Med den kommende implementering af NIS2-direktivet i EU, der fokuserer på at sikre cybersikkerheden for essentielle tjenester, står mange virksomheder overfor en udfordring med at overholde både GDPR og NIS2. Heldigvis er der betydelige områder, hvor NIS2 og GDPR overlapper, hvilket giver mulighed for, at Data Protection Officers (DPO’er) og GDPR-ansvarlige kan udnytte deres eksisterende viden og strukturer til at håndtere begge krav effektivt.

Del artiklen på:

NIS2-direktivet, der har til formål at beskytte de netværk og informationssystemer, som understøtter essentielle tjenester, deler flere principper med GDPR, især når det gælder risikostyring, hændelsesrapportering og opretholdelsen af et stærkt sikkerhedsrammeværk. For organisationer, der allerede arbejder med GDPR, er det muligt at integrere mange af de nødvendige foranstaltninger til at overholde NIS2 uden at starte forfra. Her følger nogle centrale områder af overlap mellem NIS2 og GDPR.

Risikostyring og Governance

En central komponent i både GDPR og NIS2 er kravet om at etablere en effektiv risikostyringsstruktur.

• GDPR: Artikel 32 i GDPR understreger, at organisationer skal implementere passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau i forhold til risiciene ved behandlingen af personoplysninger. Dette inkluderer risikovurdering og implementering af sikkerhedsforanstaltninger for at beskytte data.
• NIS2: Ligeså kræver NIS2, at organisationer implementerer risikostyringsforanstaltninger for at sikre netværk og informationssystemer. Der skal foretages regelmæssige risikovurderinger, og passende foranstaltninger skal implementeres baseret på disse vurderinger for at reducere de identificerede risici.

Herudover skal der jf. GDPR udarbejdes overordnet risikovurdering for de registrerede, udformes politikker, procedurer, kontroller og det hele skal dokumenteres. Altså det helt sædvanlige hierarki i compliance-arbejdet. Det er sådan set helt det samme som med NIS2 (og ISO 27001, DORA mv.), og vi anbefaler altid at så mange strukturer som muligt holdes ens på tværs af compliancestandarden.

Hændelseshåndtering og rapportering

Både GDPR og NIS2 indeholder krav til håndtering og rapportering af sikkerhedshændelser.

• GDPR: Ifølge GDPR skal organisationer rapportere databrud til de relevante myndigheder inden for 72 timer, hvis bruddet kan medføre en risiko for individers rettigheder og friheder.
• NIS2: Ligeså kræver NIS2, at organisationer rapporterer hændelser, der har væsentlig indvirkning på cybersikkerheden og kan påvirke tjenesternes kontinuitet, til relevante myndigheder inden for en fastsat tidsramme.

For DPO’er og GDPR-ansvarlige er hændelseshåndtering en velkendt opgave. NIS2 udvider dette krav til at omfatte hændelser relateret til virksomhedens netværk og systemer, ikke kun databrud. Dog kræver begge rammer en effektiv og rettidig rapportering, og de eksisterende GDPR-procedurer kan derfor udvides til at imødekomme NIS2’s krav.

Dokumentation og opfølgning

Både GDPR og NIS2 kræver grundig dokumentation og opfølgning af sikkerhedsforanstaltninger og risikovurderinger.

• GDPR: Virksomheder skal kunne dokumentere deres overholdelse af GDPR, herunder risikovurderinger og implementering af passende tekniske og organisatoriske foranstaltninger.
• NIS2: Ligesom GDPR kræver NIS2, at organisationer dokumenterer deres risikovurdering, sikkerhedsforanstaltninger og hændelseshåndtering og regelmæssigt evaluerer effektiviteten af disse foranstaltninger.

Som DPO eller GDPR-ansvarlig er dokumentation og opfølgning en velkendt proces. NIS2 kræver blot, at denne dokumentation udvides til at inkludere de cybersikkerhedsmæssige aspekter af organisationens drift.

Dette er blot tre eksempler der viser et overlap. Selvfølgelig er det ikke helt ens, men budskabet er, at strukturerne er det samme. En virksomheds GDPR-ansvarlige kan som led i sit periodiske tilsyn med sine databehandlere føje flere leverandører til processen, idet NIS2 også foreskriver, at virksomheden skal være i fuld kontrol med leverandører.

Hvordan kan vi hjælpe?

Hos DPO Danmark kan vi assistere din organisation med at skabe et klart overblik over både GDPR og NIS2. Uanset om du er i gang med at udvikle eller bruge et AI-system, eller allerede arbejder med implementering af risikovurderinger og sikkerhedsforanstaltninger, kan vi hjælpe med forberedelserne til at vurdere risici, dokumentere processer og opfølge på hændelser.

Vi har først og fremmest erfaring med GDPR, men sidestillede og nærtbeslægtet lovgivning eller standarder, kender vi også rigtigt godt til. Så er NIS2 relevant for dig fordi din virksomhed enten bliver underlagt NIS2, eller fordi I har kunder, som I leverer til, som er underlagt NIS2, så tag fat i os for at få inspiration eller konkret hjælp.

Kontakt os