NIS2 und DSGVO im Team für mehr Cybersicherheit
Warum NIS2 für Deutschland ein Thema ist
In Deutschland war die Umsetzung der europäischen NIS2-Richtlinie (EU 2022/2555) lange verzögert, doch Anfang Dezember 2025 wurde das Gesetz zur Umsetzung der NIS-2-Richtlinie verabschiedet. Es hebt die Anforderungen an die Cybersicherheit auf eine neue Ebene. Damit sind ab sofort und ohne Übergangsfrist viele bisher von NIS1 unbetroffene Unternehmen plötzlich adressiert.
NIS2 hat zum Ziel, die Cybersicherheit und Resilienz kritischer und wichtiger Dienstleister in der EU deutlich zu erhöhen. Betroffen sind ca. 29.000 Einrichtungen in Deutschland allein. NIS2 betrifft dabei nicht nur Netzwerke, Server und Systeme, sondern tangiert in vielen Fällen auch personenbezogene Daten. Damit kreuzen sich die Ziele der NIS2 mit denen der Datenschutz-Grundverordnung (DSGVO). Das macht NIS2 relevant für Datenschutz und Compliance auch dort, wo bislang vielleicht keine klassischen IT-Sicherheitsfragen betrachtet wurden.
Wo NIS2 und DSGVO sich überschneiden
Obwohl NIS2 (ein Regelwerk für Cybersicherheit) und DSGVO (ein Datenschutzrecht) unterschiedliche Schutzzwecke verfolgen, gibt es in der praktischen Umsetzung zahlreiche Schnittmengen, wie die nachfolgende Übersicht zeigt:
| Bereich | DSGVO | NIS2 | Überschneidung / Synergien |
| Technische & organisatorische Maßnahmen (TOM) | Art. 32 DSGVO verlangt angemessene Sicherheitsmaßnahmen (z. B. Verschlüsselung, Zugriffskontrollen, Integrität, Verfügbarkeit) | NIS2 (u.a. Art. 21) fordert Risikomanagement, System-Sicherheit, Zugriffskontrollen, Schwachstellen-Management, Schutz der Lieferkette, Business Continuity | Ein gemeinsames Informationssicherheitsmanagement (z. B. ISMS nach ISO 27001) kann viele Anforderungen beider Regelwerke gleichzeitig erfüllen. |
| Meldepflichten bei Vorfällen | Art. 33/34 DSGVO: Datenschutzverletzungen müssen innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden | NIS2 verlangt Meldung gravierender Sicherheitsvorfälle (IT-Sicherheitsvorfälle) innerhalb i.d.R. 24 Stunden an die zuständige Cyber-Sicherheitsbehörde | Ein Sicherheitsvorfall kann gleichzeitig eine Datenschutzverletzung sein. Unternehmen brauchen integrierte Prozesse, die beide Meldepflichten bedienen. |
| Risikoanalyse & Governance | DSGVO verlangt risikobasierte Absicherung der Verarbeitung und Rechenschaftspflicht (Accountability, Dokumentation) | NIS2 verlangt Risikomanagement, Verantwortlichkeit der Leitung, Dokumentation und Compliance-Nachweise | Die Geschäftsleitung erhält eine klare Gesamtverantwortung, Transparenz und Nachweispflicht für Schutz der Daten und Systeme. |
Damit wird klar: NIS2 ist kein „nice-to-have“ für IT-Security-Profis. Es verlangt eine ganzheitliche Sicherheits- und Datenschutzstrategie. Wo NIS2 greift, kann DSGVO nicht ignoriert werden. Und umgekehrt: Wo personenbezogene Daten verarbeitet werden, sollte Sicherheits- und Resilienzdenken verpflichtend sein.
Wo sich NIS2 und DSGVO unterscheiden
Trotz der Überschneidungen bleiben wesentliche Unterschiede bei Schutzgegenstand, Sanktionen und Aufsichtsbehörden:
| Bereich | DSGVO | NIS2 |
| Schutzzweck | Die DSGVO betrifft personenbezogene Daten und schützt die Grundrechte natürlicher Personen. | NIS2 betrifft Informationssysteme (Systeme, Netzwerke, Dienste), wobei personenbezogene wie auch nicht-personenbezogene Daten von NIS2-Maßnahmen betroffen sein können, mit dem Ziel, Versorgung und Funktionalität von kritischen Infrastrukturen und wichtigen Diensten sicherzustellen. |
| Meldepflichten bei Vorfällen | innerhalb von 72 Stunden an die zuständige Datenschutzaufsicht | innerhalb von 24 Stunden an das Bundesamt für Sicherheit in der Informationstechnik (BSI) |
| Sanktionen | DSGVO-Verstöße werden von den Datenschutzaufsichten der Länder und des Bundes geahndet | NIS2-Verstöße ahndet das BSI. |
Was zu tun ist
Unternehmen sollten proaktiv handeln und jetzt bestehende Prozesse auf den Prüfstand stellen:
- Existieren strukturierte Prozesse für Risikoanalyse, Vorfallsmanagement und -meldung sowie Incident Response?
- Gibt es eine klare Rollenverteilung und Verantwortlichkeit auf Leitungsebene?
- Werden bestehende technische und organisatorische Maßnahmen der DSGVO (z. B. Verschlüsselung, Zugriffskontrollen, Wiederherstellbarkeit) konsequent umgesetzt und dokumentiert?
- Sind Dienstleister und Lieferketten ausreichend abgesichert? (auch relevant, wenn externe IT-Dienstleister eingebunden sind)
Gerade wegen der Schnittstellen zwischen NIS2 und DSGVO sollten die betrieblichen Datenschutzbeauftragten (DSB) nicht am Rand stehen, sondern zentral in die Compliance- und Security-Governance eingebunden sein. Dabei sind aus unserer Sicht folgende Zeitpunkte und Aufgaben besonders relevant:
- Frühzeitig bei der Risikoanalyse und Planung: Schon bei der Risikoanalyse und Definition von Sicherheits- bzw. Schutzmaßnahmen sollte der DSB mitwirken, um zu prüfen, ob und wie personenbezogene Daten betroffen sind und welche Datenschutzanforderungen (z. B. Zweckbindung, Datenminimierung, Dokumentation) zu beachten sind.
- Bei der Auswahl und Steuerung externer Dienstleister / Lieferketten: Wenn Dritte in die Informationssysteme eingebunden sind (z. B. Hosting, Cloud-Dienste, IT-Infrastruktur), muss der DSB, gemeinsam mit dem IT-Sicherheitsbeauftragten, sicherstellen, dass Auftragsverarbeitungsverträge und technische/organisatorische Schutzmaßnahmen mit DSGVO und NIS2 kompatibel sind.
- Bei Vorfall-Management & Incident Response: Im Falle eines Sicherheitsvorfalls, der gleichzeitig eine Datenschutzverletzung sein könnte, braucht es koordinierte Meldungs- und Reaktionsprozesse: Der DSB sollte hier mit an Bord, um eine etwaige DSGVO-Meldung korrekt durchzuführen.
- Bei Governance & Dokumentation: Die Verantwortung der Geschäftsleitung für Sicherheit und Compliance gemäß NIS2 muss durch Governance-Strukturen getragen werden. Der DSB kann, zusammen mit einem IT-Sicherheitsbeauftragten, sicherstellen, dass Datenschutz und Sicherheitsanforderungen nicht getrennt, sondern integriert gemanagt werden.
- Bei Schulungen und Sensibilisierung: Sowohl DSGVO als auch NIS2 verlangen Awareness auf Management- und Mitarbeiterebene. Der DSB sollte maßgeblich daran mitwirken, dass Datenschutz- und Sicherheitsbewusstsein gleichermaßen verbreitet werden.
Kurz gesagt: Der Datenschutzbeauftragte sollte nicht nur „Datenschutz“ im engeren Sinne betreuen, im Kontext von NIS2 ist er Teil eines integrierten Compliance- und Sicherheitsrahmens.
Fazit
Gute NIS2-Compliance kann Cybersicherheit und Datenschutz stärken. Unternehmen, die NIS2 und DSGVO gemeinsam betrachten, gewinnen einen klaren Vorteil: weniger Doppelarbeit, bessere Sicherheitslage, geringeres Risiko für Datenschutzverletzungen und Betriebsunterbrechungen.
Der neue gesetzliche Rahmen macht klar: Cybersicherheit ist Leitungsangelegenheit. Und Datenschutz sollte integraler Bestandteil einer soliden Sicherheitsstrategie sein.
Für alle Verantwortlichen (Geschäftsführungen, ISB, DSB) heißt das: Jetzt handeln! Und einen wichtigen Hebel für nachhaltige Sicherheit und Compliance im digitalen Zeitalter nutzen.
Falls Sie Interesse haben, können wir gern darüber sprechen, wie Sie Ihre NIS2- und DSGVO-Prozesse gestalten oder harmonisieren können.
