GDPR och NIS2 – två regelverk, ett arbetssätt

GDPR och Cybersäkerhetslagen/NIS2 samtidigt – så undviker ni dubbelarbete

Många hanterar GDPR och Cybersäkerhetslagen/NIS2 parallellt. Så samordnar ni arbetet där regelverken överlappar – och undviker onödigt dubbelarbete.

Sammanfattning: Många hanterar GDPR och Cybersäkerhetslagen/NIS2 parallellt. Delas arbetet upp i två separata spår blir det ofta mer komplext än nödvändigt. Här visar vi var regelverken överlappar och hur ni samordnar arbetet för att undvika dubbelarbete.

Många organisationer som arbetar med Cybersäkerhetslagen/NIS2 hanterar redan GDPR-krav parallellt. Om arbetet delas upp i två helt separata spår blir det ofta mer komplext än nödvändigt.

Det finns skillnader mellan regelverken, men det finns också tydliga överlapp. Båda kräver ett riskbaserat arbetssätt, tydliga rutiner, incidenthantering, leverantörsstyrning och ledningens engagemang.

Var överlappar GDPR och NIS2?

De vanligaste överlappen finns inom:

  • riskanalys
  • incidenthantering
  • leverantörshantering
  • styrning och ansvar
  • dokumentation
  • uppföljning och förbättring

Ett dataintrång kan till exempel både beröra personuppgifter och påverka verksamhetskritiska system. Då behöver organisationen snabbt kunna avgöra vilka processer som ska aktiveras, vem som fattar beslut och vilka rapporteringsvägar som gäller.

Var skiljer sig regelverken åt?

GDPR fokuserar på skyddet för personuppgifter och registrerades rättigheter.

Cybersäkerhetslagen/NIS2 fokuserar bredare på säkerhet i nätverks- och informationssystem och på motståndskraft i samhällsviktiga eller särskilt reglerade verksamheter.

Det betyder att samma incident kan behöva bedömas ur flera perspektiv. Är personuppgifter berörda? Är en viktig tjänst påverkad? Behöver incidenten rapporteras enligt en eller flera processer? Vilka tidsfrister gäller?

Så samordnar vi arbetet

I stället för att bygga två parallella styrmodeller rekommenderar vi ofta att organisationen samordnar arbetet där det går.

Det kan till exempel innebära:

  1. en gemensam riskkarta för personuppgifter, kritiska system och viktiga tjänster
  2. en incidentprocess med tydliga beslutspunkter
  3. gemensamma leverantörsbedömningar
  4. samordnad rapportering till ledning och styrelse
  5. tydliga roller mellan dataskydd, informationssäkerhet, IT och verksamhet

På så sätt blir efterlevnaden lättare att följa upp och mindre beroende av enskilda personer.

Hanterar ni GDPR och Cybersäkerhetslagen/NIS2 som två separata spår idag? Läs mer om vårt arbete med dataskydd och integritet och NIS2 och cybersäkerhetslagen, eller kontakta oss så hjälper vi gärna till att se var arbetet kan samordnas.

Detta är en översikt och inte juridisk rådgivning. Varje organisation behöver bedömas utifrån sin verksamhet, sina system och sina krav.