CloudSoul
Ressourcen · Blog · NIS2

NIS2 und DSGVO: Wo Cybersicherheit auf Datenschutz trifft

Verstehen Sie die Überschneidung von NIS2 und DSGVO: Wie Cybersicherheitspflichten nach NIS2 Artikel 21 und 35 die Datenschutzanforderungen der DSGVO Artikel 32, 33-34 ergänzen.

Daniel Grigorovich
Daniel Grigorovich
Gründer · 11 May 2026 · 8 Min. Lesezeit
NIS2
NIS2 und DSGVO: Wo Cybersicherheit auf Datenschutz trifft

Wer sollte das lesen: Datenschutzbeauftragte, Rechtsteams, Compliance-Beauftragte.

Der regulatorische Rahmen der EU zum Schutz sensibler Informationen ist mehrschichtig. Die Datenschutz-Grundverordnung (DSGVO) legt umfassende Pflichten für die Verarbeitung personenbezogener Daten fest: Einwilligung, Transparenz, Rechte der betroffenen Personen und Sicherheitsmaßnahmen zur Verhinderung unbefugter oder unrechtmäßiger Verarbeitung. NIS2 legt Cybersicherheitspflichten für Einrichtungen fest, die kritische Infrastrukturen und wesentliche Dienste verwalten.

Diese beiden Regime überschneiden sich. Beide verlangen Cybersicherheitsmaßnahmen zum Schutz sensibler Informationen. Beide verlangen Vorfallsmeldungen bei Verletzungen. Beide erlegen Organisationen und ihren Drittanbietern Pflichten auf. Dennoch unterscheiden sich ihre Ansätze: Die DSGVO konzentriert sich auf personenbezogene Daten und die Rechte des Einzelnen; NIS2 konzentriert sich auf die Sicherheit von Netz- und Informationssystemen und die Kontinuität wesentlicher Dienste.

Für Datenschutzbeauftragte und Compliance-Teams ist das Verständnis der Beziehung zwischen NIS2 und DSGVO unerlässlich. Die beiden Regime sind komplementär, nicht widersprüchlich, aber sie erlegen unterschiedliche Pflichten auf, die beide erfüllt werden müssen. Dieser Beitrag entpackt die Überschneidung, klärt, wo NIS2 und DSGVO konvergieren und divergieren, und gibt praktische Hinweise zur Gestaltung eines Compliance-Rahmens, der beide erfüllt.

Geltungsbereich: Personenbezogene Daten vs. kritische Infrastruktur

Der primäre Unterschied zwischen DSGVO und NIS2 liegt in Geltungsbereich und Zweck.

Die DSGVO gilt für alle Organisationen, die personenbezogene Daten von EU-Einwohnern verarbeiten, unabhängig davon, ob die Organisation in der EU ansässig ist. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (eine Einzelperson) beziehen. Der Zweck der DSGVO ist der Schutz der Rechte des Einzelnen: Privatsphäre, Autonomie und Kontrolle über die eigenen Informationen.

Die DSGVO gilt eng (nur für Organisationen, die personenbezogene Daten verarbeiten), aber sektorübergreifend breit (alle Sektoren verarbeiten personenbezogene Daten). Ein kleines E-Commerce-Unternehmen, das Waren verkauft, fällt unter die DSGVO, wenn es Kunden-E-Mail-Adressen sammelt. Ein Gesundheitsdienstleister, ein Finanzinstitut, eine Behörde: alle unterliegen der DSGVO.

NIS2 gilt eng für Organisationen, die kritische Infrastrukturen und wesentliche Dienste verwalten, jedoch mit spezifischen Sektorausweisungen. Der Zweck von NIS2 ist der Schutz der Kontinuität und Sicherheit wesentlicher Dienste: Energie, Gesundheit, Verkehr, digitale Infrastruktur und andere. Eine lokale Bäckerei fällt nicht unter NIS2 (sie ist keine kritische Infrastruktur); ein großer Energieversorger schon.

Die Geltungsbereiche überschneiden sich nur teilweise. Einige Organisationen (z. B. ein Krankenhaus, ein Finanzinstitut) fallen unter beide: DSGVO (weil sie personenbezogene Daten verarbeiten) und NIS2 (weil sie wesentliche Dienstleister sind). Andere fallen nur unter eines: Ein multinationales E-Commerce-Unternehmen fällt unter die DSGVO, ist aber möglicherweise nicht als NIS2-Einrichtung ausgewiesen; ein Telekommunikationsanbieter, der Netzinfrastruktur, aber keine personenbezogenen Daten verwaltet (z. B. ein Backbone-Betreiber), fällt unter NIS2, aber möglicherweise nicht unter die DSGVO.

Sicherheitspflichten: Artikel 32 (DSGVO) und Artikel 21 (NIS2)

Beide Regime erlegen Sicherheitspflichten auf, jedoch mit unterschiedlicher Sprache und Schwerpunktsetzung.

Artikel 32 DSGVO verlangt geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, Zerstörung oder Beschädigung. Diese Maßnahmen umfassen je nach Bedarf Verschlüsselung, Pseudonymisierung, Zugriffskontrollen, Verfügbarkeitssicherung und Verfahren zur Vorfallsreaktion.

Artikel 21 NIS2 verlangt verhältnismäßige technische und organisatorische Maßnahmen zum Management des Cybersicherheitsrisikos in Netz- und Informationssystemen. Diese Maßnahmen sollten Bedrohungen, Schwachstellen und Auswirkungen auf wesentliche Dienste adressieren und Vorfallsreaktion, Geschäftskontinuität sowie Lieferkettenrisikomanagement umfassen.

Beide schreiben ähnliche Kontrollen vor: Zugriffskontrollen, Verschlüsselung, Überwachung und Vorfallsreaktion. Ihr Fokus unterscheidet sich jedoch. Die DSGVO konzentriert sich auf den Schutz personenbezogener Daten vor Missbrauch; NIS2 konzentriert sich auf den Schutz von Systemen vor Kompromittierung und Dienststörung.

In der Praxis sollte eine Organisation, die beiden Regimen unterliegt, ein Sicherheitsprogramm entwickeln, das beide erfüllt. Die Anforderungen von Artikel 32 DSGVO (Verschlüsselung personenbezogener Daten, Zugriffskontrollen, die den Zugriff auf Personen mit berechtigtem Bedarf beschränken, Überwachung des Datenzugriffs) sind grundlegend und adressieren den Schutz personenbezogener Daten. Die Anforderungen von Artikel 21 NIS2 (verhältnismäßiges Risikomanagement über alle Systeme, Geschäftskontinuitätsplanung, Drittanbieterrisikomanagement) gehen über die DSGVO hinaus, um systemische Resilienz zu adressieren.

Ein Krankenhaus muss beispielsweise die von der DSGVO geforderten Schutzmaßnahmen für Patientendaten umsetzen (Zugriffskontrollen, die sicherstellen, dass nur Kliniker mit einem Need-to-know auf Akten zugreifen können, Verschlüsselung der Daten bei Übertragung und im Ruhezustand, Audit-Logs des Datenzugriffs). Gleichzeitig muss es die von NIS2 geforderten Cybersicherheitsmaßnahmen zum Schutz aller in der Gesundheitsversorgung verwendeten Systeme umsetzen, einschließlich nicht personenbezogener Datensysteme wie klinischer Geräteschnittstellen, Laborinformationssysteme und Bildgebungsnetzwerke. Die Kombination erfüllt beide Regime.

Vorfallsmeldung: DSGVO Artikel 33-34 und NIS2 Artikel 23

Beide Regime verlangen Meldungen bei Vorfällen, jedoch mit unterschiedlichen Auslösern und Verfahren.

Die DSGVO verlangt die Meldung von „Verletzungen des Schutzes personenbezogener Daten” (Vorfälle, bei denen personenbezogene Daten unbefugt oder versehentlich aufgerufen, offengelegt oder zerstört werden) innerhalb bestimmter Fristen. Die Organisation muss die Datenschutzbehörden benachrichtigen (in der Regel innerhalb von 72 Stunden oder in einigen Fällen unverzüglich) und bei hohem Risiko für die betroffenen Personen auch die betroffenen Personen selbst.

NIS2 verlangt die Meldung „erheblicher Vorfälle”, die kritische Infrastrukturen betreffen, innerhalb von 24 Stunden an die zuständigen Behörden und CSIRTs. Der Fokus liegt auf Dienststörung und Systemkompromittierung, nicht spezifisch auf Datenoffenlegung.

Die Auslöser unterscheiden sich. Eine Verletzung personenbezogener Daten ist für DSGVO-Zwecke erheblich, wenn sie ein hohes Risiko für die betroffenen Personen darstellt (z. B. Offenlegung von Finanzdaten, Gesundheitsdaten oder Daten, die Identitätsdiebstahl ermöglichen). Ein erheblicher Vorfall nach NIS2 kann personenbezogene Daten betreffen oder nicht; er kann eine Dienststörung beinhalten (z. B. Ransomware, die ein Energiesystem betrifft, ohne dass personenbezogene Daten kompromittiert werden).

Für Organisationen, die beiden Regimen unterliegen, sollten die Rahmen für die Vorfallsmeldung integriert, aber unterscheidbar sein. Ein einzelner Cybersicherheitsvorfall kann sowohl eine DSGVO- als auch eine NIS2-Meldung auslösen oder nur eine davon. Beispiele:

Ein Ransomware-Angriff auf das EHR-System eines Krankenhauses erreicht die Erheblichkeitsschwelle nach NIS2 (Störung des klinischen Betriebs) und würde wahrscheinlich als Verletzung personenbezogener Daten nach der DSGVO qualifizieren (Patientenakten gefährdet). Das Krankenhaus muss die zuständigen Behörden nach NIS2 innerhalb von 24 Stunden und die Datenschutzbehörden nach DSGVO innerhalb von 72 Stunden benachrichtigen (oder zu unterschiedlichen Zeiträumen je nach Rechtsprechung).

Ein Denial-of-Service-Angriff auf das Abrechnungssystem eines Energieversorgers stört den Dienst (erheblich nach NIS2), aber kompromittiert keine Kundendaten (keine Verletzung personenbezogener Daten nach DSGVO, es sei denn, das System enthält personenbezogene Informationen und der Angriff ermöglicht unbefugten Zugriff). Der Anbieter muss nach NIS2 melden; die DSGVO-Meldung hängt davon ab, ob personenbezogene Daten verletzt wurden.

Eine Verletzung des Patientenportals eines Gesundheitsdienstleisters, die Kontaktinformationen von Patienten preisgibt, ist eine Verletzung personenbezogener Daten nach der DSGVO (Beeinträchtigung der Privatsphäre der Einzelnen), kann aber nach NIS2 möglicherweise nicht erheblich sein (wenn der Dienst für Patienten nicht weitreichend gestört wird). Die Meldung an Datenschutzbehörden ist nach der DSGVO erforderlich; die Meldung nach NIS2 hängt davon ab, ob Dienststörung oder Systemkompromittierung die Erheblichkeitsschwelle erreicht.

Organisationen sollten integrierte Verfahren zur Vorfallsreaktion haben, die Vorfälle gegen beide Rahmen bewerten und bestimmen, welche Meldung erforderlich ist.

Drittanbieterrisikomanagement: DSGVO Artikel 28 und NIS2 Artikel 22

Beide Regime verlangen das Management des Drittanbieterrisikos, jedoch mit unterschiedlicher Terminologie und Schwerpunktsetzung.

Artikel 28 DSGVO verlangt, dass Organisationen sicherstellen, dass Auftragsverarbeiter (Dritte, die in ihrem Auftrag personenbezogene Daten verarbeiten) angemessene Sicherheitsmaßnahmen umsetzen. Organisationen müssen Auftragsverarbeitungsverträge mit Verarbeitern abschließen, deren Praktiken prüfen und sicherstellen, dass sie angemessenen rechtlichen und technischen Schutzmaßnahmen unterliegen.

Artikel 22 NIS2 verlangt, dass Organisationen sicherstellen, dass Lieferanten und Dienstleister verhältnismäßige Cybersicherheitsmaßnahmen umsetzen. Organisationen müssen vertragliche Cybersicherheitsanforderungen festlegen, die Konformität überwachen und eine zeitnahe Vorfallsmeldung sicherstellen.

Für Organisationen, die sowohl personenbezogene Daten als auch kritische Infrastrukturen verwalten, sollten diese Pflichten konsolidiert werden. Verträge mit Cloud-Anbietern, Managed-Service-Providern und anderen Anbietern sollten:

  • Cybersicherheitsanforderungen enthalten, die sowohl die DSGVO (für Auftragsverarbeiter) als auch NIS2 (für Dienstleister, die kritische Systeme verwalten) erfüllen.
  • Sicherheitsbewertungen oder Zertifizierungen verlangen, die die Konformität nachweisen.
  • Anforderungen an die Vorfallsmeldung festlegen, die es der Organisation ermöglichen, sowohl die DSGVO- als auch die NIS2-Meldefristen einzuhalten.
  • Audit- und Inspektionsrechte vorbehalten, die der Organisation ermöglichen, die Konformität zu überprüfen.
  • Unterauftragsverarbeitungskontrollen festlegen: Die DSGVO verlangt, dass Auftragsverarbeiter keine Unterauftragsverarbeiter ohne ausdrückliche Genehmigung einsetzen; NIS2 verlangt, dass Lieferkettenabhängigkeiten verwaltet werden. Beide Anforderungen sollten in Verträgen adressiert werden.

Wechselwirkung mit breiteren regulatorischen Rahmen

Es ist wichtig zu beachten, dass Organisationen über die DSGVO und NIS2 hinaus zusätzlichen Vorschriften unterliegen können. DORA (Digital Operational Resilience Act) gilt für Finanzdienstleistungen; sektorspezifische Vorschriften gelten für Gesundheit, Energie und Telekommunikation. All diese können sich überschneidende Sicherheits- und Vorfallsmeldepflichten haben.

Eine Einrichtung, die der DSGVO, NIS2 und DORA unterliegt, muss Compliance-Rahmen entwerfen, die alle drei adressieren. Die gute Nachricht ist, dass diese Rahmen komplementär sind: Ein Compliance-Programm, das die strengen Anforderungen aller drei erfüllt, erfüllt typischerweise jedes einzeln.

Für Compliance-Teams besteht die Strategie darin, sich überschneidende Anforderungen zu kartieren, die strengsten in jedem Bereich zu identifizieren und Kontrollen und Verfahren zu entwerfen, die die Vereinigung aller Anforderungen erfüllen. Eine einzige Sicherheitsgovernance-Struktur, ein einziger Rahmen für die Vorfallsreaktion und ein integriertes Drittanbietermanagement können mehrere regulatorische Regime aufnehmen.

Praktische Ausrichtungsstrategie

Für Organisationen, die sowohl NIS2 als auch der DSGVO (und möglicherweise anderen Regimen) unterliegen, sollte die Ausrichtungsstrategie Folgendes umfassen:

Vereinheitlichter Governance-Rahmen: Etablieren Sie eine einzige Governance-Struktur für Cybersicherheit und Datenschutz mit Verantwortlichkeit auf Vorstandsebene. Der CISO und der DSB sollten sich abstimmen.

Integrierte Risikobewertung: Führen Sie Risikobewertungen durch, die sowohl DSGVO-Risiken (Risiken für die Privatsphäre und Rechte des Einzelnen) als auch NIS2-Risiken (Risiken für Systemverfügbarkeit, Integrität und Dienstkontinuität) adressieren. Identifizieren Sie Kontrollen, die beides adressieren.

Vereinheitlichte Vorfallsreaktion: Entwerfen Sie Verfahren zur Vorfallsreaktion, die Vorfälle gegen alle anwendbaren Rahmen bewerten und bestimmen, welche regulatorischen Meldungen erforderlich sind. Bilden Sie Vorfallsreaktionsteams in beiden Rahmen aus.

Standardisierte Drittanbieterverträge: Entwickeln Sie Vorlagen für Anbieterverträge, Auftragsverarbeitungsverträge und Dienstleistervereinbarungen, die die Anforderungen aller anwendbaren Regime adressieren.

Konsolidierte Sicherheitsmaßnahmen: Implementieren Sie Sicherheitskontrollen, die nach Möglichkeit mehrere Regime erfüllen. Zugriffskontrollen und Verschlüsselung adressieren beispielsweise sowohl den Datenschutz nach DSGVO als auch die Cybersicherheitsanforderungen nach NIS2.

Dokumentation und Transparenz: Pflegen Sie die Dokumentation der Konformität mit beiden Rahmen. Datenschutzerklärungen und Sicherheitserklärungen sollten sowohl den Schutz personenbezogener Daten als auch das Management von Cybersicherheitsrisiken adressieren.

Wichtige Erkenntnisse

  • DSGVO und NIS2 überschneiden sich im Geltungsbereich für Organisationen, die beiden unterliegen: solche, die personenbezogene Daten verarbeiten (DSGVO) und kritische Infrastrukturen oder wesentliche Dienste verwalten (NIS2).
  • Sicherheitspflichten nach Artikel 32 (DSGVO) und Artikel 21 (NIS2) sind komplementär: Die DSGVO konzentriert sich auf den Schutz personenbezogener Daten; NIS2 konzentriert sich auf systemische Cybersicherheit und Dienstkontinuität. Ein einheitliches Sicherheitsprogramm kann beide erfüllen.
  • Die Rahmen für die Vorfallsmeldung unterscheiden sich: Die DSGVO verlangt die Meldung von Verletzungen personenbezogener Daten innerhalb von 72 Stunden (oder unverzüglich) an Datenschutzbehörden und betroffene Personen; NIS2 verlangt die Meldung erheblicher Vorfälle innerhalb von 24 Stunden an zuständige Behörden und CSIRTs. Beide können durch einen einzigen Vorfall ausgelöst werden.
  • Das Drittanbieterrisikomanagement muss beide Rahmen erfüllen: Verträge mit Anbietern und Dienstleistern sollten Cybersicherheitsanforderungen festlegen, Auditrechte vorbehalten und Vorfallsmeldefristen festlegen, die sowohl die DSGVO als auch NIS2 erfüllen.
  • Organisationen, die beiden Regimen (und potenziell anderen wie DORA) unterliegen, sollten eine einheitliche Compliance-Strategie verfolgen: integrierte Governance, einheitliche Risikobewertung, standardisierte Drittanbieterverträge und konsolidierte Sicherheitsmaßnahmen, die die Anforderungen aller anwendbaren Regime adressieren.
Daniel Grigorovich

Daniel Grigorovich · Gründer

Ich bin der Meinung, dass kein Unternehmen unter „Compliance-Checklisten“ oder der Auslegung vager gesetzlicher Vorschriften leiden sollte. Auch wenn ich nach wie vor an dem Grundsatz festhalte, dass alle Softwareprodukte zuverlässig und sicher sein sollten, möchte ich Unternehmen eine Möglichkeit bieten, die Herausforderungen zu meistern, die bei der Umsetzung dieser Anforderungen auftreten.

Weiterlesen

Mehr aus dem Blog.

NIS2 in Luxemburg: Wie das Gesetz vom 5. Mai 2026 die EU-Richtlinie umsetzt
NIS2 · 31 May 2026

NIS2 in Luxemburg: Wie das Gesetz vom 5. Mai 2026 die EU-Richtlinie umsetzt

Luxemburg hat NIS2 mit dem Gesetz vom 5. Mai 2026 umgesetzt und ILR, HCPN sowie CIRCL als institutionelle Säulen benannt. Was jede wesentliche und wichtige Einrichtung wissen muss.
Koordinierte Schwachstellenoffenlegung: Ein neuer Rahmen für Forscher
NIS2 · 29 May 2026

Koordinierte Schwachstellenoffenlegung: Ein neuer Rahmen für Forscher

Verstehen Sie den Rahmen für die koordinierte Schwachstellenoffenlegung nach NIS2 Artikel 12. Wie Forscher, Anbieter und CSIRTs im neuen europäischen CVD-Prozess zusammenarbeiten.
NIS2 für das verarbeitende Gewerbe: Autos, Elektronik und Maschinen
NIS2 · 27 May 2026

NIS2 für das verarbeitende Gewerbe: Autos, Elektronik und Maschinen

Verstehen Sie die NIS2-Anforderungen für Hersteller von Fahrzeugen, Elektronik und Maschinen. Was „wichtige Einrichtungen" gemäß Anhang II umsetzen müssen.