Ανακοίνωση συμβάντων ασφαλείας στο πλαίσιο του GDPR, NIS2, DORA

Abstract

Η υποχρέωση γνωστοποίησης συμβάντων ασφαλείας αποτελεί βασική υποχρέωση στο πλαίσιο του GDPR, της NIS2 και του DORA. Τα τρία αυτά κείμενα έχουν διαφορετικό πεδίο εφαρμογής, καθώς ο GDPR αποτελεί το βασικό κείμενο προστασίας προσωπικών δεδομένων, η NIS2 καθιερώνει μέτρα κυβερνοασφάλειας για τις βασικές και σημαντικές οντότητες, ενώ ο DORA αποτελεί lex specialis της NIS2 και εφαρμόζεται στον χρηματοοικονομικό τομέα. Παρά ταύτα, υπάρχει περίπτωση ένας φορέας και ένα συμβάν ασφαλείας να υπάγεται σε περισσότερα του ενός κείμενα. Εκτός βεβαίως του πεδίου εφαρμογής, υφίσταται και νοηματική σύνδεση μεταξύ των κειμένων, καθώς σκοπός όλων είναι η επίτευξη της ασφάλειας. Σε κάθε κείμενο υπάρχουν διαφορετικές προϋποθέσεις που θέτουν σε εφαρμογή την υποχρέωση γνωστοποίησης συμβάντων ασφαλείας. Κοινή παράμετρος είναι η ύπαρξη κινδύνου για το αγαθό που τυγχάνει προστασίας. Είναι βεβαίως εφικτό για το ίδιο συμβάν να είναι αναγκαία η υποβολή γνωστοποιήσεων στο πλαίσιο δύο εξ’ αυτών των κειμένων, εφόσον πληρούνται οι εκάστοτε προϋποθέσεις. Η ανάγκη υποβολής ξεχωριστών γνωστοποιήσεων θέτει προκλήσεις για τις υπόχρεες οντότητες, καθώς σε κάθε κείμενο προβλέπεται διαφορικό χρονοδιάγραμμα υποβολής γνωστοποιήσεων, ενώ υφίστανται και διαφορετικές εποπτικές αρχές. Ιδίως τα κείμενα κυβερνοασφάλειας καθορίζουν πολύ σύντομες προθεσμίες για την υποβολή των αρχικών γνωστοποιήσεων, ενώ παράλληλα ως θετικό στοιχείο εκλαμβάνεται η δυνατότητα συνεργασίας μεταξύ των εποπτικών φορέων που παρέχεται με τη NIS2 και τον DORA. Ο σκοπός των γνωστοποιήσεων ομοίως διαφέρει, καθώς με τα κείμενα κυβερνοασφάλειας έμφαση δίνεται στην πρόληψη και έγκαιρη διαχείριση του συμβάντος, ενώ ο GDPR αποσκοπεί στην προστασία των φυσικών προσώπων. Η ύπαρξη διαφορετικών πλαισίων μπορεί να οδηγήσει και σε δύο ή περισσότερα πρόστιμα για το ίδιο συμβάν. Κύρια πρόκληση για το μέλλον παραμένει η συνεργασία των αρχών και η προετοιμασία των φορέων εν’ όψει των αυξανόμενων απειλών.