norppa.io
Oppaat

NIS2-opas · 9 min

GDPR vs NIS2: missä ne menevät päällekkäin, miten eroavat ja milloin yksi poikkeama laukaisee molemmat

GDPR ja NIS2 koskettavat molemmat tietoturvaa ja niihin liittyy kovat sakot, joten ne sekoitetaan keskenään, mutta ne suojaavat eri asioita ja vastaavat eri viranomaisille. Riski ei ole väärän valitseminen; se on sen huomaamatta jättäminen, että yksi poikkeama voi laukaista molemmat, eri aikatauluilla. Tämä opas vetää niiden välisen rajan, näyttää missä ne menevät päällekkäin, selittää miten ne ovat vuorovaikutuksessa (yhteistyö ja kaksoissakkojen kielto) ja antaa suoran vastauksen tiimeille, jotka päätyvät palvelemaan kummankin alaisia asiakkaita.

Keskeiset huomiot

  • GDPR suojaa henkilötietoja ja koskee lähes mitä tahansa organisaatiota; NIS2 suojaa kyberkestävyyttä ja koskee vain nimettyjä keskeisiä ja tärkeitä toimijoita.
  • Yksi poikkeama voi edellyttää kahta ilmoitusta: 72 tunnin henkilötietojen tietoturvaloukkausilmoitus tietosuojaviranomaiselle (GDPR art. 33) ja 24 t / 72 t / kuukauden raportti CSIRT-toimijalle (NIS2 art. 23).
  • Ne on suunniteltu nivoutumaan yhteen: viranomaiset tekevät yhteistyötä (NIS2 art. 35), eikä samasta teosta voi saada kahta sakkoa, mutta arvioit ja ilmoitat silti kummankin mukaan siellä, missä se soveltuu.

Mitä kumpikin sääntelee

GDPR ja NIS2 ovat molemmat EU-lakeja, jotka koskettavat tietoturvaa, ja ne sekoitetaan keskenään, mutta ne suojaavat eri asioita. GDPR suojaa henkilötietoja; NIS2 suojaa keskeisten palvelujen jatkuvuutta ja turvallisuutta. Organisaatio voi helposti kuulua molempien piiriin yhtä aikaa.

Selkein tapa erottaa ne: GDPR kysyy “suojaatko ihmisten henkilötietoja?” ja koskee lähes mitä tahansa niitä käsittelevää organisaatiota. NIS2 kysyy “onko organisaatiosi toiminnallisesti ja kyberkestävä?” ja koskee vain nimettyjä keskeisiä ja tärkeitä toimijoita tietyillä toimialoilla.

GDPR: henkilötiedot, lähes kaikki

Asetus (EU) 2016/679, sovellettu vuodesta 2018. Sääntelee henkilötietojen käsittelyä rekisterinpitäjien ja käsittelijöiden toimesta: käsittelyn oikeusperuste, rekisteröidyn oikeudet ja käsittelyn turvallisuus (art. 32). Valvonta tietosuojaviranomaisilla.

NIS2: kyberturvallisuus, nimetyt toimijat

Direktiivi (EU) 2022/2555, saatettu kansalliseen lakiin (määräaika 17.10.2024). Sääntelee kyberturvallisuuden riskienhallintaa (art. 21) ja poikkeamailmoitusta (art. 23) keskeisille ja tärkeille toimijoille. Valvonta kansallisilla kyberturvallisuusviranomaisilla ja CSIRT-toimijoilla.

Ansa: yksi poikkeama, kaksi ilmoitusta

Yksi loukkaus voi laukaista molemmat säädökset: eri viranomaisille, eri aikatauluilla. Tunne molemmat:

GDPR art. 33

Jos tietoturvapoikkeama koskee henkilötietoja, ilmoita tietosuojaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa tietoon tulosta: ellei loukkaus todennäköisesti vaaranna yksilöiden oikeuksia ja vapauksia.

NIS2 art. 23

Jos kyseessä on merkittävä poikkeama, lähetä CSIRT-toimijalle 24 tunnin ennakkovaroitus, 72 tunnin poikkeamailmoitus ja loppuraportti kuukauden kuluessa.

Molemmat yhtä aikaa

Kiristysohjelmahyökkäys, joka salaa henkilötietoja, on samanaikaisesti NIS2:n merkittävä poikkeama ja GDPR:n henkilötietojen tietoturvaloukkaus: kaksi ilmoitusta, kaksi viranomaista, kaksi aikataulua.

Missä ne menevät päällekkäin

Toteuta toinen hyvin, niin osa toisesta seuraa. Molemmat edellyttävät:

  • Käsittelyn turvallisuus / riskienhallintatoimenpiteet: suhteutetut tekniset ja organisatoriset kontrollit.
  • Poikkeama- tai loukkausilmoitus määritellyillä aikatauluilla, dokumentoiden mitä tapahtui ja miten reagoit.
  • Vastuuvelvollisuus: johdon on omistettava se, ja molempiin liittyy merkittävät hallinnolliset sakot.
  • Tallenteet ja näyttö: sinun on pystyttävä osoittamaan, ei pelkästään väittämään, että kontrollit ovat olemassa ja toimivat.
  • Kolmannen osapuolen varmistus: GDPR käsittelijäsopimusten kautta (art. 28), NIS2 toimitusketjun turvallisuuden kautta (art. 21(2)(d)).

Keskeinen vuorovaikutus: yhteistyö ja kaksoissakkojen kielto

NIS2 on kirjoitettu nivoutumaan GDPR:ään, ei toistamaan sitä. NIS2:n 35 artiklan mukaan, kun kyberturvallisuusviranomainen saa tietää, että toimijan poikkeama voi sisältää GDPR:n art. 33 mukaan ilmoitettavan henkilötietojen tietoturvaloukkauksen, sen on ilmoitettava tietosuojaviranomaiselle ilman aiheetonta viivytystä. Viranomaiset tekevät yhteistyötä ja vaihtavat tietoja.

Olennaista: samasta teosta ei sakoteta kahdesti. Kun tietosuojaviranomainen määrää GDPR-sakon rikkomuksesta, NIS2-viranomainen ei saa määrätä myös NIS2-sakkoa (art. 34) samasta teosta. Mutta tämä on suoja kaksoisrangaistukselta yhdestä teosta. Se ei sulauta kahta velvoitetta yhdeksi. Arvioit, dokumentoit ja ilmoitat silti kummankin säädöksen mukaan siellä, missä se soveltuu.

Se, mitkä velvoitteet soveltuvat, riippuu tosiseikoista: oliko kyse henkilötiedoista, ja oletko keskeinen tai tärkeä toimija? Vahvista yksityiskohdat tietosuojaviranomaiseltasi, kansalliselta kyberturvallisuusviranomaiselta ja asiantuntija-avulla.

Kumpi koskee sinua?

Useimmat organisaatiot vastaavat toiselle; monet molemmille:

Käsittelet henkilötietoja mutta et ole keskeinen/tärkeä toimija

GDPR soveltuu; NIS2 ei sovellu suoraan: vaikka NIS2-asiakkaan toimitusketjun due diligence voi silti tavoittaa sinut sopimustesi kautta.

Olet keskeinen/tärkeä toimija joka käsittelee vähän henkilötietoja

NIS2 soveltuu täysimääräisesti; GDPR soveltuu niihin henkilötietoihin, joita käsittelet (työntekijät, asiakkaat).

Kuulut molempien piiriin (yleinen tapaus)

Pyöritä yhtä poikkeamanhallintaprosessia, joka täyttää molemmat aikataulut: tietosuojaviranomainen 72 t kuluessa henkilötietoloukkauksista, CSIRT 24 t / 72 t / kuukauden radalla merkittävistä poikkeamista.

Olet toimittaja tai käsittelijä

Odota sekä GDPR-käsittelijäehtoja (art. 28) että NIS2-toimitusketjutarkastelua (art. 21(2)(d)) asiakkailtasi: kyselyitä, näyttöpyyntöjä ja jatkuvaa seurantaa.

Lähteet: Asetus (EU) 2016/679 (GDPR) sekä direktiivi (EU) 2022/2555 (NIS2), erityisesti art. 35 GDPR-vuorovaikutuksesta. Vahvista, miten molemmat soveltuvat tilanteeseesi, tietosuojaviranomaiseltasi ja kansalliselta kyberturvallisuusviranomaiselta.

Miten norppa.io auttaa

Molemmat säädökset odottavat nyt jatkuvaa, näyttöön perustuvaa varmistusta toimittajistasi ja käsittelijöistäsi: GDPR art. 28 -käsittelijävalvonnan kautta, NIS2 art. 21(2)(d) -toimitusketjun turvallisuuden kautta. norppa.io seuraa jokaista toimittajadomainia yli sadassa tarkistuspisteessä päivittäin, ja jokainen löydös on kartoitettu siihen NIS2-artiklaan, jota se koskee, ja vietävissä tallenteisiisi.

Itsearviointikyselyt tallentavat sopimus- ja prosessikontrollit, joita tietosuojaviranomainen tai kyberturvallisuusauditoija ei näe ulkopuolelta, ja jokainen vastaus asetetaan reaaliaikaisen teknisen profiilin rinnalle, joten tulipa kysymys tietosuojan tai NIS2:n näkökulmasta, voit näyttää ajantasaista, vahvistettua näyttöä eikä väitteitä.

Yksi lähde toimittajanäytölle molempiin säädöksiin

Katso esimerkkiraportti toimittajasta (löydökset, artiklakartoitus ja näyttö) noin kahdessa minuutissa.

Katso esimerkkiraportti
Katso esimerkki-dashboard

Aiheeseen liittyvät oppaat

Miten täyttää NIS2-vaatimukset: vaiheittainen etenemissuunnitelma

NIS2-vaatimustenmukaisuuden vaiheet järjestyksessä: vahvista soveltamisala, rekisteröidy, johdon vastuu (art. 20), artiklan 21(2) toimenpiteet, toimitusketjun turvallisuus, poikkeamailmoitus (art. 23) ja jatkuva, todennettu varmistus.

Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat

Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.

NIS2-laki ja toimitusketjuvaatimus: mitä se tarkoittaa käytännössä

NIS2-direktiivi velvoittaa merkittävät ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.

Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa

Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.

NIS2 Art. 21(2): tarkistuslista toimittajille

Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.

NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli

Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.

NIS2-poikkeamailmoitus: 24 ja 72 tunnin määräajat selitettynä

Mikä on merkittävä poikkeama, artiklan 23 aikataulu (24 t ennakkovaroitus, 72 t ilmoitus, kuukauden loppuraportti) ja milloin toimittajan poikkeamasta tulee sinun velvollisuutesi.

NIS2 ja johdon vastuu: mitä hallituksen ja johdon on tiedettävä

Mitä NIS2 odottaa johdolta: hyväksyntä- ja valvontavelvollisuus, henkilökohtainen vastuu (art. 20), koulutus, hallitusraportoinnin mittarit ja art. 34 -seuraamukset.

ISO 27001 ja NIS2: mitä ISMS jo kattaa, ja mitä se ei kata

Jos sinulla on ISO 27001, mikä siirtyy NIS2:een ja mikä ei: lakisääteinen poikkeamailmoitus, johdon vastuu, rekisteröinti ja jatkuva toimitusketjun varmistus, ja miten aukko suljetaan.

NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua

Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.

EU:n kyberkestävyyssäädös (CRA): soveltamisala, aikataulu ja mitä se tarkoittaa toimitusketjullesi

Mitä CRA vaatii, sen vaiheittaiset päivämäärät (voimassa 2024, ilmoitukset 9/2026, täysi vaatimustenmukaisuus 12/2027), ketä se koskee ja miksei pelkkää SaaS:ää, miten se täydentää NIS2:ta ja mitä se tarkoittaa hankinnalle ja toimittajien due diligencelle.

EU:n tekoälyasetus: riskiluokat, aikataulu ja mitä käyttöönottajan on tehtävä (artikla 26)

Mitä EU:n tekoälyasetus vaatii: riskiluokat, vaiheittaiset päivämäärät (voimassa 2024, kielletyt 2/2025, GPAI 8/2025, korkea riski 8/2026), artiklan 26 käyttöönottajan velvollisuudet, miten se kasautuu NIS2:n ja GDPR:n kanssa, ja mitä se tarkoittaa tekoälyhankinnoille.