Com a entrada em vigor da NIS2 em Portugal, muitas empresas questionam-se sobre a relação entre este novo regime e o RGPD, que já está em vigor desde 2018. Ambos os regulamentos têm exigências de notificação de incidentes, mas com prazos e autoridades diferentes.
Principais diferenças
- Âmbito: RGPD protege dados pessoais; NIS2 protege redes e sistemas de informação.
- Autoridade: RGPD → CNPD; NIS2 → CNCS.
- Prazos de notificação: RGPD → 72h; NIS2 → 24h (alerta), 72h (relatório), 30 dias (final).
- Sanções: RGPD → até 20M€ ou 4% volume negócios; NIS2 → até 10M€ ou 2% volume negócios.
Onde se cruzam
Um incidente pode envolver simultaneamente uma violação de dados pessoais (RGPD) e um incidente de cibersegurança (NIS2). Nesse caso, a entidade terá de notificar tanto a CNPD como o CNCS, respeitando os prazos mais apertados (24h da NIS2).
Recomendação
As empresas devem integrar os processos de notificação num único fluxo de trabalho, garantindo que os prazos mais curtos são cumpridos.
Voltar para o blog