Startseite > Security > Synergien zwischen DSGVO und NIS2

Datensicherung und -sicherheit

Synergien zwischen DSGVO und NIS2

27. Mai 2025, 7:27 Uhr | Autor: Ricardo José Garrido Reichelt / Redaktion: Diana Künstler

Vergangenen Sonntag jährte sich die DSGVO bereits zum siebten Mal. Was 2018 begann, setzt die EU mit NIS2 konsequent fort: den Trend zu verstärkter Regulation von Prozessen in der IT und Datenverarbeitung. Wenn auch mit anderer Stoßrichtung...

Unternehmen und Organisationen sollen ihre digitalen Prozesse und Infrastrukturen robuster aufsetzen, um Cyberattacken besser überstehen zu können. Wer schon jetzt konsequent und zielgerichtet daran gearbeitet hat, die Vorgaben der DSGVO, die der Datensicherheit und dem Datenschutz dienen, einzuhalten, wird nun profitieren, wenn NIS2 auf der Agenda steht. Auch wenn es noch weiter einiges zu tun gibt.

Es ist wichtig, dass die Sicherheitsverantwortlichen in Unternehmen mehr tun, um die Folgen erfolgreicher Attacken besser und effizienter einzudämmen. Zu häufig kommt es zu Totalausfällen, Datenverlusten oder großen Schäden für die betroffenen Firmen, deren Zulieferer und Kunden. Ein Blick auf Opfer von Cyberangriffen der jüngsten Zeit zeigt ein heterogenes Opferspektrum aus den unterschiedlichsten Branchen – von einem Autohaus über den Reutlinger General-Anzeiger zu Brauereien, Vergleichsportalen, Rheinmetall und Samsung Deutschland, mit einem Datendiebstahl über den IT-Dienstleister Spectos im April 2025.

Die DSGVO hat immerhin dafür gesorgt, dass Datenschutzverantwortliche in der Wirtschaft sorgsamer mit personenbezogenen Daten umgehen – vor allem seitdem Verstöße eine teure Angelegenheit geworden sind. Laut der „GDPR Fines and Data Breach Survey” der Wirtschafskanzlei DLA Piper wurden seit Inkrafttreten der DSGVO im Mai 2018 Strafen in einem Volumen von insgesamt 5,88 Milliarden Euro verhängt – in Deutschland 2024 über 89,1 Millionen Euro. NIS2 wollen die Verantwortlichen durch ein ähnliches Bußgeldkonzept Geltung verschaffen. Zusätzlich sollen Geschäftsinhaber und Leiter mit ihrem Privatvermögen haften. Einige Unternehmen haben daher längst damit begonnen, NIS-Compliance umzusetzen und die großen Unternehmensberatungen wie KPMG zu Rate gezogen. Deren Erfahrung zeigt, dass Unternehmen auf unterschiedlichste Probleme stoßen, da die Richtlinie reichlich Interpretationsspielraum lässt und letzten Endes völlig individuell umzusetzen ist. Oft steckt der Teufel im Detail, so wenn es darum geht, welche Entscheider-Organe verantwortlich sind, wie Meldepflichten bei Vorfällen zu handhaben sind. Oder beim Thema, die Verfügbarkeit der für den Betrieb essenziellen Technologien zu sichern.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Die Krux mit der Meldepflicht

Eine der forderndsten Vorgaben bei beiden Regularien ist die Meldepflicht bei Cybervorfällen. Die DSGVO verlangt, Verstöße gegen den Datenschutz innerhalb von 72 Stunden zu melden. NIS2 schrumpft das Zeitfenster, schwerwiegende Cybersicherheitsvorfälle zu melden – auf 24 Stunden.

Die nötigen Workflows und Prozesse sollten also nicht nur seit Gültigkeit der DSGVO bereits aufgesetzt sein, sie sind jetzt noch zu beschleunigen. Unternehmen sollten unbedingt automatisierte Prozesse einsetzen, um ihren Datenbestand zu verstehen, und wichtige Informationen mit Hinblick auf eine NIS2-Compliance kategorisieren.

Noch wichtiger ist, dass sie im Ernstfall auch während einer laufenden Attacke handlungsfähig bleiben. Sie sollten hierzu dem Konzept der „Minimum Viable Company“ folgen. Nach diesem Ansatz legen die Entscheider – idealerweise aller Abteilungen – vorab genau fest, welche Infrastruktur und Systeme, Applikationen, Prozesse und Umgebungen absolut notwendig sind, um einen Notbetrieb aufrechtzuerhalten. Dieses Minimalpaket legen die Unternehmen an einem isolierten Ort gesichert ab, so dass es vor Angriffen unberührt bleibt. Im Falle einer Attacke aktivieren IT-Sicherheits- und IT-Betriebsteams gemeinsam das Notpaket aus diesem digitalen Reinraum. Gemeinsam arbeiten sie daran, die Produktions-IT gehärtet neu aufzuspielen – und parallel den Angriff, betroffene Informationen sowie die ausgenutzten und existierenden Hintertüren zu untersuchen und zu schließen. Nur wer unverzüglich so handeln und in die Analyse übergehen kann, kann die knappe Meldepflicht einhalten.

Risiken präventiv managen

Die DSGVO fordert eine Datenschutz-Folgenabschätzung (DSFA) für Hochrisikoverarbeitungen, NIS2 wiederum verlangt nach Risikomanagementmaßnahmen im Zusammenhang mit der IT-Infrastruktur. Dazu gehören beispielsweise Risikoanalysen und Pläne für die Kontinuität der Geschäftsprozesse. Analyseprozesse aus der DSGVO lassen sich aufgreifen und entsprechend erweitern, um sowohl Datenschutz- als auch Cybersicherheitsrisiken abzudecken.

Um Risiken möglichst frühzeitig zu erkennen, sollten IT-Sicherheitsverantwortliche ihren Datenbestand entsprechend durchleuchten. Wollen sie dabei ihre Produktionsumgebung möglichst wenig belasten, lohnt es sich für sie, auch ihre Backups zu durchforsten. Auch hier lassen sich Anomalien als Folge von Angriffen aufspüren, welche die Sicherheitsteams dann genauer unter die Lupe nehmen können – um im Idealfall eine entstehende Attacke schon frühzeitig abzublocken.

Um das Risiko weiter zu senken, sollten die IT-Teams und CISOs die Recovery von Daten und Systemen regelmäßig testen und das Zusammenspiel aller Beteiligten üben - und zwar in einem echten Cleanroom – mit den wirklichen Daten und nicht nur auf dem Papier. Nur so können die Teams Lücken in den Plänen aufspüren, Probleme in der Abstimmung und den Workflows aufdecken. Solche Erkenntnisse sollte man unbedingt vor dem Ernstfall einer Attacke sammeln. Denn während des Angriffs stehen die Akteure unter enormem zeitlichemn und mentalem Druck.

Synergien zwischen DSGVO und NIS2

Weitere Synergien beschleunigen die NIS2-Compliance: Die DSGVO verlangt, personelle Ressourcen wie einen Datenschutzbeauftragten (DSB) einzurichten und entsprechende Governance-Strukturen zu implementieren. NIS2 wiederum fordert klare Verantwortlichkeiten für Cybersicherheit, unter anderem durch Einsetzen eines Chief Information Security Officer (CISO) oder ähnlicher Funktionsträger. Die bestehenden Rollen aus dem DSGVO-Prozess und die entsprechenden Governance-Strukturen lassen sich anpassen oder erweitern, um die Verantwortlichkeiten für Cybersicherheit zu berücksichtigen.

Die DSGVO verlangt von Unternehmen, mehrere Sicherheitsmaßnahmen zu implementieren. Dazu gehören Standards wie Verschlüsselung, Zugriffskontrolle, Authentifikation und Pseudonymisierung. NIS2 verlangt ähnliche, aber stärker operativ ausgerichtete Cybersicherheitskontrollen. Viele der DSGVO-Sicherheitskontrollen erfüllen die NIS2-Kriterien ganz oder teilweise – oft genügt es bereits, bestehende IT-Sicherheitsmaßnahmen zu erweitern.

Die DSGVO verlangt, dass ein Unternehmen detailliert dokumentiert, wie es personenbezogene Daten verarbeitet. Diese Berichte müssen Verarbeitungstätigkeiten und Datenschutz-Folgenabschätzungen enthalten. Auch NIS2 erfordert die Dokumentation von Sicherheitsrichtlinien, Vorfallreaktionen und Auditergebnisse. Datensicherheitsverantwortliche können die im Rahmen der DSGVO-Compliance eingerichteten zentralisierten Dokumentationssysteme wiederverwenden und erweitern, um eine NIS2-Konformität abzubilden.

Resilienz ist regelübergreifend

NIS2 wird den Verantwortlichen einiges abverlangen, aber wer seine Hausaufgaben schon für die DSGVO gemacht hat, profitiert von den geleisteten Vorarbeiten. NIS2 führt sehr wahrscheinlich dazu, dass sich das Sicherheitsniveau insgesamt erhöht und es Hackern und Cyberakteuren schwerer fällt, wichtige Infrastrukturen auszuhebeln. Und diese stärkere Cyberresilienz wird am Ende ein Wettbewerbsvorteil sein. Wir haben uns daran gewöhnt, dass Cyberattacken zum Alltag gehören. Und wir werden uns dank NIS2 hoffentlich daran gewöhnen dürfen, dass Organisationen Angriffe besser wegstecken und innerhalb weniger Tage und Stunden wieder online sind.