DSGVO und NIS2 gemeinsam: doppelten Compliance-Aufwand vermeiden

Ein europäisches mittelständisches Unternehmen mit einem kompetenten Datenschutzbeauftragten (DSB) und einem ernsthaften DSGVO-Programm deckt bereits zwischen 35% und 55% dessen ab, was NIS2 verlangt. Ein mittelständisches Unternehmen, das sein NIS2-Programm bei Null beginnt und die bestehende DSGVO-Arbeit ignoriert, macht dieselbe Arbeit zweimal, zahlt sie zweimal und endet mit zwei Policy-Stapeln, die sich an drei Stellen widersprechen.

Das ist der Artikel, von dem wir uns wünschen, dass mehr Compliance-Teams ihn in der zweiten Hälfte von 2024 gelesen hätten, als die erste NIS2-Umsetzungswelle kam. Für die zweite Welle, die jetzt kommt, ist es nicht zu spät. Es geht nicht darum, NIS2 kleiner darzustellen, als es ist. Es ist groß. Es geht darum, dass Ihr Team kein paralleles Programm aufbaut, wenn das bestehende bereits die halbe Arbeit erledigt.

Die ehrliche Überlappung

Beide Regularien fordern mindestens:

• Einen risikobasierten Ansatz zu Sicherheitsmaßnahmen, dokumentiert und überprüft.
• Technische und organisatorische Kontrollen, dem Risiko angemessen.
• Vorfallerkennung, Vorfallbehandlung und Vorfallmeldung.
• Verantwortung in der Lieferkette.
• Verantwortung des Leitungsorgans für die Sicherheitsaufsicht.
• Belegbare Evidenz, dass das oben Genannte tatsächlich vorhanden ist.

Das Vokabular unterscheidet sich. Die DSGVO spricht von "personenbezogenen Daten" und "betroffenen Personen". NIS2 spricht von "Netzwerk- und Informationssystemen" und "Empfängern von Diensten". Aber die zugrundeliegenden Kontrollen (Zugriffsverwaltung, Verschlüsselung, Protokollierung, Backups, Vorfallbehandlung, Drittparteien-Bewertung, Schulung) sind weitgehend dieselben. Wenn Ihre Zugriffsverwaltungsrichtlinie für die DSGVO sauber geschrieben ist, brauchen Sie keine parallele für NIS2. Sie brauchen einen Anhang, der erklärt, wie dieselbe Richtlinie den zusätzlichen NIS2-Scope erfüllt.

Die ehrliche Divergenz

Die beiden Regularien unterscheiden sich in drei wichtigen Aspekten, die kein zusammengeführtes Programm überspielen kann.

Unterschiedliche Schadensmodelle

Die DSGVO schützt natürliche Personen und die personenbezogenen Daten über sie. Der Schaden, den die DSGVO im Blick hat, ist Schaden an Individuen: Identitätsdiebstahl, Diskriminierung, finanzieller Verlust, Reputationsschaden. NIS2 schützt die Kontinuität und Integrität von Diensten, von denen die Gesellschaft abhängt. Der Schaden, den NIS2 im Blick hat, ist operative Störung mit Folgewirkung auf wesentliche oder wichtige Dienste.

Das bedeutet: derselbe Vorfall kann unter jedem Regime unterschiedliche Bedeutung haben. Eine Vertraulichkeitsverletzung ohne Service-Auswirkung kann ein großes DSGVO-Ereignis und ein kleines NIS2-Ereignis sein. Ein 48-stündiger Service-Ausfall ohne personenbezogene Daten kann ein großes NIS2-Ereignis und ein Nicht-Ereignis für die DSGVO sein.

Unterschiedliche Meldungsregime

Die DSGVO verlangt die Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde innerhalb von 72 Stunden ab Kenntnisnahme, wenn die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die betroffenen Personen selbst müssen benachrichtigt werden, wenn das Risiko hoch ist.

NIS2 verlangt eine Frühwarnung an das zuständige CSIRT innerhalb von 24 Stunden ab Kenntnisnahme eines bedeutenden Vorfalls, eine vollständige Vorfallmeldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Die Empfänger der Dienste müssen informiert werden, wenn ein bedeutender Vorfall ihre Nutzungsfähigkeit wesentlich beeinträchtigen könnte.

Beide Uhren können gleichzeitig laufen, mit unterschiedlichen Adressaten und unterschiedlichen Inhaltsanforderungen. Unternehmen, die die beiden Prozesse naiv zusammenführen, unterschätzen, wie komplex der erste Vorfall mit Doppelmeldung sein wird.

Unterschiedliche Governance-Anker

Die DSGVO-Governance landet bei der DSB-Funktion, die für bestimmte Verarbeitungstätigkeiten Pflicht ist. Die NIS2-Governance landet beim Leitungsorgan, mit direkten Schulungspflichten und persönlicher Haftungsexposition.

In einem Mittelständler ohne CISO besteht die Versuchung, den DSB die NIS2-Governance absorbieren zu lassen. Das ist ein Fehler. Der DSB hat eine definierte Unabhängigkeit gegenüber operativen Entscheidungen des Verantwortlichen; der Cybersicherheitsleiter für NIS2 muss innerhalb der operativen Kette sitzen. Die beiden Rollen können nebeneinander sitzen; sie können nicht in eine zusammenfallen.

Ein zusammengeführtes Programm, das funktioniert

Wir haben in mehreren Kundeneinsätzen duale DSGVO-NIS2-Programme aufgebaut und betrieben. Das konsistent funktionierende Muster hat fünf Elemente.

Element 1 · Ein Kontrollkatalog, zwei Policy-Linsen

Bauen Sie einen einzigen Cybersicherheits-Kontrollkatalog. Taggen Sie jede Kontrolle mit den DSGVO-Artikeln und den NIS2-Artikeln, die sie erfüllt. Nutzen Sie ihn als Single Source of Truth für Audit, Vorstandsreporting und Evidenz. Vermeiden Sie die parallelen doppelten Kataloge, die aus Silo-Compliance-Projekten oft entstehen.

Element 2 · Zwei Governance-Foren mit expliziten Schnittstellen

Behalten Sie das Datenschutz-Komitee (DSB-geführt, DSGVO-fokussiert) und schaffen oder stärken Sie das Cybersicherheits-Komitee (Cybersicherheits-Leiter-geführt, NIS2-Fokus plus breiterer Scope). Definieren Sie die Schnittstelle explizit: Was bringt jedes Forum dem anderen, in welchem Rhythmus, wer nimmt an beiden teil. Eine vierteljährliche gemeinsame Sitzung zu Vorfallmetriken und Drittparteien-Risiko funktioniert in den meisten Mittelständlern.

Element 3 · Ein Vorfallplan mit zwei Meldungspfaden

Der Vorfallplan ist gemeinsam. Die Meldungsanhänge sind getrennt. Der Plan muss explizit machen, dass ein Vorfall eine DSGVO-Meldung, eine NIS2-Meldung, beide oder keine auslösen kann, und der Entscheidungsbaum muss dem Responder in der ersten Stunde sichtbar sein.

Testen Sie diesen Anhang in Ihrer nächsten Tabletop-Übung. Das erste Mal, dass der Doppelmeldungsfluss in einem realen Vorfall läuft, mit beiden Uhren aktiv und der Geschäftsleitung mit Fragen, ist nicht der richtige Zeitpunkt, Ambiguität im Plan zu entdecken.

Element 4 · Eine Lieferketten-Bewertung, zwei Reportingflüsse

Der Drittparteien-Bewertungsprozess ist gemeinsam. Sein Output speist sowohl das Verzeichnis von Verarbeitungstätigkeiten der DSGVO als auch das NIS2-Lieferketten-Risikoregister. Stellen Sie sicher, dass der Fragebogen sammelt, was beide Regime brauchen: Datenkategorien und -orte für die DSGVO, Kritikalität und Vorfall-Meldeverpflichtungen für NIS2.

Element 5 · Ein Evidenz-Repository, zwei Auditsichten

Ein einziges Evidenz-Repository (GRC-Plattform, Ticketsystem oder strukturierter Dokumentenspeicher) hält die Evidenz. Zwei gespeicherte Suchen oder zwei Ansichten geben jeder Zielgruppe, was sie braucht. Der Datenschutz-Auditor sieht die DSGVO-relevante Evidenz; die NIS2-Aufsicht (oder Ihr interner NIS2-Audit) sieht die NIS2-relevante Evidenz.

Der 90-Tage-Uplift

Für ein Unternehmen mit funktionierendem DSGVO-Programm, das bei NIS2 bei Null beginnt, sind 90 Tage fokussierter Arbeit realistisch. Weniger ist nur unter Qualitätsverlust möglich. Mehr ist möglich, aber die politischen Kosten von "Wir arbeiten noch dran" übersteigen meist die technischen Kosten des Fertigwerdens.

Ein realistischer wöchentlicher Verlauf:

• Wochen 1-2. Lückenanalyse: den bestehenden DSGVO-Kontrollkatalog gegen NIS2-Artikel-21-Anforderungen mappen. Die echten Lücken identifizieren, nicht die Umbenennungsarbeit.
• Wochen 3-4. Governance: das Cybersicherheits-Komitee aufsetzen, die Schnittstelle zum Datenschutz-Komitee definieren, Schulung des Leitungsorgans planen.
• Wochen 5-6. Risikobewertung: die bestehende DSGVO-Risikomethodik auf den breiteren NIS2-Scope erweitern (Service-Verfügbarkeit und -Integrität, nicht nur Vertraulichkeit personenbezogener Daten).
• Wochen 7-8. Vorfallplan aktualisieren: den NIS2-Meldungsanhang ergänzen, eine Tabletop-Übung beider Uhren durchführen.
• Wochen 9-10. Lieferkette: die bestehende Drittparteien-Bewertung um NIS2-Kriterien erweitern, die Verträge der 10 kritischsten Lieferanten aktualisieren.
• Wochen 11-12. Dokumentation, Aufbau des Evidenz-Repositorys und erste interne Audit-Runde.

Nach 90 Tagen wird die Restarbeit (Tochtergesellschaften, weitere Sektoren, sektorale Pflichten) inkrementell. Die strukturelle Arbeit ist erledigt.

Die häufigsten Fallstricke

• NIS2 als Sicherheitsprojekt behandeln, nicht als Governance-Projekt. Die Schulung des Leitungsorgans und das Gespräch über persönliche Haftung sind nicht verhandelbar. Wenn sie verrutschen, ist das ganze Programm brüchig.
• Den DSB als Cybersicherheits-Leiter einsetzen. Das bricht die DSB-Unabhängigkeit und unterdimensioniert die Cybersicherheits-Rolle.
• Eine "NIS2-Compliance-Plattform" vor der Lückenanalyse kaufen. Werkzeuge dienen dem Programm. Eine vor dem Programmdesign gekaufte Plattform wird zur Designbeschränkung.
• Tochtergesellschaften vergessen. Eine Muttergesellschaft, die den NIS2-Scope nur auf sich selbst beschränkt und Tochtergesellschaften in wesentlichen oder wichtigen Sektoren auslässt, hat eine Scope-Lücke, die ein Audit findet.
• Zertifizierung mit Compliance verwechseln. Weder die DSGVO noch NIS2 verlangen eine ISO-27001-Zertifizierung. ISO 27001 hilft; es ersetzt nicht die regimespezifische Evidenz, die jede Behörde fordert.

> "Die saubersten dualen DSGVO-NIS2-Programme, die wir auditiert haben, teilen ein Merkmal: ein einziger Verantwortlicher, der beide Regime als ein Programm mit zwei Reportingflüssen behandelt. Die unsaubersten teilen ein anderes: zwei parallele Projekte, die sich einmal im Quartal treffen und uneins sind." — IBL Audit-Review dualer Programme, 2025

Was wir bei IBL tun

Wir führen zusammengeführte DSGVO-NIS2-Uplift-Einsätze für Mittelständler mit funktionierendem DSGVO-Programm, die die NIS2-Schicht ohne Duplikation aufbauen wollen. Der Einsatz ist typischerweise ein 90-tägiger Festumfang mit benanntem Lead, wöchentlichem Stand-up mit Compliance- und IT-Leitung des Kunden und einem schriftlichen Bericht zum Schluss, den das Leitungsorgan seiner Aufsicht vorlegen kann.

Wenn Sie ein Gespräch über Ihre aktuelle DSGVO-NIS2-Position wünschen, schreiben Sie an [email protected]. Wir antworten innerhalb eines Werktags.

---

Ibida Black Level S.L. ist eine Boutique-Beratung für Cybersicherheit mit Sitz in Málaga, Spanien, und einem operativen Team in Rumänien. Wir arbeiten mit europäischen mittelständischen Unternehmen, die technische Ehrlichkeit der Anbieterverpackung vorziehen. Wir wurden 2026 gegründet; wir erfinden keine längere Geschichte.

Weiterführende Lektüre

• NIS2-Selbstbewertung: 25 Fragen, um die Compliance Ihres Unternehmens zu prüfen (Cluster Q3-Pillar)
• DMARC erklärt: warum Ihre E-Mail anfällig ist und wie Sie sie in 24 Stunden absichern (Cluster Q3-Pillar)
• NIS2 gegen ISO 27001: wann welcher Hebel passt (Cluster Q3-Pillar)

Tags: dsgvo, nis2, compliance, datenschutz, vorfallsmeldung, lieferkette, governance