Cybersecurity

DSGVO und NIS-2: Wo sich Datenschutz und Cybersicherheit überschneiden

DSGVO und NIS-2: Entdecken Sie die wichtigsten Schnittmengen zwischen Datenschutz und Cybersicherheit. Praxisleitfaden für effiziente Compliance-Umsetzung mit ISO 27001, IT-Grundschutz und Integration von CRA, DORA und AI Act.

DSGVO und NIS-2: Wo sich Datenschutz und Cybersicherheit überschneiden
Photo by Aaron Burden / Unsplash

Die Umsetzungsfrist für die NIS-2-Richtlinie ist im Oktober 2024 abgelaufen — Deutschland hat die Umsetzung im Dezember 2025 endlich geschafft!

Deutsche Unternehmen stehen vor der Herausforderung, die neuen Cybersicherheitsanforderungen mit bestehenden Compliance-Verpflichtungen zu harmonisieren. Besonders die Datenschutz-Grundverordnung (DSGVO) weist erhebliche Überschneidungen mit NIS-2 auf. In diesem Artikel analysieren wir die zentralen Schnittmengen und zeigen, wie Unternehmen beide Regelwerke effizient umsetzen können.

Die regulatorische Ausgangslage: Zwei Säulen der digitalen Sicherheit

Die Datenschutz-Grundverordnung (DSGVO) regelt seit Mai 2018 den Schutz personenbezogener Daten in der Europäischen Union und zielt primär auf den Schutz der Grundrechte natürlicher Personen ab. Die NIS-2-Richtlinie (Network and Information Security Directive) hingegen fokussiert auf die Resilienz kritischer Infrastrukturen und die Sicherheit von Netz- und Informationssystemen. Beide Regelwerke verfolgen unterschiedliche Schutzzwecke, überschneiden sich jedoch in wesentlichen Bereichen der IT-Sicherheit.

Für betroffene Unternehmen stellt sich die zentrale Frage: Wie lassen sich diese Anforderungen effizient integrieren? Unsere Erfahrung in der NIS-2 Compliance Beratung zeigt, dass ein systematischer Ansatz erhebliche Synergien erschließen kann.

Zentrale Schnittmengen von DSGVO und NIS-2

1. Technische und organisatorische Maßnahmen (TOM)

DSGVO-Perspektive (Art. 32 DSGVO):
Die Datenschutz-Grundverordnung verpflichtet Verantwortliche zur Implementierung technischer und organisatorischer Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierzu zählen insbesondere:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Verarbeitungssystemen
  • Wiederherstellbarkeit der Verfügbarkeit von Daten nach Sicherheitsvorfällen
  • Regelmäßige Überprüfung der Wirksamkeit der Maßnahmen

NIS-2-Perspektive (Art. 21 NIS-2-Richtlinie):
NIS-2 fordert von betroffenen Einrichtungen umfassende Risikomanagement-Maßnahmen für die Cybersicherheit, darunter:

  • Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen (Incident Response)
  • Aufrechterhaltung des Betriebs (Business Continuity)
  • Sicherheit der Lieferkette
  • Verschlüsselung und kryptographische Verfahren

Die Überschneidung: In der praktischen Umsetzung ergeben sich erhebliche Synergien. Unternehmen, die bereits ein robustes Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 oder BSI IT-Grundschutz implementiert haben, können viele DSGVO-Anforderungen und NIS-2-Verpflichtungen parallel erfüllen. Die technischen Schutzmaßnahmen – etwa Zugangskontrollen, Verschlüsselung oder Segmentierung – dienen beiden Zielen: dem Schutz personenbezogener Daten und der Systemresilienz.

2. Meldepflichten bei Sicherheitsvorfällen

Eine der größten Herausforderungen für Unternehmen liegt in den teilweise unterschiedlichen Meldepflichten beider Regelwerke.

DSGVO-Meldepflicht (Art. 33, 34 DSGVO):

  • Meldung an die zuständige Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten
  • Benachrichtigung der betroffenen Personen bei hohem Risiko für deren Rechte und Freiheiten
  • Dokumentationspflicht aller Datenschutzverletzungen

NIS-2-Meldepflicht (Art. 23 NIS-2-Richtlinie):

  • Frühwarnung an CSIRT oder zuständige Behörde binnen 24 Stunden
  • Meldung binnen 72 Stunden mit Einschätzung des Vorfalls
  • Abschlussbericht innerhalb eines Monats
  • Geltungsbereich: Erhebliche Sicherheitsvorfälle, die Dienstverfügbarkeit beeinträchtigen

Die Herausforderung: Ein Cyberangriff kann beide Meldepflichten auslösen – beispielsweise wenn durch eine Ransomware-Attacke sowohl Systemverfügbarkeit beeinträchtigt als auch personenbezogene Daten kompromittiert werden. Unternehmen müssen daher klare Incident-Response-Prozesse etablieren, die beide Melderegime berücksichtigen.

Zur Unterstützung bei der Fristenberechnung bietet ING ISM spezialisierte Tools: den Cybervorfall-Meldefristen-Rechner für NIS-2-Vorfälle und das Datenschutzpanne-Meldetool für DSGVO-Meldungen.

3. Governance und Verantwortlichkeit auf Leitungsebene

Beide Regelwerke betonen die Verantwortung der Unternehmensleitung für Sicherheit und Compliance.

DSGVO: Das Accountability-Prinzip (Art. 5 Abs. 2 DSGVO) verpflichtet Verantwortliche zur Nachweisführung der Einhaltung aller Datenschutzgrundsätze. Die Geschäftsführung trägt die Gesamtverantwortung.

NIS-2: Artikel 20 NIS-2 macht explizit die Leitungsorgane für die Umsetzung und Überwachung der Risikomanagementmaßnahmen verantwortlich. Führungskräfte müssen Schulungen absolvieren und können bei Verstößen persönlich haftbar gemacht werden.

Gemeinsame Anforderung: Die Security-Governance muss auf C-Level-Ebene verankert sein. Ein Informationssicherheitsbeauftragter (ISB) oder externer CISO kann beide Compliance-Anforderungen koordinieren und die notwendigen Strukturen implementieren. Insbesondere für mittelständische Unternehmen ist die Beauftragung eines externen ISB häufig die effizienteste Lösung.

4. Betroffener Adressatenkreis

Unter NIS-2 fallende Unternehmen unterliegen gleichzeitig der DSGVO. Zur schnellen Klärung der NIS-2-Betroffenheit bietet ING ISM eine kostenlose Betroffenheitsanalyse an, alternativ gibt es auch eine offizielle Orientierungshilfe vom BSI zur Betroffenheit.

NIS-2 betrifft insbesondere:

  • Wesentliche Einrichtungen: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt
  • Wichtige Einrichtungen: Post- und Kurierdienste, Abfallbewirtschaftung, chemische Stoffe, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung

DSGVO gilt für:

  • Alle Unternehmen, die personenbezogene Daten verarbeiten

Die Schnittmenge ist erheblich: Ein Krankenhaus, ein Energieversorger oder ein Cloud-Anbieter muss beide Regelwerke vollständig umsetzen.

5. Risikomanagement und Bewertungsmethodik

Beide Verordnungen fordern einen risikobasierten Ansatz:

  • DSGVO: Datenschutz-Folgenabschätzung (Art. 35 DSGVO) bei hohem Risiko für die Rechte und Freiheiten natürlicher Personen
  • NIS-2: Umfassende Risikoanalyse für Netz- und Informationssysteme mit Fokus auf Cybersicherheitsrisiken

Moderne Risikomanagement-Frameworks wie ISO 27001 oder das BSI-IT-Grundschutz-Kompendium können beide Anforderungen integrieren. Für einen schnellen Einstieg empfiehlt sich unser Cyberrisikocheck nach DIN SPEC 27076.

Unterschiede und Abgrenzungen

Trotz der Überschneidungen bleiben wichtige Unterschiede:

Aspekt DSGVO NIS-2
Schutzzweck Grundrechte natürlicher Personen Funktionsfähigkeit kritischer Infrastrukturen
Schutzgegenstand Personenbezogene Daten Netz- und Informationssysteme
Sanktionen Bis 20 Mio. € oder 4% Jahresumsatz Bis 10 Mio. € oder 2% Jahresumsatz (wesentliche Einrichtungen)
Zuständige Behörde Datenschutzbehörden BSI / nationale Cybersicherheitsbehörden
Extraterritorialität Marktortprinzip (globale Anwendung) Primär EU-Binnenmarkt

Praktische Empfehlungen für eine effiziente Compliance-Umsetzung

1. Integriertes Managementsystem etablieren

Anstatt parallele Compliance-Strukturen aufzubauen, empfiehlt sich ein integriertes Informationssicherheitsmanagementsystem (ISMS), das sowohl DSGVO- als auch NIS-2-Anforderungen abdeckt. Als Grundlage eignen sich:

  • ISO 27001: Internationaler Standard für Informationssicherheit mit klarem Zertifizierungsrahmen
  • BSI IT-Grundschutz: Deutscher Standard mit praxisorientierten Bausteinen und Maßnahmenkatalogen

ING ISM bietet umfassende Unterstützung bei der Implementierung von ISO 27001 und der Integration mit NIS-2-Anforderungen.

2. Einheitliches Incident-Response-Management

Entwickeln Sie einen Incident-Response-Plan, der beide Melderegime berücksichtigt:

  • Klare Klassifizierung von Vorfällen (DSGVO-relevante Datenpannen vs. NIS-2-Sicherheitsvorfälle)
  • Definierte Eskalationswege und Verantwortlichkeiten
  • Templates für Meldungen an unterschiedliche Behörden
  • Regelmäßige Tabletop-Übungen zur Simulation von Vorfällen

Die spezialisierten Meldetools von ING ISM vereinfachen die fristgerechte Erfüllung der Meldepflichten erheblich.

3. Dokumentation und Nachweisführung

Beide Regelwerke verlangen umfassende Dokumentation. Etablieren Sie systematische Prozesse für:

  • Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Dokumentation der Risikomanagementmaßnahmen (NIS-2)
  • Sicherheitsvorfallregister
  • Schulungsnachweise für Mitarbeiter und Leitungsorgane
  • Ergebnisse regelmäßiger Sicherheitsüberprüfungen und Audits

4. Externe Expertise einbeziehen

Die Komplexität beider Regelwerke und deren Wechselwirkungen erfordern spezialisiertes Know-how. Die Beauftragung eines externen Informationssicherheitsbeauftragten oder CISO kann insbesondere für mittelständische Unternehmen sinnvoll sein, die nicht über eigene Security-Abteilungen verfügen. Mit dem Externer ISB Kosten-Rechner können Sie die Investition transparent kalkulieren.

Die erweiterte Regulierungslandschaft: CRA, DORA und AI Act

Die Konvergenz von Datenschutz und Cybersicherheit setzt sich fort. Neben DSGVO und NIS-2 sind weitere EU-Regelwerke bereits in Kraft getreten, die zusätzliche Überschneidungen schaffen:

Cyber Resilience Act (CRA)

Der CRA ist am 10. Dezember 2024 in Kraft getreten und wird ab 11. Dezember 2027 vollständig anwendbar. Er reguliert Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Hardware und Software) und verlangt:

  • Sichere Entwicklung nach dem "Security by Design"-Prinzip
  • Vulnerability Disclosure und Patch-Management über den gesamten Produktlebenszyklus
  • Meldepflichten für Sicherheitslücken (ab 11. September 2026)
  • CE-Kennzeichnung für konforme Produkte

Überschneidung mit DSGVO/NIS-2: Hersteller, die unter NIS-2 fallen und personenbezogene Daten verarbeiten, müssen nun auch CRA-Anforderungen erfüllen. Die Sicherheitsmaßnahmen und Meldepflichten ähneln sich stark, was eine integrierte Compliance-Strategie erforderlich macht.

Digital Operational Resilience Act (DORA)

DORA gilt seit 17. Januar 2025 verbindlich für den Finanzsektor und umfasst rund 22.000 regulierte Finanzinstitute in der EU. Die Verordnung fordert:

  • Umfassendes ICT-Risikomanagement-Framework
  • Incident-Reporting an zuständige Aufsichtsbehörden
  • Digitale Resilienz-Tests (einschließlich Threat-Led Penetration Testing)
  • Third-Party-Risikomanagement mit strengen vertraglichen Anforderungen
  • Oversight-Framework für kritische ICT-Dienstleister

Überschneidung mit DSGVO/NIS-2: Finanzinstitute müssen DORA, DSGVO und (sofern betroffen) NIS-2 parallel umsetzen. Die Meldepflichten, technischen Schutzmaßnahmen und Governance-Anforderungen überschneiden sich erheblich. Ein integriertes Compliance-Management ist unverzichtbar.

EU AI Act

Der AI Act ist am 1. August 2024 in Kraft getreten, mit gestaffelter Anwendung:

  • Seit 2. Februar 2025: Verbote für KI mit unannehmbarem Risiko (Social Scoring, Emotionserkennung am Arbeitsplatz, biometrische Kategorisierung)
  • Seit 2. August 2025: Regelungen für General Purpose AI (GPAI), Dokumentationspflichten, Marktüberwachung und Sanktionen
  • Ab 2. August 2026: Vollständige Anforderungen an Hochrisiko-KI-Systeme

Überschneidung mit DSGVO/NIS-2: Der AI Act berührt sowohl Datenschutz als auch Cybersicherheit:

  • DSGVO-Bezug: KI-Systeme, die personenbezogene Daten verarbeiten, müssen sowohl AI-Act- als auch DSGVO-Anforderungen erfüllen (Transparenz, Datenschutz-Folgenabschätzung, Rechtmäßigkeit der Verarbeitung)
  • NIS-2-Bezug: Hochrisiko-KI in kritischen Infrastrukturen (z.B. Energieversorgung, Gesundheitswesen) muss zusätzlich zu NIS-2-Cybersicherheitsanforderungen die AI-Act-Vorgaben beachten
  • Technische Maßnahmen: Robustheit, Cybersicherheit und Risikomanagement für KI-Systeme überschneiden sich mit ISMS-Anforderungen

Integrierte Compliance-Strategie für die Multi-Regulierungs-Landschaft

Unternehmen sollten ihre Compliance-Architektur integriert gestalten:

  1. Gemeinsames Risikomanagement-Framework: Ein modernes ISMS nach ISO 27001 oder BSI IT-Grundschutz bildet die Basis für DSGVO, NIS-2, CRA, DORA und AI Act
  2. Konsolidierte Meldeprozesse: Einheitliche Incident-Response-Prozesse mit klarer Zuordnung zu verschiedenen Meldepflichten
  3. Zentrale Governance: CISO/ISB mit Gesamtverantwortung für alle regulatorischen Anforderungen
  4. Integrierte Dokumentation: Gemeinsame Dokumentationsstrukturen statt paralleler Compliance-Silos
  5. Kontinuierliche Weiterbildung: Schulungsprogramme, die alle relevanten Regulierungen abdecken

Für Unternehmen, die prüfen möchten, wie diese verschiedenen Regelwerke zusammenspielen, bietet ING ISM eine ganzheitliche Informationssicherheitsberatung, die alle regulatorischen Anforderungen berücksichtigt.

Synergien nutzen statt doppelter Aufwand

DSGVO, NIS-2, CRA, DORA und AI Act verfolgen unterschiedliche, aber komplementäre Ziele. Die Schnittmengen in den Bereichen technische Sicherheitsmaßnahmen, Meldepflichten, Governance und Risikomanagement ermöglichen eine integrierte Umsetzung. Unternehmen, die ein modernes, ganzheitliches Informationssicherheitsmanagementsystem implementieren, erfüllen nicht nur alle Regelwerke effizient, sondern erhöhen auch ihre tatsächliche Cyber-Resilienz.

Die Herausforderung liegt weniger in der technischen Umsetzung als vielmehr in der organisatorischen Koordination und der Schaffung eines konsistenten Compliance-Frameworks. Mit der richtigen Strategie und fachkundiger Unterstützung lässt sich der regulatorische Aufwand deutlich reduzieren – bei gleichzeitig verbesserter Sicherheitslage.

Read more

Zero-Trust-Architektur: Eine Möglichkeit für NIS2- und DORA-Compliance

Zero-Trust-Architektur: Eine Möglichkeit für NIS2- und DORA-Compliance

Die fortschreitende Digitalisierung, Cloud-Migration und der Wandel zur hybriden Arbeitswelt erfordern ein fundamentales Umdenken in der IT-Sicherheitsstrategie europäischer Unternehmen. Die Zero-Trust-Architektur (ZTA) etabliert sich als maßgebliches Sicherheitsparadigma, das die Prämisse „niemals vertrauen, immer verifizieren" in den Mittelpunkt stellt. Dieser Artikel analysiert die theoretischen Grundlagen, praktischen Implementierungsstrategien und die Auswirkungen
OT-Security für Produktionsunternehmen: IT und OT sicher verbinden

OT-Security für Produktionsunternehmen: IT und OT sicher verbinden

Die fortschreitende digitale Transformation im Produktionsumfeld, insbesondere durch Industrie 4.0-Initiativen, führt zu einer zunehmenden Konvergenz von klassischer Informationstechnologie (IT) und Betriebstechnologie (Operational Technology, OT). Diese Entwicklung eröffnet zwar erhebliche Effizienzpotenziale, schafft jedoch gleichzeitig neue Angriffsvektoren für Cyber-Bedrohungen. Die sichere Integration beider Welten erfordert ein fundiertes Verständnis der spezifischen Anforderungen