Seit die NIS2-Richtlinie in den Fokus gerückt ist, bekomme ich von Geschäftsführern in der Region Neckar-Alb regelmäßig dieselbe Frage: “Müssen wir jetzt bei null anfangen?” Meine Antwort ist meistens beruhigend. Wer seinen Datenschutz ernst nimmt und ein sauberes Setup nach DSGVO betreibt, hat einen großen Teil der Hausaufgaben bereits gemacht. NIS2 und Datenschutz sind nicht dasselbe, aber sie teilen sich ein Fundament.
Ich möchte in diesem Beitrag klar trennen, was zu meiner Arbeit gehört und was nicht. NIS2 ist in erster Linie ein Thema der IT-Sicherheit und braucht spezialisierte Partner. Ich bin externer Datenschutzbeauftragter, kein NIS2-Berater. Was ich beisteuere, ist das Datenschutz-Fundament, auf dem viele NIS2-Anforderungen aufsetzen. Wie groß diese Schnittmenge ist, zeige ich Ihnen hier.
Was NIS2 ist und wen es betrifft
NIS2 ist eine EU-Richtlinie zur Cybersicherheit. Sie löst die erste NIS-Richtlinie ab und weitet den Kreis der betroffenen Unternehmen deutlich aus. Ziel ist ein einheitliches Mindestniveau an Cybersicherheit für Einrichtungen, die für Wirtschaft und Gesellschaft als wichtig oder besonders wichtig gelten. Die Umsetzung in deutsches Recht regelt das nationale Umsetzungsgesetz, das die konkreten Pflichten festlegt.
Betroffen sind je nach Sektor und Größe deutlich mehr Organisationen als früher. Die Richtlinie unterscheidet zwischen “wesentlichen” und “wichtigen” Einrichtungen, etwa in den Bereichen Energie, Verkehr, Gesundheit, digitale Infrastruktur, Abwasser, Lebensmittel oder verarbeitendes Gewerbe. Maßgeblich sind unter anderem Mitarbeiterzahl und Jahresumsatz. Ob ein konkretes Unternehmen unter NIS2 fällt, ist eine Einzelfallprüfung, die spezialisierte Berater vornehmen sollten. Das ist ausdrücklich nicht meine Leistung.
Die Kernpflichten von NIS2 lassen sich in drei Blöcke fassen: Risikomanagement im Bereich Cybersicherheit, Meldepflichten bei erheblichen Sicherheitsvorfällen und die direkte Verantwortung der Geschäftsleitung. Genau diese drei Blöcke kennen Sie in ähnlicher Form bereits aus der DSGVO.
Wo sich NIS2 und DSGVO überschneiden
Beide Regelwerke verfolgen unterschiedliche Schutzziele. Die DSGVO schützt personenbezogene Daten und das Recht auf informationelle Selbstbestimmung. NIS2 schützt die Funktionsfähigkeit und Sicherheit kritischer und wichtiger Dienste. Trotzdem greifen sie an vielen Stellen auf dieselben Mechanismen zurück. Der wichtigste gemeinsame Nenner sind die technischen und organisatorischen Maßnahmen.
Art. 32 DSGVO verlangt von Ihnen, die Sicherheit der Verarbeitung durch geeignete technische und organisatorische Maßnahmen zu gewährleisten. Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme stehen dort im Gesetzestext. Genau diese Begriffe finden sich auch im Risikomanagement von NIS2 wieder. Wer für seine Datenverarbeitung bereits durchdachte TOMs dokumentiert hat, betreibt die Grundlage dessen, was NIS2 als Cybersicherheitsmaßnahmen einfordert.
Die folgende Tabelle zeigt die wichtigsten Überschneidungen.
| Anforderung | DSGVO | NIS2 |
|---|---|---|
| Schutzmaßnahmen | Art. 32: TOMs für die Verarbeitung | Risikomanagementmaßnahmen für Netz- und Informationssysteme |
| Risikobasierter Ansatz | Risikoabwägung, ggf. Datenschutz-Folgenabschätzung | Risikoanalyse und Risikobehandlung als Pflicht |
| Meldung von Vorfällen | Meldung der Datenpanne binnen 72 Stunden | Frühwarnung und Meldung erheblicher Sicherheitsvorfälle in Stufen |
| Dokumentation | Verarbeitungsverzeichnis, Rechenschaftspflicht | Nachweis der getroffenen Maßnahmen |
| Verantwortung | Verantwortlicher nach Art. 4 | Haftung und Pflichten der Geschäftsleitung |
| Lieferkette | Auftragsverarbeitung nach Art. 28 | Sicherheit der Lieferkette und der Dienstleister |
Sie sehen: Die Spalten unterscheiden sich im Detail, aber die Logik ist verwandt. Beide Regelwerke denken in Risiken, verlangen Nachweise und machen die Leitungsebene verantwortlich.
Meldepflichten: ein vertrautes Muster
Wenn bei Ihnen personenbezogene Daten unrechtmäßig offengelegt oder verloren gehen, müssen Sie diese Datenpanne in der Regel binnen 72 Stunden an die zuständige Aufsichtsbehörde melden. Dieses Verfahren kennen Unternehmen, die ihren Datenschutz ordentlich aufgesetzt haben, bereits aus der Praxis. Sie haben Prozesse, wer einen Vorfall erkennt, wer ihn bewertet und wer die Meldung absetzt.
NIS2 verlangt ein vergleichbares, aber gestuftes Meldeverfahren bei erheblichen Sicherheitsvorfällen, mit einer ersten Frühwarnung innerhalb von 24 Stunden und ausführlicheren Meldungen danach. Die Adressaten sind andere, und die zuständige Stelle ist nicht dieselbe wie die datenschutzrechtliche Aufsichtsbehörde. Aber das organisatorische Grundgerüst ist identisch: ein klar definierter Incident-Prozess mit Verantwortlichkeiten, Eskalationswegen und Fristen.
Ich rate meinen Mandanten ohnehin, ihren Datenpannen-Prozess sauber zu dokumentieren. Wie das geht, beschreibe ich im Ratgeber zum Datenpanne melden. Ein solcher Prozess ist die Blaupause für jedes weitere Meldeverfahren, das ein Unternehmen aufsetzen muss, auch außerhalb des Datenschutzes.
Die Lieferkette als gemeinsame Schwachstelle
Ein Aspekt, der bei NIS2 stark betont wird, ist die Sicherheit der Lieferkette. Ihre eigenen Systeme können noch so gut geschützt sein: Wenn ein Dienstleister, der für Sie tätig ist, kompromittiert wird, betrifft das auch Sie. NIS2 verlangt deshalb, dass Unternehmen die Cybersicherheit ihrer Zulieferer und Dienstleister berücksichtigen und vertraglich absichern.
Im Datenschutz kennen Sie dieses Prinzip längst. Jeder Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet, braucht einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Darin sichern Sie zu, dass der Dienstleister angemessene Schutzmaßnahmen trifft, und Sie prüfen ihn vor der Beauftragung. Wer seine Auftragsverarbeiter sauber gemappt und vertraglich gebunden hat, hat damit bereits eine Inventur seiner kritischen Dienstleister. Genau diese Liste ist auch für ein NIS2-Lieferkettenmanagement der Ausgangspunkt. Die Details zur sauberen Vertragsgestaltung finden Sie im Ratgeber Auftragsverarbeitung.
Der risikobasierte Ansatz als gemeinsame Sprache
Sowohl DSGVO als auch NIS2 sind risikobasiert. Das bedeutet: Es gibt keine starre Checkliste, die für alle gilt. Stattdessen müssen Sie das Risiko Ihrer konkreten Verarbeitung beziehungsweise Ihrer Systeme bewerten und die Schutzmaßnahmen daran ausrichten. Im Datenschutz arbeite ich mit Risikoabwägungen, und bei hohem Risiko mit einer formellen Datenschutz-Folgenabschätzung.
Wer diese Denkweise im Datenschutz verinnerlicht hat, tut sich mit dem NIS2-Risikomanagement leichter. Die Methodik ist dieselbe: Werte und Verarbeitungen identifizieren, Bedrohungen einschätzen, Eintrittswahrscheinlichkeit und Schadenshöhe bewerten, Maßnahmen ableiten und das Ganze regelmäßig überprüfen. Ein gut geführtes Verarbeitungsverzeichnis liefert dafür bereits eine erste Inventur Ihrer Datenverarbeitungen.
In der Praxis erlebe ich, dass Unternehmen, die schon einmal eine Risikoabwägung für eine Verarbeitung durchgeführt haben, die Logik schnell auf andere Bereiche übertragen. Sie wissen, dass nicht jede Maßnahme für jedes Risiko gleich sinnvoll ist und dass Schutz immer im Verhältnis zum Risiko stehen muss. Diese Verhältnismäßigkeit ist auch der Kern von NIS2: Es geht nicht darum, blind das Maximum an Technik zu kaufen, sondern die Maßnahmen am tatsächlichen Schutzbedarf auszurichten. Wer das im Datenschutz gelernt hat, fällt im Cybersicherheitskontext nicht auf teure Scheinlösungen herein.
Dokumentation und Verantwortung der Geschäftsleitung
Die DSGVO kennt die Rechenschaftspflicht nach Art. 5 Abs. 2: Sie müssen nicht nur rechtmäßig handeln, sondern das auch nachweisen können. NIS2 setzt einen ähnlichen Hebel an, indem es die Geschäftsleitung ausdrücklich in die Pflicht nimmt und Nachweise über die getroffenen Maßnahmen verlangt. In beiden Fällen ist eine ungeordnete Sammlung von Einzeldokumenten zu wenig. Gefragt ist eine strukturierte, gepflegte Dokumentation.
Genau hier sehe ich meinen Beitrag. Wenn ich für ein Unternehmen ein belastbares Datenschutz-Managementsystem aufbaue, entsteht eine Dokumentationskultur, die weit über den Datenschutz hinaus trägt. Verantwortlichkeiten sind benannt, Prozesse sind beschrieben, Maßnahmen sind nachvollziehbar. Das ist exakt das Fundament, auf dem ein NIS2-Projekt später aufsetzen kann, ohne bei null zu beginnen.
Ein praktischer Punkt, den ich Geschäftsführern immer wieder erkläre: Die Verantwortung lässt sich nicht delegieren. Sie können den Datenschutz an mich auslagern und die NIS2-Umsetzung an einen IT-Sicherheitspartner geben, aber die letztverantwortliche Stelle bleibt die Geschäftsleitung. Das ist im Datenschutz so und bei NIS2 noch ausdrücklicher. Deshalb ist es wichtig, dass die Leitung versteht, welche Risiken im Raum stehen und welche Maßnahmen getroffen wurden. Eine saubere Dokumentation ist dafür die Voraussetzung. Sie macht aus einem Bauchgefühl eine belastbare Entscheidungsgrundlage.
Was ich beitrage und was spezialisierte Partner leisten
Ich will hier nicht den Eindruck erwecken, ich würde NIS2-Compliance herstellen. Das tue ich nicht. NIS2 umfasst technische Schutzmaßnahmen wie Netzsegmentierung, Endpoint-Sicherheit, Backup- und Wiederherstellungskonzepte, Schwachstellenmanagement und Business Continuity. Das ist Aufgabe spezialisierter IT-Sicherheitsdienstleister und Berater. Diese Partner kennen die sektorspezifischen Anforderungen und die zuständigen Behörden.
Mein Beitrag ist der Datenschutz-Layer. Ich sorge dafür, dass Ihr Fundament steht: dass Ihre TOMs durchdacht und dokumentiert sind, dass Ihr Verarbeitungsverzeichnis stimmt, dass Auftragsverarbeiter sauber vertraglich gebunden sind und dass Ihr Meldeprozess für Datenpannen funktioniert. Ein guter Einstieg ist oft ein Datenschutz-Audit, das den Ist-Zustand ehrlich erfasst. Daraus ergibt sich, welche Bausteine schon tragen und welche nachgezogen werden müssen.
Wer mit den DSGVO-Pflichten ohnehin noch unsicher ist, findet im Themen-Hub DSGVO-Pflichten einen geordneten Überblick. Und wer wissen will, wie der Datenschutz an weitere Compliance-Themen andockt, findet das im Hub Datenschutz-Schnittstellen.
Mein Fazit für Unternehmen in der Region
NIS2 wirkt auf viele Geschäftsführer zunächst wie ein neuer, großer Block. In Wahrheit baut die Richtlinie auf Prinzipien auf, die im Datenschutz längst etabliert sind: Risiken bewerten, Maßnahmen treffen, Vorfälle melden, alles dokumentieren und die Leitung in die Verantwortung nehmen. Wer seinen Datenschutz solide aufgestellt hat, startet bei NIS2 nicht bei null, sondern mit einem Vorsprung.
Mein Rat ist deshalb pragmatisch: Bringen Sie zuerst Ihr Datenschutz-Fundament in Ordnung, bevor Sie sich von NIS2 unter Druck setzen lassen. Das spart später doppelte Arbeit, weil viele Bausteine ohnehin gebraucht werden. Wenn Sie wissen möchten, wie stabil Ihr Fundament aktuell ist, lade ich Sie zu einem Datenschutz-Erstgespräch ein. Wir schauen gemeinsam auf Ihre TOMs, Ihre Dokumentation und Ihre Prozesse. Eine erste Einordnung bekommen Sie über meine Datenschutzberatung oder direkt über das Kontaktformular. Die spezialisierten NIS2-Partner kommen danach ins Spiel, auf einem Fundament, das bereits trägt.