Personal data protection and cybersecurity under EU law: two sides of the same coin

Abstract

This thesis examines the relationship between personal data protection and cybersecurity within the framework of European Union law, assessing whether these two regulatory domains operate as a coherent and mutually reinforcing system for governing digital risk. In this sense, the thesis conceptualizes personal data protection and cybersecurity as two interdependent sides of the same regulatory coin within EU digital governance, addressing common digital risks through distinct but interconnected legal regimes.The analysis focuses on the General Data Protection Regulation (GDPR) and the contemporary EU cybersecurity framework, in particular the NIS2 Directive, the Cybersecurity Act and the Digital Operational Resilience Act (DORA). The thesis demonstrates that, despite a clear convergence of regulatory objectives and principles such as risk-based regulation, accountability and security and privacy by design the two regimes remain legally and institutionally fragmented. This fragmentation generates significant compliance, governance and resilience challenges for organizations operating in complex and highly interconnected digital environments. To explore these dynamics empirically, the thesis analyses the 2025 Marks & Spencer cyberattack as an illustrative case. The incident highlights how weaknesses in cybersecurity governance, especially in relation to supply-chain oversight and incident detection, can cascade into personal data protection risks and compliance challenges under the GDPR. The case shows that formal compliance mechanisms alone are insufficient when underlying governance structures are fragmented. Overall, the thesis argues that effective compliance with EU digital regulation increasingly depends on integrated governance approaches that align data protection and cybersecurity within broader organizational risk management and resilience frameworks. Rather than treating the two regimes as separate compliance domains, organizations must develop coherent governance structures capable of managing overlapping regulatory expectations in practice.Η παρούσα διπλωματική εργασία εξετάζει τη σχέση μεταξύ της προστασίας προσωπικών δεδομένων και της κυβερνοασφάλειας στο πλαίσιο του δικαίου της Ευρωπαϊκής Ένωσης, διερευνώντας κατά πόσο οι δύο αυτοί ρυθμιστικοί τομείς λειτουργούν ως ένα συνεκτικό και αλληλοενισχυόμενο σύστημα διακυβέρνησης ψηφιακού κινδύνου. Υπό αυτή την έννοια, η διπλωματική εργασία προσεγγίζει την προστασία προσωπικών δεδομένων και την κυβερνοασφάλεια ως δύο αλληλένδετες όψεις του ίδιου ρυθμιστικού νομίσματος στο ενωσιακό ψηφιακό δίκαιο. Στο επίκεντρο της ανάλυσης βρίσκεται η Γενική Ρύθμιση για την Προστασία Δεδομένων (GDPR) και το σύγχρονο ενωσιακό πλαίσιο κυβερνοασφάλειας, ιδίως η Οδηγία NIS2, ο Κανονισμός για την Κυβερνοασφάλεια και ο Κανονισμός DORA. Η εργασία αναδεικνύει ότι, παρά τη σαφή σύγκλιση των ρυθμιστικών στόχων και αρχών, όπως η προσέγγιση βάσει κινδύνου, η λογοδοσία και ο σχεδιασμός με ενσωματωμένη ασφάλεια και προστασία της ιδιωτικότητας, τα δύο κανονιστικά καθεστώτα παραμένουν νομικά και θεσμικά κατακερματισμένα. Η ανάλυση δείχνει ότι αυτή η αποσπασματικότητα δημιουργεί σημαντικές προκλήσεις συμμόρφωσης και διακυβέρνησης για τους οργανισμούς που δραστηριοποιούνται σε σύνθετα ψηφιακά περιβάλλοντα. Για την εμπειρική διερεύνηση των παραπάνω ζητημάτων, η εργασία αξιοποιεί το περιστατικό κυβερνοεπίθεσης της Marks & Spencer το 2025 ως αναλυτικό παράδειγμα. Η μελέτη του περιστατικού καταδεικνύει πώς αδυναμίες στη διακυβέρνηση της κυβερνοασφάλειας, ιδίως σε επίπεδο εφοδιαστικής αλυσίδας και ανίχνευσης περιστατικών, μπορούν να οδηγήσουν σε κινδύνους μη συμμόρφωσης με το δίκαιο προστασίας δεδομένων. Τελικά, η εργασία υποστηρίζει ότι η αποτελεσματική συμμόρφωση στο ενωσιακό ψηφιακό δίκαιο προϋποθέτει ολοκληρωμένα μοντέλα διακυβέρνησης που συνδέουν ουσιαστικά την κυβερνοασφάλεια με την προστασία προσωπικών δεδομένων.