norppa.io
Guider

NIS2-guide · 9 min

GDPR vs NIS2: överlapp, skillnader och när en incident utlöser båda

GDPR och NIS2 berör båda säkerhet och medför båda kraftiga sanktioner, så de blandas ihop, men de skyddar olika saker och lyder under olika myndigheter. Risken är inte att välja fel; den är att missa att en enda incident kan utlösa båda, med olika tidsfrister. Den här guiden drar gränsen, visar överlappen, förklarar samspelet (samarbete och ingen dubbel sanktion) och ger ett rakt svar för team som betjänar kunder under båda.

Viktigaste punkterna

  • GDPR skyddar personuppgifter och gäller nästan varje organisation; NIS2 skyddar cyberresiliens och gäller bara utpekade väsentliga och viktiga entiteter.
  • En incident kan kräva två anmälningar: en 72-timmars anmälan om personuppgiftsincident till din tillsynsmyndighet (GDPR art. 33) och en 24h/72h/en-månads-rapport till ditt CSIRT (NIS2 art. 23).
  • De är gjorda för att samspela: myndigheter samarbetar (NIS2 art. 35) och man sanktioneras inte två gånger för samma handling, men du bedömer och anmäler ändå enligt vardera där den gäller.

Vad var och en reglerar

GDPR och NIS2 är båda EU-rättsakter som berör säkerhet, och de blandas ihop, men de skyddar olika saker. GDPR skyddar personuppgifter; NIS2 skyddar kontinuiteten och säkerheten hos väsentliga tjänster. En organisation kan lätt omfattas av båda samtidigt.

Den tydligaste avgränsningen: GDPR frågar ”skyddar du människors personuppgifter?” och gäller nästan varje organisation som behandlar dem. NIS2 frågar ”är din organisation verksamhets- och cyberresilient?” och gäller bara utpekade väsentliga och viktiga entiteter i specifika sektorer.

GDPR: personuppgifter, nästan alla

Förordning (EU) 2016/679, tillämplig sedan 2018. Reglerar behandling av personuppgifter av personuppgiftsansvariga och biträden: rättslig grund, registrerades rättigheter och säkerhet i behandlingen (art. 32). Upprätthålls av dataskyddsmyndigheterna.

NIS2: cybersäkerhet, utpekade entiteter

Direktiv (EU) 2022/2555, omsatt i nationell rätt (frist 17 oktober 2024). Reglerar cybersäkerhetens riskhantering (art. 21) och incidentrapportering (art. 23) för väsentliga och viktiga entiteter. Upprätthålls av nationella cybersäkerhetsmyndigheter och CSIRT.

Fällan: en incident, två anmälningar

En enda incident kan utlösa båda regelverken: till olika myndigheter, med olika tidsfrister. Känn till båda:

GDPR art. 33

Om en säkerhetsincident rör personuppgifter, anmäl till din tillsynsmyndighet utan onödigt dröjsmål och om möjligt inom 72 timmar efter att du fått kännedom: om inte incidenten sannolikt inte medför en risk för individers rättigheter och friheter.

NIS2 art. 23

Om det är en betydande incident, skicka ditt CSIRT en tidig varning inom 24 timmar, en anmälan inom 72 timmar och en slutrapport inom en månad.

Båda samtidigt

En ransomware-attack som krypterar personuppgifter är samtidigt en betydande NIS2-incident och en GDPR-personuppgiftsincident: två inlämningar, två myndigheter, två tidsfrister.

Var de överlappar

Inför det ena väl, så följer delar av det andra. Båda kräver:

  • Säkerhet i behandlingen / riskhanteringsåtgärder: proportionerliga tekniska och organisatoriska kontroller.
  • Incident- eller intrångsanmälan inom definierade tidsfrister, med dokumentation av vad som hänt och hur du reagerade.
  • Ansvar: ledningen måste äga det, och båda regelverken medför betydande administrativa sanktioner.
  • Register och bevis. Du måste kunna visa, inte bara påstå, att kontroller finns och fungerar.
  • Tredjepartssäkring: GDPR via biträdesavtal (art. 28), NIS2 via leveranskedjesäkerhet (art. 21.2 d).

Det centrala samspelet: samarbete och ingen dubbel sanktion

NIS2 skrevs för att samspela med GDPR, inte duplicera den. Enligt NIS2 artikel 35 ska en cybersäkerhetsmyndighet som får kännedom om att en incident hos en entitet kan innefatta en personuppgiftsincident som ska anmälas enligt GDPR art. 33 informera dataskyddsmyndigheten utan onödigt dröjsmål. De två myndigheterna samarbetar och utbyter information.

Avgörande: man sanktioneras inte två gånger för samma handling. Om en dataskyddsmyndighet påför en GDPR-sanktion för en överträdelse, får NIS2-myndigheten inte också påföra en NIS2-sanktion (art. 34) för samma handling. Men det är ett skydd mot dubbelbestraffning för en handling. Det slår inte samman de två skyldigheterna. Du bedömer, dokumenterar och anmäler fortfarande enligt vardera regelverket där det gäller.

Vilka skyldigheter som gäller beror på omständigheterna: rörde det personuppgifter, och är du en väsentlig eller viktig entitet? Bekräfta detaljerna med din dataskyddsmyndighet, din nationella cybersäkerhetsmyndighet och kvalificerad rådgivning.

Vilken gäller dig?

De flesta organisationer lyder under en; många under båda:

Du behandlar personuppgifter men är inte en väsentlig/viktig entitet

GDPR gäller; NIS2 gäller inte direkt, men en NIS2-kunds leveranskedjegranskning kan ändå nå dig via dina avtal.

Du är en väsentlig/viktig entitet som behandlar få personuppgifter

NIS2 gäller fullt ut; GDPR gäller de personuppgifter du behandlar (anställda, kunder).

Du omfattas av båda (det vanliga fallet)

Driv en incidenthanteringsprocess som uppfyller båda tidsfristerna: din dataskyddsmyndighet inom 72 h för personuppgiftsincidenter, ditt CSIRT på 24h/72h/en-månads-spåret för betydande incidenter.

Du är leverantör eller biträde

Räkna med både GDPR-biträdesvillkor (art. 28) och NIS2-leveranskedjegranskning (art. 21.2 d) från dina kunder: frågeformulär, bevisbegäranden och löpande övervakning.

Källor: Förordning (EU) 2016/679 (GDPR) och direktiv (EU) 2022/2555 (NIS2), särskilt art. 35 om samspelet med GDPR. Bekräfta hur båda gäller din situation med din dataskyddsmyndighet och din nationella cybersäkerhetsmyndighet.

Hur norppa.io hjälper

Båda regelverken förväntar sig nu löpande, bevisbaserad säkring av dina leverantörer och biträden: GDPR via biträdestillsyn (art. 28), NIS2 via leveranskedjesäkerhet (art. 21.2 d). norppa.io övervakar varje leverantörsdomän över fler än hundra kontrollpunkter dagligen, med varje fynd mappat till den NIS2-artikel det rör och exporterbart för dina register.

Självbedömningsformulär fångar de avtals- och processkontroller som varken en dataskyddsmyndighet eller en cybersäkerhetsgranskare ser utifrån, och varje svar ställs bredvid den tekniska profilen i realtid, så att du, oavsett om frågan kommer ur ett dataskydds- eller NIS2-perspektiv, kan visa aktuella, bekräftade bevis i stället för påståenden.

En källa för leverantörsbevis för båda regelverken

Se en exempelrapport för en leverantör (fynd, artikelmappning och bevis) på ungefär två minuter.

Visa exempelrapport
Se exempel-dashboarden

Relaterade guider

Så uppfyller du NIS2: en steg-för-steg-färdplan

Stegen till NIS2-efterlevnad i ordning: bekräfta omfattning, registrera dig, ledningens ansvar (art. 20), åtgärderna i art. 21.2, leveranskedjesäkerhet, incidentrapportering (art. 23) och löpande, styrkt säkring.

Vem omfattas av NIS2? Väsentliga och viktiga aktörer, sektorer och storlekströsklar

Avgör om NIS2 gäller dig: de två nivåerna, sektorerna i bilaga I/II, storlekströsklarna, storleksoberoende undantag och hur leveranskedjan drar in dig även utan utpekning.

NIS2 och leveranskedjekravet: vad det innebär i praktiken

NIS2 kräver att viktiga och betydande aktörer bedömer cyberriskerna i sina leveranskedjor. Leverantörstierning, fjärdepartsrisk, Art. 23-anmälan och vad revisorer letar efter.

Leverantörens cyberriskbedömning: vad automatiserad NIS2-övervakning kontrollerar

Alla kontrollkategorier förklaras: ransomware, dark web-läckor, TLS/DNSSEC, cookie-säkerhet, CVE/EPSS, sanktioner, MX-svartlistor och SAQ. Fyndens livscykel och NIS2-artikelmappning.

NIS2 Art. 21(2): säkerhetschecklista för leverantörer

Checklista för inköps- och säkerhetsteam: vad man ska fråga, vilka bevis man ska samla in och hur man reagerar när en leverantör brister. Inkluderar förslag på styrkande dokument.

NIS2-leverantörsenkät (SAQ): vad du ska fråga, hur du poängsätter och en gratis mall

Vad du ska fråga leverantörer enligt art. 21.2 d, hur du poängsätter svar och hanterar brister, varför självdeklaration behöver verifieras, plus en gratis enkätmall.

NIS2-incidentrapportering: 24- och 72-timmarsfristerna förklarade

Vad som är en betydande incident, tidslinjen i artikel 23 (24-timmars tidig varning, 72-timmars anmälan, slutrapport på en månad) och när en leverantörs incident blir din skyldighet.

NIS2 och ledningens ansvar: vad styrelse och ledning måste veta

Vad NIS2 förväntar sig av ledningsorganet: godkännande- och tillsynsplikt, personligt ansvar (art. 20), utbildning, styrelse-KPI:er och sanktionerna enligt art. 34.

ISO 27001 och NIS2: vad ditt LIS redan täcker, och luckorna det inte gör

Om du har ISO 27001: vad som förs över till NIS2 och inte (lagstadgad incidentrapportering, ledningens ansvar, registrering och kontinuerlig leveranskedjesäkring) och hur du täpper till luckan.

NIS2 vs DORA: hur de skiljer sig, var de överlappar och vilken som gäller dig

Hur de två EU-regelverken skiljer sig och överlappar, varför DORA är lex specialis för finansiella enheter, vilken som gäller dig, och vad båda innebär för tredjepartsrisk.

EU:s cyberresiliensförordning (CRA): omfattning, tidslinje och vad den betyder för din leveranskedja

Vad CRA kräver, dess stegvisa datum (i kraft 2024, rapportering sep 2026, full efterlevnad dec 2027), vem som omfattas och varför ren SaaS ofta inte gör det, hur den kompletterar NIS2 och vad den betyder för upphandling och leverantörsgranskning.

EU:s AI-förordning: risknivåer, tidslinjen och vad tillhandahållare av AI i drift måste göra (artikel 26)

Vad EU:s AI-förordning kräver: risknivåerna, de stegvisa datumen (i kraft 2024, förbjudet feb 2025, GPAI aug 2025, hög risk aug 2026), skyldigheterna i drift enligt art. 26, hur den staplas med NIS2 och GDPR, och vad den betyder för AI-upphandling.