Cyberbedrohungen gewinnen zunehmend an gesellschaftlicher und politischer Relevanz – dies ist keine abgedroschene Phrase, sondern in den Fokus zu nehmende Realität. Auch nehmen Cyberangriffe zu, die neben finanziellen Interessen eine gesellschaftliche Destabilisierung zum Ziel haben. Dies gilt umso mehr, als US-Verteidigungsminister Pete Hegseth Medienberichten zufolge eine Aussetzung aller Cybereinsätze gegen Russland angeordnet hat.
An dieser Stelle setzt die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2-Richtlinie) mit dem Ziel eines einheitlichen Cybersicherheitsniveaus an. Sie ergänzt darüber hinaus die datenschutzrechtlichen Bestimmungen der Datenschutz-Grundverordnung (DSGVO). Während die NIS2-Richtlinie darauf abzielt, die Cybersicherheit in der EU zu stärken, konzentriert sich die DSGVO auf den Schutz personenbezogener Daten.
Mit NIS2 erhöhen sich die Compliance-Anforderungen an Unternehmen erneut. Jedoch bestehen aufgrund des teilweisen Gleichlaufs der rechtlichen Vorgaben Möglichkeiten, bestehende Strukturen effizient doppelt zu nutzen.
NIS2-Richtlinie: Cybersicherheit als Priorität
Die NIS2-Richtlinie bildet einen umfassenden Rechtsrahmen zur Förderung der Cybersicherheit in der EU. Die erforderliche Umsetzung der Richtlinie in nationales Recht ist in Deutschland – so wie in vielen anderen Mitgliedstaaten auch – bisher unterblieben. Durch das Aus der Ampel-Koalition ist die Umsetzung zunächst gescheitert. Ob das gegen Deutschland eingeleitete Vertragsverletzungsverfahren die neue Regierung zu einem schnellen Handeln bewegen wird, muss abgewartet werden. Angesichts der neuen Bedrohungslage wäre dies dringend geboten. Wichtig für Unternehmen ist: Aktuell ist nicht mit einer weiteren Umsetzungsfrist zu rechnen – dies würde eine sofortige Scharfschaltung der Pflichten bedeuten.
Die NIS2-Richtlinie verpflichtet Unternehmen, robuste technische und organisatorische Maßnahmen (TOMs) zu implementieren, um ihre Netzwerke und IT-Systeme vor Cyberbedrohungen zu schützen. Ziel ist es, die Resilienz der betroffenen Einrichtungen zu stärken und die Fähigkeit zur schnellen Wiederherstellung von Dienstleistungen und Produktion nach einem Cyberangriff zu gewährleisten.
Der Anwendungsbereich der NIS2-Richtlinie ist im Vergleich zur Vorläuferin erheblich ausgeweitet worden, eine Beschränkung auf die kritische Infrastruktur (KRITIS) gibt es nicht mehr. Dies dient dazu, der gestiegenen Bedrohungslage Rechnung zu tragen. Die Anwendbarkeit der NIS2-Richtlinie hängt von der Art der Einrichtung sowie der Überschreitung bestimmter Schwellenwerte ab, wodurch auch kleinere Unternehmen in die Pflicht genommen werden.
Persönliche Haftung der Geschäftsführung und Compliance
Im Vergleich zur NIS-Richtlinie erhöht und konkretisiert NIS2 die Anforderungen an Cybersicherheitsmaßnahmen erheblich. Zudem trägt die Geschäftsleitung – das ist ein Novum – die ausdrückliche Verantwortung für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen; die NIS2-Richtlinie sieht eine persönliche Haftung für Mitglieder der Geschäftsleitung vor, die sich zudem alle zur Cybersicherheit schulen lassen müssen – und zwar unabhängig davon, wer dort die Verantwortung für den Bereich IT beziehungsweise IT-Sicherheit trägt.
Um dem verstärkten Angriffsrisiko auf Lieferketten entgegenzutreten, verpflichtet die NIS2-Richtlinie schließlich betroffene Unternehmen, die Sicherheit ihrer Lieferkette zu gewährleisten.
DSGVO: Technischer und organisatorischer Datenschutz
Die DSGVO normiert EU-weit umfassend den Schutz personenbezogener Daten. Sie legt fest, in welchem Umfang diese verarbeitet werden dürfen. Zugleich bestehen umfangreiche Betroffenenrechte. Unternehmen müssen geeignete TOMs (s.o.) implementieren, um Datensicherheit zu gewährleisten.
NIS2 und DSGVO: Schnittstellen und Gemeinsamkeiten
Obwohl die NIS2-Richtlinie und die DSGVO unterschiedliche Anwendungsbereiche und Schutzrichtungen aufweisen, ergeben sich in der praktischen Anwendung zahlreiche Schnittstellen:
NIS2 und DSGVO fordern die Implementierung von Schutzmaßnahmen, die den Stand der Technik berücksichtigen und dem konkreten Risiko angemessen sind. Die DSGVO nennt beispielhaft Maßnahmen wie Verschlüsselung, Pseudonymisierung und Zugriffskontrolle. Die NIS2-Richtlinie konkretisiert die Anforderungen an die sogenannten Risikomanagementmaßnahmen, indem sie unter anderem Sicherheitsrichtlinien, ein Vorfallmanagement und einen Geschäftskontinuitätsplan vorschreibt. Eine Gemeinsamkeit besteht darin, dass Unternehmen ein umfassendes Sicherheitskonzept umzusetzen haben – dieses muss technische und organisatorische Aspekte berücksichtigen.
NIS2-Richtlinie und DSGVO betonen die Bedeutung der Sensibilisierung und Schulung der Mitarbeiter. Die DSGVO verpflichtet Unternehmen sicherzustellen, dass Personen mit Zugang zu personenbezogenen Daten diese nur auf Anweisung des Verantwortlichen verarbeiten. Die NIS2-Richtlinie verpflichtet darüber hinaus Geschäftsleitungen ausdrücklich, sich in Sachen IT-Sicherheit schulen zu lassen.
Unterschiedliche Meldefristen
Meldepflichten bei Datenschutz- oder Sicherheitsvorfällen sind in der DSGVO und der NIS2-Richtlinie gleichermaßen vorgesehen. Unterschiede bestehen bei den Voraussetzungen für eine Meldung, deren Inhalt und Adressaten sowie den Fristen. Die DSGVO sieht bei einem Datenschutzvorfall eine Meldepflicht gegenüber der zuständigen Landesdatenschutzbehörde innerhalb von 72 Stunden vor. Aus der NIS2-Richtlinie (beziehungsweise dem letzten vorliegenden Entwurf des nationalen Umsetzungsgesetzes) ergibt sich bei einem erheblichen Sicherheitsvorfall die Pflicht zum Durchlaufen eines in der Regel dreistufigen Meldeverfahrens gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI): Die erste Meldung muss dabei innerhalb von 24 Stunden erfolgen. Unternehmen müssen sicherstellen, dass sie über geeignete Meldeprozesse verfügen, um beiden Meldepflichten gerecht zu werden. Zur Vermeidung von Haftungsrisiken sollte sichergestellt sein, dass beide Meldungen gut miteinander abgestimmt sind. Anders als in anderen Mitgliedstaaten existiert in Deutschland kein einheitlicher Meldeprozess – eine unnötige praktische Hürde.
Obwohl die Rollen des Informationssicherheitsbeauftragten (ISB) und des Datenschutzbeauftragten (DSB) unterschiedliche Schwerpunkte haben, gibt es Überschneidungen in den Verantwortlichkeiten. Der ISB konzentriert sich auf die Sicherheit aller Daten, die in dem gesamten Unternehmen gehalten werden, während der DSB ausschließlich den Schutz personenbezogener Daten überwacht. Der ISB hat anders als der DSB keine gesetzliche Beauftragtenrolle. Der ISB ist nur dem Unternehmen verpflichtet, der DSB muss auch Betroffeneninteressen im Blick behalten. Trotz dieser Unterschiede ist eine enge Zusammenarbeit zwischen ISB und DSB unerlässlich für umfassende Compliance.
Durch kombinierte Compliance-Strategien kann in der Praxis ein Widerstreit zwischen den Anforderungen von NIS2 und DSGVO entstehen, wenn eingriffsintensive Verarbeitungen personenbezogener Daten erfolgen, um hohe IT-Sicherheit zu gewährleisten (zum Beispiel im Zusammenhang einer Endpoint-Detection). Denn die DSGVO unterstützt solche Maßnahmen grundsätzlich auch, fordert aber eine Abwägung mit den Betroffeneninteressen.
Zusammenfassend lässt sich festhalten, dass die NIS2-Richtlinie und die DSGVO trotz unterschiedlicher Ziele viele Gemeinsamkeiten aufweisen. Unternehmen sollten die Schnittstellen und Synergien nutzen, um eine integrierte Compliance-Strategie zu entwickeln, die sowohl dem Datenschutz als auch der Cybersicherheit gerecht wird.
Herausforderungen für Unternehmen
Die gleichzeitige Einhaltung der NIS2-Richtlinie und der DSGVO stellt Unternehmen vor komplexe Herausforderungen. Es ist erforderlich, ein umfassendes Risikomanagement zu implementieren, klare Prozesse zu definieren und die Mitarbeiter kontinuierlich zu schulen. Die Zusammenarbeit zwischen den IT-Sicherheits-, Datenschutz- und Compliance-Abteilungen ist dabei dringend zu empfehlen, um Doppelarbeit zu vermeiden.
Ein wesentlicher Aspekt ist die Sensibilisierung der Mitarbeiter für die Bedeutung von IT-Sicherheit und Datenschutz (Stichwort „Faktor Mensch“). Nur durch regelmäßige Sensibilisierungsmaßnahmen können Unternehmen sicherstellen, dass ihre Mitarbeiter die Risiken erkennen und die notwendigen Maßnahmen ergreifen, um Schäden zu vermeiden.
Unternehmen können auf Zertifizierungen und Standards wie ISO 27001 zurückgreifen, um ihre IT-Sicherheit und ihren Datenschutz zu verbessern. Die ISO 27001 ist ein international anerkannter Standard für Informationssicherheitsmanagementsysteme (ISMS). Er unterstützt Unternehmen bei der Implementierung eines umfassenden Sicherheitsrahmens. Ein nach ISO 27001 zertifiziertes Unternehmen kann jedenfalls weitgehend nachweisen, die erforderlichen Risikomanagementmaßnahmen nach NIS2 und DSGVO ergriffen zu haben.
Die Einhaltung der NIS2-Richtlinie und der DSGVO ist nicht nur eine rechtliche Verpflichtung, sondern auch eine strategische Notwendigkeit. Unternehmen, die in IT-Sicherheit und Datenschutz investieren, können Vertrauen stärken, ihren Ruf schützen und ihre Position im Wettbewerb verbessern. Angesichts der zunehmenden Cyberbedrohungen und der wachsenden Bedeutung des Datenschutzes ist ein integrierter Ansatz für NIS2- und DSGVO-Compliance für Unternehmen unerlässlich. Zu guter Letzt bestehen bei Nichteinhaltung beider Regulierungen Bußgeldrisiken. Es bleibt daher nur, durch ein abgestimmtes Umsetzungskonzept eine Compliance mit DSGVO und NIS2 zu gewährleisten.
