To regelsæt — ét mål
GDPR og NIS2 har forskellige oprindelse og fokus, men de deler et fælles mål: at beskytte information og de mennesker, som påvirkes af den. For organisationer, der omfattes af begge regelsæt, findes der betydelige muligheder for synergi — men også risiko for dobbeltarbejde, hvis man ikke tænker integreret.
Praktisk indsigt: I stedet for at se GDPR og NIS2 som to separate compliance-projekter, byg et fælles ledelsessystem, der adresserer begge. Det sparer tid, penge og giver bedre sikkerhed.
Sammenligning: GDPR vs NIS2
| Aspekt | GDPR | NIS2 |
|---|---|---|
| Fokus | Beskyttelse af personoplysninger | Sikkerhed i netværks- og informationssystemer |
| Perspektiv | Risiko for individet | Risiko for organisationen og samfundet |
| Omfattning | Alle der behandler personoplysninger | Organisationer i definerede sektorer |
| Hændelsesrapportering | 72 timer til Datatilsynet | 24 timer til CSIRT |
| Maksimale bøder | 20 M€ eller 4% | 10 M€ eller 2% |
| Tilsynsmyndighed | Datatilsynet | CFCS + sektormyndigheder |
| Krav til DPO/ansvarlig | DPO ved visse kriterier | Ledelsens ansvar (ikke specifik rolle) |
Overlappende områder
Begge regelsæt kræver:
- Risikostyring — Systematisk identifikation og behandling af risici
- Tekniske foranstaltninger — Kryptering, adgangskontrol, logning
- Organisatoriske foranstaltninger — Politikker, uddannelse, ansvarsfordeling
- Hændelseshåndtering — Processer til opdagelse, håndtering og rapportering
- Dokumentation — Bevis på compliance og sporbarhed
- Leverandørkontrol — Krav til at sikre sikkerhed hos tredjeparter
Forskelle at håndtere
GDPR: 72 timer til Datatilsynet for personoplysningshændelser.
NIS2: 24 timer tidlig varsling til CSIRT.
Løsning: Udgå fra det korteste tidskrav (24t) i jeres processer.
GDPR: Risiko for registrerede (individer).
NIS2: Risiko for organisationen og samfundskritiske tjenester.
Løsning: Inkluder begge perspektiver i risikovurderingen.
GDPR: Datatilsynet.
NIS2: CFCS og sektormyndigheder.
Løsning: Hav dokumentation tilgængelig for begge. Formaterne ligner hinanden.
GDPR kræver DPO i visse tilfælde. NIS2 nævner ingen specifik rolle.
Løsning: Tydeliggør samarbejdet mellem DPO og sikkerhedsansvarlig. Undgå siloer.
Integreret tilgang: Sådan gør du
- Et ledelsessystem Byg på ISO 27001 eller tilsvarende rammeværk som grundlag. Tilføj GDPR-specifikke kontroller (f.eks. behandlingsfortegnelse, DPIA) og NIS2-specifikke krav (f.eks. 24t-rapportering). Et system, komplet dækning.
- En risikoprocess Udform risikovurderingen, så den dækker både individrisici (GDPR) og systemrisici (NIS2). Brug samme metodik, men forskellige perspektiver i analysen.
- En hændelsesprocess Opret en hændelseshåndteringsprocess, der opfylder det strengeste krav (NIS2's 24 timer). Inkluder beslutningspunkter for om GDPR-rapportering også er nødvendig.
- Koordinerede roller Sikr at DPO (hvis sådan findes) og sikkerhedsansvarlig samarbejder. De behøver ikke være den samme person, men de skal kommunikere løbende.
- Fælles dokumentation Undgå at have separate politikker og procedurer, der overlapper. Skriv fælles dokumenter hvor muligt, med specifikke tillæg for det respektive regelsæt.
Hændelseshåndtering: Praktisk integration
Når en hændelse opstår, der berører både personoplysninger og netværkssikkerhed:
Tidslinje for integreret hændelsesrapportering:
| Tid | NIS2-handling | GDPR-handling |
|---|---|---|
| 0t | Hændelse opdaget | Vurder om personoplysninger berøres |
| 24t | Tidlig varsling til CSIRT | — |
| 72t | Hændelsesmeddelelse til CSIRT | Rapport til Datatilsynet (hvis personoplysningshændelse) |
| 72t | — | Overvej information til registrerede |
| 1 måned | Slutrapport til CSIRT | — |
Praktisk: Hav EN hændelsesprocess, der udløser de rigtige rapporter baseret på hændelsens karakter.
Synergier at udnytte
Arbejde der dækker begge regelsæt:
- Adgangskontrol — Samme kontroller beskytter både personoplysninger og systemer
- Kryptering — Opfylder krav i begge regelsæt
- Logning — Muliggør sporbarhed for både databeskyttelse og sikkerhed
- Uddannelse — En sikkerhedsuddannelse kan dække begge perspektiver
- Leverandørkontrol — Samme proces, udvidede krav
- Internrevision — Gennemgå begge områder samtidig
Almindelige fejl at undgå
Separate teams for GDPR og NIS2, der ikke taler sammen. Fører til dobbeltarbejde og inkonsistens.
Separate værktøjer og dokumentation for det respektive regelsæt. Svært at vedligeholde og dyrt.
At afkrydse krav uden faktisk at styrke sikkerheden. Miss formålet.
At implementere samme kontrol to gange under forskellige navne. Unødvendigt arbejde.
Sådan kan Securapilot hjælpe
Securapilot understøtter integreret compliance for både GDPR og NIS2:
- GDPR-modul — Behandlingsfortegnelse, DPIA, DSAR-håndtering
- NIS2-modul — GAP-analyse, hændelsesrapportering, ledelsesrapporter
- Fælles risikostyring — En risikoprocess for begge perspektiver
- Integreret hændelseshåndtering — Rigtige rapporter til rigtige myndigheder
- samlet dokumentation — Alt på ét sted
Book en demo og se hvordan vi kan hjælpe jer med at håndtere GDPR og NIS2 effektivt.
Ofte stillede spørgsmål
Skal jeg have separate systemer til GDPR og NIS2?
Nej, det er ikke nødvendigt og ofte ikke engang ønskeligt. Mange organisationer integrerer GDPR og NIS2 i samme informationssikkerhedsledelsessystem (ISMS), hvilket giver synergieffekter og reducerer administration.
Hvilken lov har de strengeste krav til hændelsesrapportering?
NIS2 har strengere tidskrav: 24 timer for tidlig varsling sammenlignet med GDPR's 72 timer. Hvis en hændelse berører både personoplysninger og netværkssikkerhed, gælder det kortere tidskrav i praksis.
Kan samme risikovurdering bruges til begge?
Delvist. Begge kræver risikobaserede foranstaltninger, men GDPR fokuserer på risici for registrerede (individer), mens NIS2 fokuserer på risici for netværks- og informationssystemer. En integreret tilgang dækker begge perspektiver.
Hvem har ansvaret for henholdsvis GDPR og NIS2 i organisationen?
GDPR kræver ofte en databeskyttelsesrådgiver (DPO). NIS2 kræver at ledelsen tager ansvar, men specificerer ingen særlig rolle. Mange organisationer lader CISO eller tilsvarende koordinere begge områder.