Einflüsse der EU-DSGVO auf die NIS-2-Richtlinie

Die fortschreitende Digitalisierung bringt eine Vielzahl an Chancen und Herausforderungen mit sich. Insbesondere im Bereich der Informationssicherheit und des Datenschutzes sieht sich die Europäische Union (EU) veranlasst, strikte Regulierungen und Richtlinien zu implementieren, um den Schutz von Daten und Netzwerken zu gewährleisten. Zwei zentrale Elemente dieser Schutzvorschriften sind die NIS-2-Richtlinie (Network and Information Security) und die EU-DSGVO (Datenschutz-Grundverordnung). Dieser Artikel beleuchtet das Verhältnis beider Schutzvorschriften und stellt die spezifischen Anforderungen der EU-DSGVO heraus, die bei der Umsetzung der NIS-2-Richtlinie zu beachten sind. Solche Umsetzungsanforderungen können auch Unternehmen treffen, die nur indirekt (z.B. als Auftragsverarbeiter) von NIS-2-Regelungen betroffen sind.

 

Überblick: NIS-2 und EU-DSGVO

NIS-2-Richtlinie

Die NIS-2-Richtlinie, die die ursprüngliche Version 1 aus dem Jahr 2016 ablöst, zielt darauf ab, ein einheitlich hohes Niveau an Cybersicherheit in der EU zu gewährleisten. Sie erweitert den Anwendungsbereich und die Anforderungen, indem sie eine größere Anzahl von Sektoren und Unternehmen einschließt. NIS-2 setzt dazu auf die Erhöhung der Widerstandsfähigkeit und der Reaktionsfähigkeit der Netz- und Informationssysteme kritischer Infrastrukturen.

EU-DSGVO

Die EU-DSGVO formuliert strenge Regeln für den Schutz personenbezogener Daten bei der Verarbeitung. Sie gilt für alle Unternehmen, die in der EU tätig sind, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der EU stattfindet. Die DSGVO schützt die Privatsphäre und die Rechte der Betroffenen und verpflichtet Unternehmen neben Transparenz und Rechenschaftspflicht zur Berücksichtigung der Informationssicherheit bei der Verarbeitung personenbezogener Daten.
 

Anforderungen der EU-DSGVO in der NIS-2-Richtlinie

Die Umsetzung der NIS-2-Richtlinie muss im Einklang mit den Vorgaben der EU-DSGVO erfolgen. Wichtige Anforderungen der DSGVO, die bei der Umsetzung der NIS-2-Richtlinie zu beachten sind, finden sich in folgenden Regelungen:

1. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO)

Unternehmen, die von der NIS-2-Richtlinie betroffen sind, müssen sicherstellen, dass ihre Informationssysteme so gestaltet sind, dass sie den Grundsätzen „privacy by design“ und „privacy by default“ entsprechen. Dies beinhaltet zum Beispiel Maßnahmen zur Minimierung der Datenerhebung, zur berechtigungsgesteuerten Verarbeitung sowie die Berücksichtigung von Sicherheitsvorkehrungen bereits bei der Auswahl und der Entwicklung von Systemen und Dienstleistungen.

2. Datensicherheitsmaßnahmen (Art. 32 DSGVO)

Die EU-DSGVO verlangt von den Verantwortlichen und den Auftragsverarbeitern geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Sicherheitsniveau zu gewährleisten. Dies umfasst den Schutz vor unbefugtem Zugriff, Datenverlust und anderen Sicherheitsvorfällen. Diese Anforderungen decken sich weitgehend mit den Zielen der NIS-2-Richtlinie, die ebenfalls hohe Sicherheitsstandards für Netz- und Informationssysteme fordert.

3. Meldepflicht bei Datenschutzverletzungen (Art. 33 und 34 DSGVO)

Im Falle einer Verletzung des Schutzes personenbezogener Daten müssen Unternehmen die zuständige Aufsichtsbehörde unverzüglich benachrichtigen. Darüber hinaus sind betroffene Personen zu informieren, wenn das Risiko für ihre Rechte und Freiheiten hoch ist. Die NIS-2-Richtlinie verlangt eine schnelle Meldung von Sicherheitsvorfällen, was eine koordinierte und umfassende Reaktion auf Cybervorfälle ermöglichen soll. Die Empfehlung einer einheitlichen Vorgehensweise im Unternehmen liegt auf der Hand.

4. Risikobewertung und -management

Sowohl die EU-DSGVO als auch die NIS-2-Richtlinie betonen die Notwendigkeit einer regelmäßigen Risikobewertung und eines effektiven Risikomanagements. Unternehmen müssen die Risiken für ihre Netz- und Informationssysteme sowie für die verarbeiteten personenbezogenen Daten bewerten und entsprechende Maßnahmen ergreifen, um diese Risiken zu minimieren.

5. Verantwortlichkeit und Rechenschaftspflicht (Art. 5 Abs. 2 und Art. 24 DSGVO)

Die EU-DSGVO fordert von Unternehmen, dass sie nachweisen können, dass sie die Datenschutzvorschriften einhalten. Dies erfordert eine umfassende Dokumentation der ergriffenen Maßnahmen und Verfahren. Im Rahmen der NIS-2-Richtlinie müssen Unternehmen ebenfalls nachweisen können, dass sie die geforderten Sicherheitsmaßnahmen implementiert und aufrechterhalten haben.