Aktuelles
Datum: 

Datenschutz & NIS-2:
Was Unternehmen jetzt für Sicherheit und Compliance tun müssen

Zwei Welten, ein Ziel: Resilienz & Verantwortung

Die neue NIS-2-Richtlinie (EU 2022/2555) verpflichtet Unternehmen mit kritischer Bedeutung zu deutlich umfassenderen Maßnahmen im Bereich Cyber-Sicherheit. Was dabei oft übersehen wird: Auch der Datenschutz profitiert - oder gerät schnell in Konflikt, wenn Governance, Incident Response und Dokumentation nicht aufeinander abgestimmt sind.

Mit NIS-2 und DSGVO greifen zwei zentrale Regelwerke ineinander, die künftig nur gemeinsam wirksam umgesetzt werden können. Besonders betroffen sind Unternehmen aus den Sektoren Energie, Gesundheit, Finanzen, Transport, Telekommunikation sowie digitale Dienste, Softwareanbieter und IT-Dienstleister.


Was ist NIS-2 und wen betrifft sie?

Die NIS-2-Richtlinie gilt für Unternehmen, die als „wesentliche“ oder „wichtige Einrichtungen“ eingestuft werden. Ziel ist es, die Cyber-Resilienz innerhalb der EU zu stärken. Die Richtlinie verpflichtet u.a. zu:

  • Sicherheitsmaßnahmen (z. B. Risikomanagement, Zugriffskontrollen, Schwachstellenmanagement)
  • Klaren Verantwortlichkeiten auf Ebene der Geschäftsleitung
  • Meldepflichten bei IT-Sicherheitsvorfällen innerhalb von 24 Stunden
  • Sanktionen bei Verstößen
  • In Deutschland erfolgt die nationale Umsetzung durch das NIS-2-Umsetzungsgesetz (NIS2UmsuCG).


Wo sind die Schnittmengen zwischen Datenschutz und NIS-2?

Während die DSGVO den Schutz personenbezogener Daten verlangt, zielt NIS-2 auf die Sicherheit von Netzwerken und Informationssicherheitssystemen. In der Praxis treffen sich beide Anforderungen in zentralen Punkten:

DSGVONIS-2
  • Art. 32: Sicherheit der Verarbeitung
  • Art. 33: Meldepflicht bei Datenschutzverletzungen
  • Datenschutz-Folgenabschätzung (DSFA)
  • Rechenschaftspflicht & Dokumentation
  • NIS-2: Art. 21 NIS-2: Technische & organisatorische Sicherheitsmaßnahmen
  • Art. 23 NIS-2: Meldepflicht bei Sicherheitsvorfällen
  • Risikoanalyse & Risikomanagement
  • Nachweis von Compliance durch Audits & Berichtspflichten-


Fazit:

Doppelte Anforderungen – aber auch doppelter Hebel, wenn Prozesse und Maßnahmen gut aufeinander
abgestimmt sind.


Wie sieht das in der Praxis aus?

Zum Beispiel wird ein Anbieter von Krankenhausinformationssysteme durch einen Ransomware-Angriff lahmgelegt. In diesem Beispiel sind sowohl Patientendaten als auch medizinische Versorgungsprozesse betroffen.

Folgen:

  • DSGVO: Meldung an die Datenschutzaufsicht innerhalb von 72 Stunden
  • NIS-2: Meldung an die nationale Cyber-Sicherheitsbehörde innerhalb von 24 Stunden

In beiden Fällen sind erforderlich:

  • Klare Rollen- und Aufgabenverteilung
  • Technische Ursachenanalyse
  • Ein nachhaltiges Präventionskonzept 
  • Vollständige Dokumentation des Vorfalls und der Maßnahmen


Welche Handlungsempfehlungen gibt es für Unternehmen?

  • Kriterien prüfen: Gehört Ihr Unternehmen zu den betroffenen Einrichtungen gemäß NIS-2? Welche spezifischen Pflichten gelten für Sie?
  • Sicherheitsarchitektur analysieren: Wie sind IT-Sicherheit und Datenschutz derzeit organisiert? Wo bestehen Synergien – und wo Lücken?
  • Meldeprozesse harmonisieren: Existiert ein abgestimmter Prozess für Sicherheitsvorfälle, insbesondere mit Datenschutzbezug?
  • Verantwortlichkeiten regeln: Sind Geschäftsleitung, CISO, Datenschutzbeauftragte und andere Schlüsselrollen auf den Ernstfall vorbereitet?
  • Awareness schaffen & Schulungen: Ist das Bewusstsein für NIS-2 und Datenschutz Teil Ihrer Sicherheitskultur?


Wie unterstützen wir Ihr Unternehmen?

Als IT & Controls Assurance bei BDO helfen wir Ihnen, Ihre Pflichten aus NIS-2 und DSGVO wirksam zu verknüpfen – mit robusten Prozessen, integrierten Systemen und klarer Governance.

Unsere Leistungen im Überblick:

  • Readiness-Check & GAP-Analyse: 
    • Wo steht Ihr Unternehmen in Bezug auf NIS-2-Compliance – und wo bestehen mögliche Zielkonflikte mit der DSGVO?
  • Aufbau eines integrierten Kontrollsystems:
    • Risikomanagement, Vorfallbearbeitung, Dokumentation und Reporting – aus einer Hand und aufeinander abgestimmt.
  • Prüfung/Beratung bei Incident Response & Meldepflichten:
    • Was ist wann zu tun – und wie wird korrekt, revisionssicher und adressatengerecht dokumentiert?
  • Koordination von Datenschutz und IT-Security: 
    • Wir gestalten Schnittstellen effizient und stärken die Zusammenarbeit zwischen CISO, DSB und IT.
  • Schulungen & Notfallübungen:
    • Zielgruppenspezifische Trainings –  vom IT-Team bis zur Geschäftsleitung, praxisnah und wirkungsvoll.


Fazit: Wer vorbereitet ist, reduziert Risiken – und stärkt Vertrauen

Mit NIS-2 wächst der Druck, Cyber-Sicherheit und Datenschutz ganzheitlich zu denken. Unternehmen, die jetzt integriert handeln, erfüllen nicht nur regulatorische Anforderungen – sie stärken ihre digitale Resilienz und gewinnen das Vertrauen von Kundinnen und Kunden, Partnern und Aufsichtsbehörden.

Wir begleiten Sie – fachlich fundiert, interdisziplinär und praxiserprobt.



Dieser Artikel wurde verfasst von