Start Ratgeber NIS2-Compliance – mehr als eine Pflichterfüllung

NIS2-Compliance – mehr als eine Pflichterfüllung

DSGVO erfüllt? Dann ist NIS2 der nächste Schritt. Wer Datenschutz ernst nimmt, ist bei der Cyberresilienz klar im Vorteil. Denn viele Prozesse aus der DSGVO-Compliance lassen sich für NIS2 nutzen – und stärken Unternehmen gegen Angriffe, Ausfälle und Bußgelder.

NIS2-Compliance
©Satori Studio |stock.adobe.com

Sieben Jahre ist es her, dass die DSGVO in Kraft getreten ist.  Damit begann 2018 ein Kurswechsel in der EU: IT-Prozesse wurden strenger reguliert, Unternehmen stärker in die Pflicht genommen. Mit der NIS2-Richtlinie führt die EU diesen Weg konsequent fort. Die Bundesregierung hat Ende Juni 2025 einen Referentenentwurf vorgelegt, doch die konkrete Ausgestaltung bleibt abzuwarten. Unstrittig ist jedoch das Ziel: Die digitale Infrastruktur von Unternehmen soll widerstandsfähiger werden – gegen Angriffe, Ausfälle und Sicherheitslücken.

DSGVO als Sprungbrett zur NIS2-Compliance

Unternehmen, die Datenschutz– und Sicherheitsanforderungen der DSGVO aktiv umgesetzt haben, profitieren jetzt: Sie können auf bestehenden Strukturen aufbauen. Das betrifft nicht nur Prozesse und Dokumentation, sondern auch die Kultur im Umgang mit sensiblen Daten und IT-Risiken.

Von der Sanktion zur Prävention

Die DSGVO hat mit empfindlichen Bußgeldern für mehr Disziplin im Datenschutz gesorgt – 5,88 Milliarden Euro an Strafen EU-weit, davon allein 89,1 Millionen in Deutschland im Jahr 2024 (Quelle: DLA Piper). Auch für NIS2 sind hohe Strafen geplant. Neu ist: Geschäftsführende sollen künftig sogar mit ihrem Privatvermögen haften. Das sorgt für Bewegung – viele Organisationen arbeiten bereits an ihrer NIS2-Compliance, oft mit externer Unterstützung.

Umsetzung ist komplex – und bleibt individuell

Einheitliche Regeln sucht man bei NIS2 vergebens. Vielmehr hängt die Umsetzung vom Einzelfall ab: Welche Organe sind zuständig? Wie sind Meldeprozesse geregelt? Wer stellt im Ernstfall die nötigen Ressourcen bereit? Gerade die hohe Interpretationsfreiheit stellt Unternehmen vor Herausforderungen.Eine erfolgreiche NIS2-Compliance setzt voraus, dass Unternehmen ihre Meldeprozesse und Zuständigkeiten klar definieren – individuell und passgenau.

Neue Fristen, neue Anforderungen

Anders als bei der DSGVO, wo bei einem Verstoß 72 Stunden Zeit zur Meldung bleiben, verlangt NIS2 bei schwerwiegenden Vorfällen die Information des Bundesamtes für Sicherheit in der Informationstechnik (BSI) innerhalb von 24 Stunden. Damit rücken Geschwindigkeit und Struktur ins Zentrum – Kommunikationswege und Prozesse müssen sitzen. Wer bereits DSGVO-konforme Abläufe definiert hat, kann sie nun entsprechend verschlanken und beschleunigen.

Zudem muss klar sein, welche Informationen bei einem Vorfall bereitzustellen sind. Dazu braucht es automatisierte Prozesse und ein umfassendes Datenverständnis im Unternehmen. Nur wer den Schaden schnell analysieren kann, kann ihn auch schnell melden – und korrekt einordnen.


Anzeige

Industrie-4.0 SoftwareIT-Matchmaker®.guide Industrie 4.0

Einkaufsführer & Standardreferenz für Industrie-4.0-Software
  • Fachbeiträge
  • Firmenprofile relevanter Anbieter
  • Referenzen aus der Praxis
  • Produktübersichten

 

Download Industrie 4.0-Guide


Prävention beginnt bei der Datenstruktur

NIS2 fordert ein IT-Risikomanagement, das weit über den Datenschutz hinausgeht. Analyseprozesse aus der DSGVO – etwa Datenschutz-Folgenabschätzungen – lassen sich dabei sinnvoll weiterentwickeln. Sicherungskopien und ihre Analyse können helfen, Angriffe frühzeitig zu erkennen.

Auch die Wiederherstellung von Systemen muss regelmäßig getestet werden. Digitale Cleanrooms – realitätsnahe Testumgebungen – schaffen hier Sicherheit, insbesondere wenn es darum geht, Abläufe für den Ernstfall einzuüben.

Mindestbetrieb sichern – trotz Angriff

Im Angriffsfall ist es entscheidend, arbeitsfähig zu bleiben. Ein „Minimum-Viable-Company“-Ansatz hilft dabei, die geschäftskritischen Prozesse und Anwendungen vorab zu definieren. Notfallpakete, manipulationsgeschützt und sicher gespeichert, bilden die Grundlage für eine zügige Wiederherstellung in isolierten Umgebungen.

IT- und Security-Teams müssen dabei eng zusammenarbeiten, um den Betrieb zu stabilisieren und gleichzeitig Ursachen und Schwachstellen des Angriffs aufzuarbeiten.

DSGVO als Fundament nutzen – drei zentrale Hebel

Viele Prozesse, die IT-Verantwortliche aus Anlass der DSGVO etabliert haben, lassen sich auch für die NIS2-Compliance weiterführen:

  • Weiterentwickeln der Governance-Organisation: Die DSGVO hat den Datenschutzbeauftragten und andere Governance-Strukturen eingeführt. Nun verlangt NIS2 eindeutige Zuständigkeiten für Cybersicherheit, so verpflichtend die Position eines Chief Information Security Officers (CISO) oder vergleichbarer Funktionsträger. Unternehmen können die im Rahmen der DSGVO etablierten Governance-Strukturen adaptieren oder ausbauen.
  • Sichereitsmaßnahmen weiterführen: Die DSGVO fordert unter anderem Standards zu Pseudonymisierung, Verschlüsselung, Authentifikation und Zugangskontrolle. NIS2 erwartet vergleichbare, aber eher operativ eingestellte Cybersicherheitschecks. Viele der DSGVO-Sicherheitskontrollen realisieren die NIS2-Vorgaben vollständig oder zumindest zum Teil. So genügt es häufig schon, vorhandene IT-Sicherheitsmaßnahmen auszubauen.
  • Dokumentation der Arbeit mit personenbezogenen Daten verknüpfen: DSGVO-Meldungen müssen dokumentieren, wie Unternehmen Daten verarbeiten und Datenschutz-Folgebewertungen liefern. NIS2 verlangt Belege über Vorfallreaktionen, Sicherheitsrichtlinien und Auditergebnisse. Vorhandene Dokumentationssysteme lassen sich modular ergänzen.

NIS2-Compliance als Chance: Mehr Sicherheit, mehr Vertrauen

NIS2 ist kein zusätzlicher bürokratischer Aufwand, sondern eine Gelegenheit, Sicherheit zur unternehmerischen Stärke zu machen. Wer mit strukturierten Prozessen, klaren Zuständigkeiten und geübten Abläufen arbeitet, kann nicht nur besser auf Angriffe reagieren – sondern erarbeitet sich gleichsam einen Wettbewerbsvorteil.


Der Autor

Ricardo José Garrido Reichelt, Principal Security Technologist EMEA, Office of the CTO.