GDPR · NIS2 · Incident Response

GDPR & NIS2: Πώς συνυπάρχουν στην πράξη

Δύο διαφορετικά frameworks, συχνά ένας μόνο οργανισμός. Πότε ενεργοποιείται η 72ωρη DPO obligation, πότε η 24ωρη NIS2, και πώς χτίζετε ενιαία incident response που απαντά και στα δύο.

Angelos Varthalitis · DPO · vCISO · NIS2 Advisor | 17 Απριλίου 2026 | 8 λεπτά ανάγνωσης

Για ελληνικούς οργανισμούς υπόχρεους τόσο του GDPR όσο και της NIS2, η εμπειρία ενός cyber incident είναι τριπλάσια πρόκληση: τεχνική αντιμετώπιση, GDPR data breach notification σε 72 ώρες, NIS2 early warning σε 24 ώρες. Τα δύο frameworks έχουν διαφορετικά criteria, διαφορετικές αρχές, διαφορετικά templates. Ο οδηγός αυτός δείχνει πώς χτίζετε ενιαία incident response διαδικασία που δεν αφήνει κανένα από τα δύο εκτός παιχνιδιού.

Τα δύο Frameworks: τι ρυθμίζει το καθένα

Η διάκριση είναι θεμελιώδης:

  • GDPR (Καν. ΕΕ 2016/679): Ρυθμίζει την προστασία προσωπικών δεδομένων. Εφαρμόζεται σε κάθε οργανισμό που επεξεργάζεται personal data πολιτών της ΕΕ. Αρμόδια αρχή στην Ελλάδα: Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).
  • NIS2 (Οδηγία ΕΕ 2022/2555 / Ν.5160/2024): Ρυθμίζει την κυβερνοασφάλεια κρίσιμων τομέων. Εφαρμόζεται σε essential και important entities 18 τομέων. Αρμόδια αρχή στην Ελλάδα: Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ).

Το κρίσιμο σημείο: τα δύο δεν είναι εναλλακτικά. Εμπλέκονται παράλληλα και απαιτούν ταυτόχρονη συμμόρφωση. Δεν υπάρχει "ένα από τα δύο" — αν ο οργανισμός σας εμπίπτει και στα δύο, οφείλει και τα δύο.

Πεδία Εφαρμογής — σχεδόν πάντα επικαλύπτονται

Στην πράξη, κάθε NIS2-υπόχρεη οντότητα είναι και GDPR controller ή processor. Ο λόγος: οι κρίσιμοι τομείς της NIS2 (ενέργεια, μεταφορές, τράπεζες, υγεία, ψηφιακές υπηρεσίες, δημόσια διοίκηση κλπ) επεξεργάζονται μαζικά προσωπικά δεδομένα.

Το αντίστροφο δεν ισχύει: πολλοί GDPR-υπόχρεοι δεν είναι NIS2-υπόχρεοι. Ένα μικρό ηλεκτρονικό κατάστημα με ετήσιο τζίρο €1M και 5 εργαζόμενους είναι GDPR controller αλλά πιθανώς εκτός NIS2 scope.

Data Breach vs Cybersecurity Incident — το παράλληλο διάγραμμα

Εδώ ξεκινά η σύγχυση. Ένα συμβάν μπορεί να είναι:

  • GDPR personal data breach: "παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εγκεκριμένη αποκάλυψη ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα" (Άρθρο 4(12) GDPR).
  • NIS2 significant incident: "γεγονός που θέτει σε κίνδυνο τη διαθεσιμότητα, αυθεντικότητα, ακεραιότητα ή εμπιστευτικότητα δεδομένων ή υπηρεσιών" με συγκεκριμένα κριτήρια σοβαρότητας (Άρθρο 23 Οδηγίας, Άρθρο 17 Ν.5160/2024).

Τα 4 πιθανά σενάρια:

  • Μόνο GDPR breach: Περιορισμένη κλοπή personal data χωρίς σοβαρή επίπτωση στην υπηρεσία. Π.χ., email misdirection, phishing που λύγισε ένα account.
  • Μόνο NIS2 incident: Σοβαρό DDoS που επηρεάζει διαθεσιμότητα υπηρεσίας χωρίς data breach. Π.χ., outage energy grid χωρίς απώλεια data.
  • Και τα δύο: Ransomware attack — επηρεάζει διαθεσιμότητα (NIS2) ΚΑΙ ενδεχόμενη παραβίαση personal data (GDPR). Το πιο συνηθισμένο σενάριο σοβαρού incident.
  • Κανένα από τα δύο: Αποτυχημένη phishing προσπάθεια που έκλεψε από κανέναν.

Η κρίσιμη διαφορά: 72h vs 24h

Οι προθεσμίες αναφοράς είναι το πιο τραυματικό σημείο:

  • GDPR (Άρθρο 33): Notification στην ΑΠΔΠΧ εντός 72 ωρών από awareness του breach, εκτός αν δεν πιθανολογείται κίνδυνος για δικαιώματα και ελευθερίες. Communication στα υποκείμενα (Άρθρο 34) αν υπάρχει υψηλός κίνδυνος.
  • NIS2 (Άρθρο 23): 24 ώρες early warning στην ΕΑΚ, 72 ώρες full notification, 1 μήνας final report.

Στο σύνηθες ransomware σενάριο, ο οργανισμός πρέπει:

  1. Μέσα σε 24 ώρες → early warning στην ΕΑΚ (NIS2).
  2. Μέσα σε 72 ώρες → (α) full notification στην ΕΑΚ (NIS2) ΚΑΙ (β) notification στην ΑΠΔΠΧ (GDPR) αν πιθανολογείται data breach.
  3. Μέσα σε 1 μήνα → final report στην ΕΑΚ (NIS2).

Χωρίς προκαθορισμένες διαδικασίες, το χρονοδιάγραμμα αυτό παραβιάζεται πάντα. Το πρώτο 24-ωρο γίνεται crisis management, όχι compliance.

DPO vs ICSSO — ταυτόσημοι ή συμπληρωματικοί;

Συχνή ερώτηση: "έχουμε DPO — αυτός είναι και ο ICSSO μας;" Η απάντηση: μπορεί αλλά συνήθως όχι.

  • DPO (Data Protection Officer): Ρόλος GDPR-specific (Άρθρα 37-39). Εστιάζει στην προστασία προσωπικών δεδομένων, compliance με GDPR, cooperation με την εποπτική αρχή. Αναφέρεται απευθείας στην ανώτερη διοίκηση. Απαιτεί expertise σε data protection law.
  • ICSSO (Information and Communication Systems Security Officer): Ρόλος NIS2-specific (Ν.5160/2024). Εστιάζει στην κυβερνοασφάλεια συστημάτων, incident response, coordination με ΕΑΚ. Απαιτεί technical cybersecurity expertise.

Οι δεξιότητες επικαλύπτονται μερικώς, αλλά οι εστιάσεις είναι διαφορετικές. Σε μικρούς οργανισμούς (π.χ., 30-50 άτομα), το ίδιο πρόσωπο μπορεί να φορά και τα δύο "καπέλα" — εφόσον έχει και τα δύο skills. Σε μεσαίους-μεγαλύτερους οργανισμούς, προτείνεται διαχωρισμός.

Χτίζοντας Ενιαία Incident Response

Το μυστικό της επιτυχίας: μία διαδικασία, διπλή εκροή. Σχεδιάστε incident response με τα εξής στοιχεία:

  1. Unified Detection & Triage: Ενιαία οδός αναφοράς όλων των incidents. SOC/IT team κάνει initial triage χωρίς να διαχωρίζει GDPR από NIS2.
  2. Dual Classification: Σε κάθε incident, δύο ερωτήματα: (α) Είναι GDPR data breach; (β) Είναι NIS2 significant incident; Decision trees για κάθε.
  3. Parallel Escalation: Αν θετικό GDPR → DPO activation. Αν θετικό NIS2 → ICSSO activation. Αν και τα δύο → joint response.
  4. Aligned Documentation: Κοινό incident log με φίλτρα για GDPR-specific και NIS2-specific πληροφορίες. Evidence που χρησιμεύει και στα δύο notifications.
  5. Coordinated Communication: Ταυτόχρονες αναφορές (εντός 72 ωρών) σε ΑΠΔΠΧ και ΕΑΚ για κοινά incidents. Ενημέρωση και συντονισμός με legal/PR.
💡 Πρακτικό

Οι περισσότερες ελληνικές επιχειρήσεις έχουν ξεχωριστά incident response playbooks — ένα για "data breach" και ένα για "cyber incident". Αυτό καταστρέφει την αποδοτικότητα. Ένα ενιαίο playbook με decision points δουλεύει καλύτερα σε πραγματικό incident.

Πρόστιμα — ποιο είναι μεγαλύτερο;

  • GDPR: Έως €20 εκατ. ή 4% παγκόσμιου ετήσιου κύκλου εργασιών (όποιο μεγαλύτερο).
  • NIS2 — Essential entities: Έως €10 εκατ. ή 2% παγκόσμιου κύκλου εργασιών.
  • NIS2 — Important entities: Έως €7 εκατ. ή 1,4% παγκόσμιου κύκλου εργασιών.

Τα δύο πρόστιμα είναι σωρευτικά — παραβίαση που προκαλεί και τα δύο περιστατικά μπορεί να τιμωρηθεί από ΑΠΔΠΧ και ΕΑΚ ανεξάρτητα. Δεν υπάρχει ne bis in idem protection μεταξύ διαφορετικών regulatory regimes.

Συχνές Ερωτήσεις

Αν αναφέρω στην ΕΑΚ, χρειάζεται να αναφέρω και στην ΑΠΔΠΧ;

Ναι, εφόσον υπάρχει personal data breach. Οι δύο αρχές είναι ξεχωριστές, με διαφορετικές αρμοδιότητες. Ενημέρωση στη μία δεν λογίζεται ως ενημέρωση στην άλλη.

Μπορεί ο DPO να είναι εξωτερικός;

Ναι, όπως και ο ICSSO. Και οι δύο ρόλοι μπορούν να παρέχονται ως service από εξωτερικό πάροχο (DPO-as-a-service, vCISO/vICSSO). Η κρίσιμη διαφορά: πρέπει να έχουν formal appointment και τεκμηριωμένη ανεξαρτησία.

72ωρη GDPR notification — από πότε μετρά;

Από τη στιγμή που ο controller becomes aware ότι συνέβη breach (Άρθρο 33(1) GDPR). Όχι από τη στιγμή του συμβάντος. Το "awareness" ορίζεται στις EDPB Guidelines 9/2022.

24ωρη NIS2 early warning — τι πρέπει να περιλαμβάνει;

Σύντομη περιγραφή: (α) ότι πρόκειται για σοβαρό περιστατικό, (β) ενδείξεις αν υπάρχει malicious intent, (γ) εκτιμώμενη cross-border επίπτωση. Δεν απαιτείται πλήρης τεχνική ανάλυση — αυτή έρχεται στο 72ωρο notification.

Αν δεν υπάρχει κίνδυνος για δικαιώματα, χρειάζεται GDPR notification;

Όχι στην ΑΠΔΠΧ, αλλά υποχρεωτικά πρέπει να τεκμηριωθεί internally (Άρθρο 33(5) GDPR): τι συνέβη, τι έγινε, γιατί κρίθηκε χαμηλός κίνδυνος. Η ΑΠΔΠΧ μπορεί να ζητήσει την τεκμηρίωση σε έλεγχο.

Σχετικά Άρθρα

Συνεχίστε την ανάγνωση

NIS2 · Regulatory

NIS2 στην Ελλάδα: Οδηγός Συμμόρφωσης

Ο πλήρης οδηγός για τον Ν.5160/2024 και τις υποχρεώσεις incident reporting.
ISO 27001 · ISMS

ISO 27001:2022 για ΜΜΕ

Ο κοινός τεχνικός παρανομαστής: πώς το ISMS υποστηρίζει και GDPR και NIS2.
Hub

Όλα τα Insights

Πρόσβαση σε όλα τα άρθρα.