc.
De ce un incident declanșează două ceasuri
Un atac ransomware care exfiltrează o bază de date a angajaților este un singur eveniment. Conform Articolului 33 GDPR este o breșă de date cu caracter personal. Conform Articolului 23 NIS 2 este un incident semnificativ de securitate cibernetică dacă perturbă furnizarea serviciului, provoacă pierderi financiare sau prejudiciază terți. Cele două regimuri se pot aplica acelorași fapte în același timp.
Considerentul 14 NIS 2 este explicit. NIS 2 nu aduce atingere aplicării GDPR. Raportul de securitate cibernetică din Articolul 23 NIS 2 nu eliberează operatorul de obligația din Articolul 33 GDPR, iar notificarea de breșă GDPR nu eliberează de raportul de securitate cibernetică.
Această pagină descrie cele două cadre una lângă alta. Nu este consultanță juridică. O entitate care se confruntă cu o breșă de date ce îndeplinește atât pragurile Articolului 23 NIS 2, cât și ale Articolului 33 GDPR depune de regulă în paralel, responsabilul cu protecția datelor și responsabilul de securitate coordonând pe o bază factuală comună.
Articolul 33(1) GDPR
În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică această încălcare autorității de supraveghere competente în conformitate cu articolul 55 fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care încălcarea securității datelor cu caracter personal nu este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.
Ceasul de 72 de ore pornește când operatorul ia cunoștință de breșă, nu când are loc incidentul. Pragul de risc este drepturile și libertățile persoanelor fizice, nu impactul operațional.
Cascada Articolului 23(4) NIS 2
Statele membre se asigură că entitățile esențiale și importante vizate transmit CSIRT-ului sau, după caz, autorității competente: (a) fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore de la luarea la cunoștință a incidentului semnificativ, o avertizare timpurie; (b) fără întârzieri nejustificate și, în orice caz, în termen de 72 de ore de la luarea la cunoștință a incidentului semnificativ, o notificare a incidentului; (c) un raport final în termen de cel mult o lună de la transmiterea notificării incidentului în temeiul literei (b).
Trei pași către BSI în Germania, ANSSI în Franța, RDI în Țările de Jos. Avertizarea timpurie de 24 de ore este elementul distinctiv. GDPR nu are o obligație echivalentă de raportare în prima oră.
BSIG articolul 32 (Germania)
Entitățile importante și esențiale raportează incidentele de securitate semnificative către Oficiul Federal fără întârzieri nejustificate, urmând cascada prevăzută la articolul 23(4) din Directiva (UE) 2022/2555.
BSIG transpune cascada NIS 2 în dreptul german. Nu schimbă ceasul GDPR. Articolul 33 GDPR este regulament UE direct aplicabil și rulează în paralel cu BSIG.
Detectare și triere
Răspunsul la incident identifică faptul că date cu caracter personal au fost accesate, exfiltrate sau făcute indisponibile. Aceleași fapte alimentează ambele evaluări juridice. Jurnalele forensice, sistemele afectate, categoriile de date afectate și persoanele vizate afectate sunt baza de probe comună.
Clasificare față de două praguri
Semnificația GDPR se bazează pe riscul pentru drepturile și libertățile persoanelor fizice (Articolul 33 GDPR). Semnificația NIS 2 se bazează pe continuitatea operațională, pierderile financiare sau prejudiciul material ori nematerial adus terților (Articolul 23(3) NIS 2, precizat de secțiunea 11.6 din CIR). Un incident poate traversa un prag, celălalt, ambele sau niciunul.
Depuneți în paralel dacă ambele praguri sunt îndeplinite
Dacă ambele praguri sunt îndeplinite, autoritatea de securitate cibernetică primește cascada din Articolul 23 NIS 2, iar autoritatea de protecție a datelor primește notificarea din Articolul 33 GDPR. Doi destinatari, două formate, două termene. Avertizarea timpurie NIS 2 de 24 de ore este de regulă primul lucru care iese pe ușă.
Două ceasuri rulează independent
Articolul 23(4) NIS 2 pornește ceasul de avertizare timpurie de 24 de ore și de notificare de 72 de ore la luarea la cunoștință a incidentului semnificativ. Articolul 33 GDPR pornește un ceas de 72 de ore la luarea la cunoștință a breșei de date cu caracter personal. Cele două momente de luare la cunoștință coincid adesea, dar termenele și destinatarii diferă. A aștepta ceasul GDPR înainte de a depune avertizarea timpurie NIS 2 ratează fereastra de 24 de ore.
Fapte comune, praguri diferite
Ambele autorități vor să știe ce s-a întâmplat, când, ce sisteme, ce date și ce măsuri de remediere. Întrebările juridice sunt diferite. GDPR întreabă dacă persoanele fizice se confruntă cu un risc pentru drepturile și libertățile lor. NIS 2 întreabă dacă incidentul provoacă perturbare operațională, pierderi financiare sau prejudiciu material. Același paragraf factual poate fi reutilizat; evaluarea semnificației, nu.
BSI: Oficiul Federal pentru Securitatea Informației
Autoritatea de securitate cibernetică conform BSIG. Primește cascada din Articolul 23 NIS 2: avertizare timpurie de 24 de ore, notificare de incident de 72 de ore, raport final de o lună. Canalul de raportare este portalul BSI pentru entitățile importante și esențiale.
BfDI / LfDI: autorități de protecție a datelor
BfDI pentru organele federale și operatorii din sectorul telecomunicațiilor și poștal. LfDI al landului operatorului pentru toți ceilalți. Primește notificarea din Articolul 33 GDPR în termen de 72 de ore. Notificarea din Articolul 34 GDPR către persoanele vizate afectate rulează suplimentar acolo unde breșa este susceptibilă să genereze un risc ridicat pentru drepturi și libertăți.
Obligația de coordonare din Articolul 23(11) NIS 2
Atunci când un incident implică date cu caracter personal, CSIRT-ul sau autoritatea competentă cooperează cu autoritatea de protecție a datelor. Asta înseamnă că cele două autorități pot face schimb de informații despre același incident, dar nu eliberează entitatea de niciuna dintre obligațiile de raportare. Obligația de a coordona revine autorităților, nu entității.
Am depus la BfDI în 72 de ore, deci am terminat.
Articolul 33 GDPR se adresează autorității de protecție a datelor. Articolul 23 NIS 2 se adresează autorității de securitate cibernetică. Depunerea la una nu o satisface pe cealaltă. Considerentul 14 NIS 2 confirmă că cele două regimuri se aplică independent. Dacă ambele praguri sunt îndeplinite, ambele rapoarte se depun de regulă.
Putem lipi același text de notificare în ambele formulare.
Paragrafele factuale despre ce s-a întâmplat, când și ce sisteme sunt afectate pot fi comune. Clasificarea juridică este diferită. GDPR cere o descriere a consecințelor probabile pentru persoanele vizate și a măsurilor de abordare a riscului pentru drepturi și libertăți. NIS 2 cere gravitatea, impactul și indicatorii de compromitere. Formularele pun întrebări diferite.
Vom aștepta ca responsabilul cu protecția datelor să finalizeze notificarea GDPR înainte să depunem la BSI.
Avertizarea timpurie din Articolul 23(4) NIS 2 este datorată în termen de 24 de ore de la luarea la cunoștință. Ceasul GDPR de 72 de ore este mai lung. Plasarea cascadei NIS 2 în urma notificării GDPR ratează de regulă fereastra de 24 de ore. Majoritatea manualelor de răspuns încep întâi cu avertizarea timpurie NIS 2 și cu notificarea GDPR în paralel.
Rulați o singură triere a incidentului. Surprindeți faptele o dată: cronologie, sisteme afectate, categorii de date afectate, număr de persoane vizate, măsuri de remediere. Apoi împărțiți în două căi de evaluare. Responsabilul de securitate conduce cascada din Articolul 23 NIS 2. Responsabilul cu protecția datelor conduce notificarea din Articolul 33 GDPR. Ambii raportează aceluiași comandant de incident.
Dacă breșa este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, Articolul 34 GDPR adaugă o notificare către persoanele vizate afectate, peste notificarea către autoritatea de supraveghere. NIS 2 are propria obligație de comunicare publică conform Articolului 23(2) acolo unde incidentul poate afecta beneficiarii serviciului.
Modulul de incident surprinde baza factuală comună o dată. Gravitatea, sistemele afectate, categoriile de date afectate, cronologia și măsurile de remediere alimentează atât vederea cascadei NIS 2, cât și ciorna notificării GDPR. Termenele de 24 de ore și 72 de ore sunt urmărite separat, cu propriile lor mementouri.
Rolurile sunt împărțite. Responsabilul de securitate deține calea NIS 2. Responsabilul cu protecția datelor deține calea GDPR. Ambii văd aceeași sursă de adevăr privind incidentul. Urma de audit consemnează ce autoritate a primit ce și când.
- Regulamentul (UE) 2016/679 (GDPR), Articolele 33 și 34
- Directiva (UE) 2022/2555 (NIS 2), Articolul 23 și Considerentul 14
- Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei, secțiunea 11.6 (semnificația incidentelor)
- BSIG secțiunea 32 (transpunerea Articolului 23 NIS 2 în Germania)
- Orientările EDPB 9/2022 privind notificarea încălcării securității datelor cu caracter personal sub GDPR
- Ghidul BSI privind raportarea incidentelor semnificative conform BSIG