NIS-2 und DSGVO rücken mit der deutschen Umsetzung der NIS-2-Richtlinie enger zusammen. Die gesetzlichen Anforderungen verpflichten Unternehmen zu deutlich erweiterten Maßnahmen der Cybersicherheit, während zugleich die Pflichten aus der DSGVO zum Schutz personenbezogener Daten unverändert fortbestehen. Wer NIS-2 und DSGVO integriert betrachtet und umsetzt, vermeidet Doppelstrukturen und schafft eine belastbare, effiziente Compliance-Architektur.

Die deutsche Umsetzung der NIS-2-Richtlinie führt zu erheblich erweiterten Anforderungen an „besonders wichtige“ und „wichtige Einrichtungen“ im Sinne des BSI-Gesetzes (BSIG). Während der Fokus häufig auf technischer Cybersicherheit liegt, wird dabei oft unterschätzt, wie eng NIS-2 und Datenschutz regulatorisch und organisatorisch miteinander verzahnt sind. Zahlreiche Pflichten des BSIG überschneiden sich unmittelbar mit den Vorgaben der DSGVO.

Für Unternehmen bedeutet dies: Eine isolierte NIS-2-Compliance ist ohne ein strukturiertes Datenschutz- und Informationssicherheitsmanagement kaum realisierbar. Umgekehrt eröffnet die Verzahnung beider Regelwerke die Chance, bestehende DSGVO-, ISMS- und IT-Governance-Strukturen gezielt weiterzuentwickeln.

1. NIS-2 und DSGVO: Mehr als regulatorische Parallelwelten

Die NIS-2-Anforderungen des BSIG adressieren zentrale Governance- und Sicherheitsfragen:

  • systematisches Risikomanagement
  • technische und organisatorische Sicherheitsmaßnahmen
  • strukturierter Umgang mit Sicherheitsvorfällen
  • verbindliche Melde- und Informationspflichten
  • Sicherheitsanforderungen entlang der Lieferkette
  • Schulungs- und Awareness-Pflichten
  • Überwachungs- und Sanktionsmechanismen

Diese Pflichten sind kein Neuland. Vielmehr greifen sie auf Strukturen zurück, die viele Unternehmen bereits aus dem Datenschutz, aus ISMS-Programmen oder aus IT-Governance kennen.

NIS-2 verpflichtet Unternehmen zu angemessenen Risikomanagementmaßnahmen (§§ 30–34 BSIG). Dazu zählen insbesondere Zugriffssteuerung, Verschlüsselung, Protokollierung, Monitoring sowie Notfall- und Wiederanlaufkonzepte.

Inhaltlich entsprechen diese Anforderungen den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Für Unternehmen eröffnet sich damit ein klarer Effizienzhebel: Bestehende Datenschutzkontrollen können als belastbare Basis für die NIS-2-Umsetzung genutzt und gezielt erweitert werden.

Ein zentrales Element der NIS-2 ist das zeitkritische Incident Reporting, einschließlich einer Frühwarnmeldung innerhalb von 24 Stunden. Parallel dazu bestehen die bekannten Meldepflichten der DSGVO bei Datenschutzverletzungen innerhalb von 72 Stunden.

Ein integriertes Incident-Response- und Meldekonzept stellt sicher, dass:

  • Sicherheitsereignisse einheitlich bewertet werden,
  • unterschiedliche Meldefristen zuverlässig eingehalten werden und
  • Doppelstrukturen vermieden werden.

NIS-2 verpflichtet Unternehmen, Risiken entlang der Lieferkette systematisch zu adressieren. Die DSGVO verlangt dies bereits seit Jahren über Auftragsverarbeitungsverträge nach Art. 28 DSGVO – insbesondere im Kontext von Cloud- und IT-Outsourcing.

Ein integriertes Third-Party-Risk-Management verbindet diese Anforderungen und schafft Transparenz über Sicherheits- und Datenschutzrisiken bei Dienstleistern.

2. Management-Herausforderungen und Prüfungsrelevanz

Aus Sicht vieler Unternehmen kristallisieren sich zwei zentrale Fragestellungen heraus:

Bin ich von NIS-2 betroffen?

Die Betroffenheitsanalyse ist anspruchsvoll und hängt von Branche, Unternehmensgröße und Bedeutung für die Versorgungssicherheit ab.

Wie weise ich Compliance belastbar nach?

NIS-2 verlangt nicht nur Umsetzung, sondern auch Dokumentation, Überwachung und Auditierbarkeit – klassische Themen der IT- und Compliance-Assurance.

Damit entstehen klare Berührungspunkte zu bestehenden Prüfungs- und Kontrollansätzen:

  • erhöhte IT-Risiken im Rahmen von Abschlussprüfungen (ISA 315)
  • Erweiterung bestehender IT-General-Controls-Prüfungen
  • Nutzung vorhandener Datenschutzprüfungen (z. B. IDW PH 9.860.1)
  • Anbindung an etablierte Standards wie ISO 27001, TISAX oder SOC 2

3. Ein integrierter BDO-Ansatz: Legal trifft IT & Controls Assurance

Erfolgreiche NIS-2-Compliance beginnt mit rechtlicher Klarheit und endet bei nachweisbaren Kontrollen. In der Praxis bewährt sich ein zweistufiges Vorgehen.

Im ersten Schritt stehen die rechtliche Bewertung und Governance-Fragen im Fokus:

  • Einstufung als besonders wichtige oder wichtige Einrichtung
  • Prüfung der Anwendbarkeit der NIS-2-Pflichten
  • Branchenzuordnung nach Anhang I und II der NIS-2-Richtlinie
  • Analyse von Organisations-, Haftungs- und Aufsichtspflichten der Geschäftsleitung
  • Bewertung von Meldepflichten und Bußgeldrisiken

Auf dieser Basis folgt die operative und prüferische Perspektive:

  • GAP-Analyse der NIS-2-Anforderungen
  • Abgleich mit bestehenden Datenschutz-, ISMS- und ITGC-Strukturen
  • Reifegradbewertung und priorisierter Maßnahmenplan
  • Aufbau oder Weiterentwicklung eines ISMS
  • Schulungen für Management und Fachbereiche
  • Vorbereitung auf behördliche Prüfungen

4. Warum jetzt der richtige Zeitpunkt ist, zu handeln

Mit der Umsetzung der NIS-2 steigen die regulatorischen Erwartungen deutlich. Unternehmen sehen sich konfrontiert mit höheren Bußgeldern, erweiterten Haftungsrisiken für Geschäftsleitungen und konkreten Vorgaben zu Governance, Incident Response und Lieferkettenkontrolle.

Wer frühzeitig handelt, schafft nicht nur Compliance, sondern stärkt Resilienz, Vertrauen und Wettbewerbsfähigkeit.

Fazit

NIS-2 und DSGVO sind keine getrennten Compliance-Welten. Sie greifen ineinander und verlangen ein integriertes Verständnis von Recht, Technik und Governance.

Unternehmen, die bestehende Datenschutz- und Informationssicherheitsstrukturen strategisch weiterentwickeln, erfüllen nicht nur regulatorische Anforderungen, sondern schaffen eine belastbare Grundlage für nachhaltige digitale Sicherheit.

BDO begleitet Unternehmen mit interdisziplinären Teams aus Legal und IT & Controls Assurance entlang des gesamten NIS-2-Prozesses – von der Betroffenheitsanalyse bis zur nachhaltigen Implementierung bzw. Prüfung.


Dieser Artikel wurde verfasst von