La Directiva NIS2 y el RGPD representan dos pilares de la regulación europea en el ámbito digital, cada uno con objetivos distintos pero complementarios. Mientras que el RGPD protege los derechos fundamentales de las personas físicas en relación con sus datos personales, la NIS2 tiene como objetivo garantizar un nivel elevado y uniforme de ciberseguridad en la Unión Europea. Comprender cómo interactúan estas normativas es esencial para las organizaciones que deben cumplir con ambos marcos normativos.

Objetivos diferentes, ámbitos complementarios

El RGPD se centra en la protección de los datos personales: establece principios para el tratamiento lícito, transparente y seguro de la información que identifica o hace identificable a una persona física. La ciberseguridad es una de las herramientas para garantizar esta protección, pero no es el único objetivo del reglamento.

La Directiva NIS2, por otro lado, tiene como objetivo principal el refuerzo de la resiliencia informática de las infraestructuras críticas y los servicios esenciales. Su enfoque se centra en la continuidad operativa, en la capacidad de prevenir, detectar y responder a los incidentes de seguridad que podrían comprometer el funcionamiento del mercado interior europeo.

A pesar de esta diferencia de objetivos, las dos normativas se solapan en varios puntos: un incidente de ciberseguridad puede conllevar también una violación de datos personales, y las medidas técnicas y organizativas requeridas por la NIS2 contribuyen directamente a la protección de los datos exigida por el RGPD.

La preeminencia del RGPD en el marco normativo

La Directiva NIS2 reconoce explícitamente la preeminencia del RGPD. El artículo 6, apartado 12, establece que la NIS2 se aplica “sin perjuicio” de numerosos reglamentos de la UE existentes, mencionando en primer lugar al RGPD. Esto significa que en caso de conflicto o solapamiento, los principios del RGPD relativos a la protección de datos tienen prioridad.

Además, el artículo 8, apartado 14, aclara que cualquier actividad de tratamiento de datos realizada en el contexto de la NIS2 —tanto por parte de las entidades sujetas a la directiva como por parte de las autoridades competentes— debe respetar el RGPD. Esto también se aplica a los proveedores de servicios de comunicación electrónica, que deben cumplir con el marco normativo más amplio de la UE relativo a la protección de datos y la confidencialidad, incluida la Directiva ePrivacy.

Gestión de incidentes: coordinación entre autoridades

Uno de los aspectos más relevantes de la interacción entre la NIS2 y el RGPD se refiere a la gestión de los incidentes de seguridad. Un ciberataque puede, de hecho, conllevar tanto un incidente relevante según la NIS2 como una violación de datos personales (data breach) según el RGPD.

El artículo 29, apartado 3 de la NIS2 impone una estrecha cooperación entre las autoridades competentes responsables de la directiva y las autoridades de protección de datos (las autoridades de control según el RGPD). Esta cooperación es fundamental para garantizar una gestión coordinada y eficaz de los incidentes, evitando duplicidades o lagunas en la respuesta.

Sin embargo, la cooperación no compromete las respectivas competencias: las autoridades de control del RGPD mantienen su papel principal de supervisión en la aplicación de las normas sobre protección de datos, incluso en los casos que implican consecuencias de ciberseguridad. El artículo 35 de la NIS2 describe un procedimiento específico para las situaciones en las que las autoridades competentes detecten potenciales violaciones de datos personales durante la supervisión de las obligaciones de la directiva.

Intercambio de información y confidencialidad

La NIS2 promueve el intercambio de información sobre ciberseguridad entre entidades, autoridades competentes y otros Estados miembros. Sin embargo, este intercambio debe realizarse respetando las normativas sobre protección de datos y confidencialidad.

El artículo 2, apartado 13 de la NIS2 reconoce que el intercambio de información sobre ciberseguridad podría conllevar la divulgación de información protegida por otras normativas, como los secretos comerciales o los datos personales. La directiva permite el intercambio de dicha información con la Comisión y otras autoridades competentes exclusivamente a efectos de la aplicación de la NIS2 y solo en la medida necesaria, imponiendo garantías para proteger la confidencialidad y los intereses comerciales de las entidades involucradas.

Implicaciones prácticas para las organizaciones

Protección de datos desde el diseño

Aunque la NIS2 no menciona explícitamente los principios de “privacidad desde el diseño” (privacy by design) y “privacidad por defecto” (privacy by default) del RGPD, la interacción entre ambas normativas refuerza la importancia de integrar consideraciones sobre la protección de datos en las medidas de ciberseguridad desde el principio. Las entidades sujetas a ambas normativas deberían adoptar un enfoque integrado, garantizando que las prácticas de gestión de riesgos de ciberseguridad respeten los principios del RGPD.

Minimización de datos

El principio de minimización de datos del RGPD es especialmente relevante en el contexto de la NIS2. Las organizaciones deben garantizar que cualquier recopilación y tratamiento de datos personales con fines de ciberseguridad se limite a lo estrictamente necesario y sea proporcional a los riesgos identificados. Por ejemplo, los sistemas de monitorización de seguridad deberían configurarse para recopilar solo los datos esenciales para detectar y responder a los incidentes, evitando la recopilación indiscriminada de información personal.

Gobernanza integrada

Las organizaciones sujetas a ambas normativas deben desarrollar una gobernanza integrada que tenga en cuenta tanto las obligaciones de ciberseguridad de la NIS2 como los requisitos de protección de datos del RGPD. Esto incluye:

• Coordinación entre el responsable de ciberseguridad y el Delegado de Protección de Datos (DPO).
• Procedimientos unificados para la gestión de incidentes que consideren tanto las obligaciones de notificación de la NIS2 como las del RGPD.
• Evaluaciones de riesgo que integren tanto los riesgos para la ciberseguridad como los riesgos para los derechos y libertades de las personas físicas.
• Programas de formación que cubran ambos ámbitos normativos.

Qué debe hacer una empresa sujeta a NIS2 y RGPD

Para las organizaciones que entran en el ámbito de aplicación de ambas normativas, es fundamental adoptar un enfoque estructurado que garantice el cumplimiento de ambos marcos normativos:

1. Mapear las obligaciones normativas: identificar qué requisitos de la NIS2 y del RGPD se aplican a la organización, destacando las áreas de solapamiento y las posibles diferencias en las obligaciones de notificación, documentación y gobernanza.
2. Integrar las evaluaciones de riesgo: desarrollar un proceso de evaluación de riesgos (risk assessment) que considere tanto los riesgos para la ciberseguridad (disponibilidad, integridad, confidencialidad de los sistemas) como los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento de datos personales.
3. Definir procedimientos de gestión de incidentes unificados: establecer flujos de trabajo que garanticen la notificación oportuna tanto a las autoridades competentes para la NIS2 como a las autoridades de protección de datos en caso de violación de datos, respetando los diferentes plazos y modalidades previstos por las dos normativas.
4. Implementar medidas técnicas y organizativas integradas: adoptar controles de seguridad que cumplan tanto con los requisitos de la NIS2 como con los del RGPD, aplicando los principios de privacidad desde el diseño y minimización de datos.
5. Garantizar la cooperación entre funciones: asegurar que el equipo de ciberseguridad y el DPO colaboren estrechamente, compartiendo información relevante y coordinando las actividades de cumplimiento.
6. Documentar las decisiones y medidas adoptadas: mantener una documentación actualizada que demuestre el cumplimiento de ambas normativas, incluidas las evaluaciones de riesgo, las políticas de seguridad, los registros de actividades de tratamiento y los procedimientos de gestión de incidentes.

Información adicional útil

Para comprender mejor el marco normativo y las obligaciones específicas, estos artículos ofrecen información complementaria:

• ¿Cuáles son las principales diferencias entre las directivas NIS1 y NIS2? – Descubre cómo la NIS2 amplía el ámbito de aplicación y refuerza las obligaciones respecto a la directiva anterior.
• NIS2: ¿existen exenciones o derogaciones? – Verifica si tu organización se encuentra entre las entidades sujetas a la directiva o puede beneficiarse de exenciones.
• ¿Cuáles son los requisitos para los CSIRT para garantizar altos niveles de disponibilidad en sus servicios? – Profundiza en los requisitos técnicos y organizativos para los equipos de respuesta a incidentes previstos por la NIS2.

ISGroup apoya a las organizaciones en el proceso de cumplimiento de la NIS2 a través de servicios de Cumplimiento NIS2, que incluyen la evaluación de las medidas implementadas, el análisis de riesgos y programas de formación personalizados. Para garantizar la protección de los datos personales de conformidad con el RGPD, ISGroup también ofrece servicios de Cumplimiento RGPD, con auditorías de medidas, análisis de riesgos y formación continua.

Preguntas frecuentes

• ¿La NIS2 sustituye al RGPD en lo que respecta a la seguridad de los datos?
• No, la NIS2 no sustituye al RGPD. Ambas normativas tienen objetivos diferentes y complementarios. El RGPD protege los derechos fundamentales de las personas físicas en relación con sus datos personales, mientras que la NIS2 tiene como objetivo garantizar la resiliencia informática de las infraestructuras críticas. En caso de conflicto, el RGPD tiene preeminencia en lo que respecta a la protección de datos personales.
• ¿Un incidente de ciberseguridad debe notificarse tanto a las autoridades de la NIS2 como a las del RGPD?
• Depende de la naturaleza del incidente. Si el incidente conlleva también una violación de datos personales (data breach), es necesario notificarlo tanto a las autoridades competentes para la NIS2 como a la autoridad de protección de datos según el RGPD. Los plazos y las modalidades de notificación pueden diferir entre ambas normativas, por lo que es importante conocer ambos requisitos.
• ¿Son suficientes las medidas de seguridad exigidas por la NIS2 para el cumplimiento del RGPD?
• Las medidas de seguridad exigidas por la NIS2 contribuyen al cumplimiento del RGPD, pero no son automáticamente suficientes. El RGPD también exige el respeto de principios específicos como la minimización de datos, la privacidad desde el diseño, la transparencia y la base jurídica para el tratamiento. Es necesario un enfoque integrado que considere ambos marcos normativos.
• ¿Quién coordina la respuesta a los incidentes que involucran tanto a la NIS2 como al RGPD?
• Dentro de la organización, es fundamental que el equipo de ciberseguridad y el Delegado de Protección de Datos (DPO) colaboren estrechamente. A nivel de autoridades, la NIS2 prevé una cooperación entre las autoridades competentes para la ciberseguridad y las autoridades de protección de datos, manteniendo cada una sus competencias específicas.
• ¿Es compatible con el RGPD el intercambio de información sobre ciberseguridad previsto por la NIS2?
• Sí, la NIS2 prevé que el intercambio de información sobre ciberseguridad se realice respetando el RGPD y otras normativas sobre confidencialidad. El intercambio está permitido solo en la medida necesaria para la aplicación de la directiva y con garantías para proteger la confidencialidad de la información y los intereses de las entidades involucradas.

La interacción entre la NIS2 y el RGPD requiere que las organizaciones adopten un enfoque integrado de la ciberseguridad y la protección de datos. Comprender cómo se complementan estas normativas es el primer paso para desarrollar una estrategia de cumplimiento eficaz que proteja tanto las infraestructuras críticas como los derechos fundamentales de las personas.