ISGroup Consultoría de Ciberseguridad

Interacción de la Directiva NIS2 con otras normativas de la UE, como el RGPD

La Directiva NIS2 no existe de forma aislada, sino que se sitúa dentro de un marco normativo más amplio de la UE, interactuando con otras regulaciones, en particular con el Reglamento General de Protección de Datos (RGPD).

[Callforaction-NIS2]

Los documentos destacan varios aspectos clave de esta interacción:

1. Reconocimiento explícito de la preeminencia del RGPD:

  • Artículo 1, apartado 1: El objetivo principal de la Directiva es establecer un nivel elevado y común de ciberseguridad dentro de la UE “con el fin de mejorar el funcionamiento del mercado interior”. Este planteamiento subraya que los objetivos de ciberseguridad de la NIS2 no deben comprometer otros principios fundamentales de la UE, incluida la protección de datos.
  • Artículo 6, apartado 12: Establece explícitamente que la NIS2 se aplica “sin perjuicio” de numerosos reglamentos de la UE existentes, mencionando en primer lugar el RGPD. Este lenguaje claro establece una jerarquía precisa, afirmando que los principios del RGPD relativos a la protección de datos tienen prioridad en caso de conflicto o solapamiento con la NIS2.

2. Tratamiento de datos en el ámbito de la NIS2 sujeto al RGPD:

  • Artículo 8, apartado 14: Subraya que cualquier actividad de tratamiento de datos realizada en el contexto de la NIS2, ya sea por parte de entidades o de autoridades competentes, debe respetar el RGPD. Esta disposición destaca que las medidas de ciberseguridad deben implementarse de tal manera que se respeten los derechos de protección de datos de los individuos.
  • Artículo 8, apartado 14 (énfasis añadido): Se dirige específicamente al tratamiento de datos por parte de los proveedores de servicios de comunicaciones electrónicas públicos o redes de comunicaciones electrónicas disponibles al público en el sentido de la NIS2. Establece que dicho tratamiento debe cumplir con el marco normativo más amplio de la UE relativo a la protección de datos y a la privacidad, citando específicamente la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas).

3. Cooperación entre las autoridades competentes y las autoridades de protección de datos:

  • Artículo 29, apartado 3: Reconoce que los incidentes de ciberseguridad pueden conllevar también violaciones de datos personales cubiertas por el RGPD. Para garantizar una gestión coordinada y eficaz de dichos incidentes, esta disposición impone una estrecha cooperación entre las autoridades competentes responsables de la NIS2 y las autoridades de protección de datos (autoridades de control en el sentido del RGPD).
  • Clarificación de los roles: Aunque requiere cooperación, el Artículo 29, apartado 3 aclara que esta interacción no debe comprometer las respectivas competencias y tareas de cada autoridad. Las autoridades de control del RGPD mantienen su papel principal de supervisión en la aplicación de las normas sobre protección de datos, incluso en los casos que impliquen repercusiones de ciberseguridad.
  • Artículo 35: Refuerza aún más el vínculo entre la NIS2 y el RGPD al esbozar un procedimiento específico para las situaciones en las que las autoridades competentes detecten posibles violaciones de datos personales durante la supervisión o la aplicación de las obligaciones de la NIS2.

4. Intercambio de datos y confidencialidad:

  • Divulgación limitada de información confidencial: El Artículo 2, apartado 13 reconoce que el intercambio de información sobre ciberseguridad podría conllevar la divulgación de información protegida por otras normativas de la UE o nacionales, como los secretos comerciales. Permite el intercambio de dicha información con la Comisión y otras autoridades competentes exclusivamente a efectos de la aplicación de la Directiva y solo en la medida necesaria.
  • Protección de la información confidencial: Cuando se comparte información, el Artículo 2, apartado 13 impone salvaguardias para proteger la confidencialidad de la información compartida y tutelar los intereses comerciales de las entidades involucradas.

5. Implicaciones para las prácticas de ciberseguridad:

  • Protección de datos desde el diseño y por defecto: Aunque no se menciona explícitamente, la interacción entre la NIS2 y el RGPD refuerza la importancia de integrar consideraciones sobre la protección de datos en las medidas de ciberseguridad desde el principio. Las entidades que inician un camino estructurado de cumplimiento de la Directiva NIS2 deberían adoptar un enfoque de “protección de datos desde el diseño y por defecto” durante la implementación de las prácticas de gestión de riesgos de ciberseguridad.
  • Minimización de datos: El principio de minimización de datos del RGPD también es relevante en el contexto de la NIS2. Las entidades deben garantizar que cualquier recopilación y tratamiento de datos personales con fines de ciberseguridad se limite a lo estrictamente necesario y sea proporcional a los riesgos identificados.

En resumen, la Directiva NIS2 reconoce y respeta la importancia de la protección de datos. Establece claramente que sus disposiciones no prevalecen sobre el RGPD e impone la cooperación entre las autoridades competentes en materia de ciberseguridad y protección de datos. Esta interacción subraya la necesidad de un enfoque equilibrado, garantizando que las medidas de ciberseguridad se implementen de forma que mitiguen eficazmente los riesgos, salvaguardando al mismo tiempo los derechos de protección de datos de los individuos. Para profundizar en el marco normativo general, resulta útil consultar también cuál es el objetivo principal de la Directiva NIS2 y los plazos operativos relacionados con la lista ACN.

[Callforaction-NIS2-Footer]

In