Source: OJ L 333, 27.12.2022, p. 80–152Current language: SV
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Artikel 35 Överträdelser som innebär personuppgiftsincidenter
Summary What does Article 35 of the NIS 2 directive say?
This article acts as an important coordination and anti-duplication bridge between this Directive and the GDPR (Regulation (EU) 2016/679).
It addresses the specific scenario where a cybersecurity infringement by an essential or important entity also triggers a personal data breach.
It establishes a notification duty between competent authorities under this Directive and data protection supervisory authorities, and critically, it prevents an entity from being hit with an administrative fine under both regimes for the same underlying conduct.
Important points:
- Competent authorities are required to notify the relevant data protection supervisory authority without undue delay when a cybersecurity infringement could also constitute a notifiable personal data breach.
- Where a data protection supervisory authority has already imposed an administrative fine for the same conduct, competent authorities under this Directive cannot additionally impose an administrative fine under Article 34 — though other enforcement measures remain available.
- Where the relevant data protection supervisory authority sits in a different Member State, the competent authority must also inform the data protection supervisory authority within its own Member State of the potential breach.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Om de behöriga myndigheterna under tillsyn eller efterlevnadskontroll får kännedom om att en väsentlig eller viktig entitets överträdelse av de skyldigheter som fastställs i artiklarna 21 och 23 i detta direktiv kan innebära en personuppgiftsincident, enligt definitionen i artikel 4.12 i förordning (EU) 2016/679, som ska anmälas i enlighet med artikel 33 i den förordningen, ska de utan onödigt dröjsmål informera de tillsynsmyndigheter som avses i artikel 55 eller 56 i den förordningen.
Om de tillsynsmyndigheter som avses i artikel 55 eller 56 i förordning (EU) 2016/679 påför administrativa sanktionsavgifter enligt artikel 58.2 i) i den förordningen ska de behöriga myndigheterna inte påföra administrativa sanktionsavgifter enligt artikel 34 i detta direktiv för en överträdelse som avses i punkt 1 i den här artikeln som följer av samma beteende som det som den administrativa sanktionsavgiften avsåg enligt artikel 58.2 i) i förordning (EU) 2016/679. De behöriga myndigheterna får emellertid tillämpa de efterlevnadskontrollåtgärder som föreskrivs i artikel 32.4 a–h, artikel 32.5 och artikel 33.4 a–g i detta direktiv.
Om den tillsynsmyndighet som är behörig enligt förordning (EU) 2016/679 är etablerad i en annan medlemsstat än den behöriga myndigheten, ska den behöriga myndigheten informera den tillsynsmyndighet som är etablerad i dess egen medlemsstat om det potentiella dataintrång som avses i punkt 1.
Relevant recitals
Skäl 136 Cooperation rules for GDPR infringements
Detta direktiv bör fastställa regler för samarbete mellan de behöriga myndigheterna och tillsynsmyndigheterna enligt förordning (EU) 2016/679 för att hantera överträdelser av detta direktiv som rör personuppgifter.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
entitet
(En. entity)