Informationssicherheits- und Datenschutzexpertin
23 Mar 2026
7 min
.svg)
NIS2 und DSGVO fordern beide technische und organisatorische Maßnahmen (TOM), ein Risikomanagementsystem und dokumentierte Meldeprozesse.
Die Meldepflichten unterscheiden sich in Fristen (24 Stunden NIS2 vs. 72 Stunden DSGVO) und Adressaten (BSI vs. Datenschutzbehörde), laufen aber bei vielen Vorfällen parallel.
Ein ISMS nach ISO 27001 deckt rund 70-80 % der Anforderungen beider Regelwerke ab und vermeidet doppelte Strukturen.
Unternehmen, die bereits DSGVO-konform arbeiten, haben einen Großteil der NIS2-Vorarbeit erledigt und können bestehende Prozesse erweitern statt neu aufbauen.
Die NIS2-Richtlinie und die Datenschutz-Grundverordnung (DSGVO) kommen aus unterschiedlichen Ecken der EU-Regulierung, treffen sich aber bei einem zentralen Punkt: Beide verlangen von Unternehmen technische und organisatorische Maßnahmen zum Schutz sensibler Daten und kritischer Systeme. Wer bereits DSGVO-konform arbeitet, hat damit einen Teil der NIS2-Arbeit erledigt. Dieser Artikel zeigt, wo sich die Anforderungen überschneiden, wo sie auseinandergehen und wie Sie beide Regelwerke mit einem integrierten Managementsystem abdecken.
NIS2 und DSGVO verfolgen ein gemeinsames Ziel: den Schutz digitaler Infrastruktur und personenbezogener Daten durch technische und organisatorische Maßnahmen (TOM). Der Unterschied liegt im Schutzobjekt. Die DSGVO schützt personenbezogene Daten. NIS2 schützt Netz- und Informationssysteme. In der Praxis überlappen sich beide Bereiche erheblich, weil Informationssysteme fast immer auch personenbezogene Daten verarbeiten.
| Kriterium | DSGVO | NIS2 (NIS2UmsuCG) |
|---|---|---|
| Schutzobjekt | Personenbezogene Daten | Netz- und Informationssysteme |
| Adressaten | Alle Datenverarbeiter | Besonders wichtige und wichtige Einrichtungen (ca. 29.500 in DE) |
| Aufsicht | Datenschutzbehörden der Länder | BSI (Bundesamt für Sicherheit in der Informationstechnik) |
| Bußgelder (max.) | 20 Mio. € oder 4 % Jahresumsatz | 10 Mio. € oder 2 % Jahresumsatz |
| TOM-Pflicht | Art. 32 DSGVO | §30 NIS2UmsuCG (10 Maßnahmenbereiche) |
Die Tabelle zeigt: Die Instrumente ähneln sich, die Perspektive ist unterschiedlich. Einen vollständigen Überblick über die NIS2-Richtlinie finden Sie in unserem Pillar-Artikel.
Die größte Schnittmenge zwischen NIS2 und DSGVO liegt bei den technischen und organisatorischen Maßnahmen. Art. 32 DSGVO fordert ein dem Risiko angemessenes Schutzniveau. §30 NIS2UmsuCG verlangt Risikomanagementmaßnahmen in zehn Bereichen. Wer die Anforderungen nebeneinanderlegt, erkennt drei zentrale Überschneidungen.
1. Risikoanalyse als Ausgangspunkt. Beide Regelwerke setzen eine systematische Risikoanalyse voraus. Die DSGVO kennt die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35. NIS2 fordert eine umfassende Risikoanalyse für Netz- und Informationssysteme (§30 Abs. 2 Nr. 1). In der Praxis lassen sich beide Analysen kombinieren: Die DSFA deckt den personenbezogenen Datenbereich ab, die NIS2-Risikoanalyse erweitert den Scope auf die gesamte IT-Infrastruktur. Wer bereits eine DSFA durchführt, hat die Methodik und kann sie auf NIS2-Risiken ausdehnen.
2. Verschlüsselung und Zugangskontrollen. Art. 32 Abs. 1 lit. a DSGVO nennt Verschlüsselung und Pseudonymisierung explizit. §30 Abs. 2 Nr. 7 NIS2UmsuCG fordert Kryptografie-Konzepte. In beiden Fällen geht es darum, Daten im Ruhezustand und bei der Übertragung zu schützen. Wer ein Kryptografie-Konzept für NIS2 aufbaut, erfüllt damit gleichzeitig die DSGVO-Anforderung an Verschlüsselung.
3. Dokumentation und Nachweispflicht. Die DSGVO verlangt ein Verzeichnis von Verarbeit ungstätigkeiten (Art. 30) und die Nachweisfähigkeit der Compliance (Art. 5 Abs. 2). NIS2 fordert die Dokumentation der Risikomanagementmaßnahmen und deren Umsetzungsstand. Ein gemeinsames Dokumentationssystem spart den doppelten Aufwand. Alle zehn Maßnahmenbereiche aus §30 beschreiben wir unter NIS2-Anforderungen.
Bei einem Sicherheitsvorfall, der gleichzeitig personenbezogene Daten betrifft und ein Netz- oder Informationssystem beeinträchtigt, greifen beide Meldepflichten parallel. Die Fristen unterscheiden sich: NIS2 verlangt eine Erstmeldung an das BSI innerhalb von 24 Stunden nach Kenntnisnahme (§32 Abs. 1 NIS2UmsuCG). Die DSGVO gibt 72 Stunden für die Meldung an die zuständige Datenschutzbehörde (Art. 33 Abs. 1).
Die NIS2-Frist ist die strengere. Wer den NIS2-Meldeprozess aufbaut, sollte die DSGVO-Meldung direkt integrieren. Konkret bedeutet das: Ein Vorfall wird erkannt, der Incident-Response-Prozess startet, und nach der Erstbewertung gehen zwei Meldungen raus. Die NIS2-Meldung an das BSI innerhalb von 24 Stunden. Die DSGVO-Meldung an die Datenschutzaufsicht innerhalb von 72 Stunden, sofern personenbezogene Daten betroffen sind.
Die genauen Fristen und Eskalationsstufen der NIS2-Meldepflicht behandeln wir unter NIS2-Meldepflichten im Detail.
Nicht jeder Vorfall löst beide Meldepflichten aus. Ein DDoS-Angriff, der Systeme lahmlegt, aber keine personenbezogenen Daten kompromittiert, fällt nur unter NIS2. Ein Datenleck ohne Systembeeinträchtigung fällt nur unter die DSGVO. Die Erfahrung zeigt aber: Bei den meisten schweren Vorfällen sind beide Meldewege betroffen, weil Angreifer selten zwischen Systemen und Daten unterscheiden.
Die effizienteste Lösung für die parallele Compliance ist ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001. Ein ISMS nach ISO 27001 deckt rund 70-80 % der Anforderungen beider Regelwerke ab, weil es sowohl Risikomanagement als auch TOM und Dokumentation strukturiert. Statt zwei getrennte Compliance-Projekte aufzusetzen, bauen Sie ein System, das beide bedient.
Der Weg dorthin in vier Schritten:
Gap-Analyse: Bestand aufnehmen
Prüfen Sie, welche DSGVO-Maßnahmen bereits stehen (Verarbeitungsverzeichnis, TOM-Dokumentation, DSFA). Gleichen Sie diese mit den zehn NIS2-Maßnahmenbereichen aus §30 ab. Die Lücken zeigen, was zusätzlich aufgebaut werden muss.
TOM-Mapping erstellen
Ordnen Sie jede bestehende TOM den NIS2-Maßnahmenbereichen zu. Verschlüsselung? Deckt §30 Nr. 7 (Kryptografie) und Art. 32 DSGVO ab. Zugangskontrollen? §30 Nr. 6 und Art. 32. So wird sichtbar, welche Maßnahmen doppelt zählen.
Meldeprozess integrieren
Bauen Sie einen einheitlichen Incident-Response-Prozess, der bei einem Vorfall automatisch beide Meldewege prüft: Ist das BSI zu informieren (NIS2)? Ist die Datenschutzbehörde zu informieren (DSGVO)? Die Erstbewertung entscheidet, welche Meldungen rausgehen.
Schulungen koordinieren
NIS2 fordert Schulungen für die Geschäftsleitung (§38 Abs. 3 NIS2UmsuCG). Die DSGVO verlangt die Sensibilisierung aller Mitarbeitenden, die personenbezogene Daten verarbeiten. Kombinieren Sie beide Schulungspflichten in einem Programm.
ISMS-Plattformen wie SECJUR Digital Compliance Office können die Vorbereitungszeit um bis zu 50 % verkürzen, weil Vorlagen, Mappings und Workflows für beide Regelwerke bereits vorkonfiguriert sind. Statt Tabellen und Dokumente manuell zu pflegen, dokumentieren Sie Risiken, Maßnahmen und Nachweise an einem Ort.
„Wer DSGVO-Compliance ernst genommen hat, hat 60-70 % der NIS2-Arbeit bereits erledigt. Die Risikoanalyse steht, die TOM sind dokumentiert, der Meldeprozess existiert. Es fehlt die Erweiterung auf Netz- und Informationssysteme. Das ISMS ist die Brücke zwischen beiden Regelwerken.“
Nandini Suresh, Informationssicherheits- und Datenschutzexpertin bei SECJUR
Trotz aller Gemeinsamkeiten gibt es klare Unterschiede, die getrennte Prozesse erfordern.
Registrierungspflicht. NIS2 verlangt eine aktive Registrierung beim BSI innerhalb von drei Monaten (§33 NIS2UmsuCG). Die DSGVO kennt keine vergleichbare Registrierungspflicht. Unternehmen müssen prüfen, ob sie als besonders wichtige oder wichtige Einrichtung gelten, und sich entsprechend registrieren.
Geschäftsleitungshaftung. NIS2 macht die Geschäftsleitung persönlich verantwortlich für die Umsetzung der Risikomanagementmaßnahmen (§38 NIS2UmsuCG). Die DSGVO adressiert primär das Unternehmen als Verantwortlichen, nicht die Geschäftsführung persönlich. Diese persönliche Haftung ist ein Novum, das Geschäftsführer ernst nehmen sollten.
Scope der Maßnahmen. Die DSGVO fokussiert auf den Schutz personenbezogener Daten. NIS2 geht breiter: Betriebskontinuität, Lieferkettensicherheit, Kryptografie-Konzepte und Cyberhygiene gehören zu den zehn Maßnahmenbereichen. Unternehmen, die bisher nur DSGVO-Maßnahmen umgesetzt haben, müssen für NIS2 den Blick auf die gesamte IT-Infrastruktur weiten.
Aufsicht und Durchsetzung. Die DSGVO wird durch die Datenschutzaufsichtsbehörden der Länder durchgesetzt. NIS2 durch das BSI. Das bedeutet zwei verschiedene Ansprechpartner, zwei verschiedene Meldewege und zwei verschiedene Prüfansätze. Wer beide Aufsichtsstrukturen kennt, kann seine internen Zuständigkeiten entsprechend aufteilen.
Die Unterschiede zeigen: NIS2 ist kein DSGVO-Duplikat. Es erweitert den Compliance-Rahmen um Aspekte, die die DSGVO nicht abdeckt. Unternehmen, die beides brauchen, fahren mit einem integrierten ISMS am besten, das die gemeinsamen Anforderungen zentralisiert und die spezifischen Pflichten getrennt verwaltet.
Nandini Suresh ist Compliance Expert bei SECJUR und spezialisiert auf Datenschutz, Cybersecurity und geistiges Eigentum. Bevor sie zu SECJUR kam, war sie unter anderem bei Bird & Bird sowie Lorenz Seidler Gossel tätig und betreute dort internationale Mandate im Marken- und Datenschutzrecht. Durch ihre Erfahrung an der Schnittstelle von Recht, Technologie und Compliance verbindet sie juristische Präzision mit einem tiefen Verständnis für die regulatorischen Anforderungen moderner Unternehmen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema
Beide Regelwerke fordern technische und organisatorische Maßnahmen (TOM), ein systematisches Risikomanagement und dokumentierte Meldeprozesse bei Sicherheitsvorfällen. Ein ISMS nach ISO 27001 deckt rund 70-80 % der Anforderungen beider Regelwerke ab.
NIS2 verlangt eine Erstmeldung an das BSI innerhalb von 24 Stunden. Die DSGVO gibt 72 Stunden für die Meldung an die Datenschutzbehörde. Bei Vorfällen, die beide Regelwerke betreffen, müssen Unternehmen parallel an BSI und Datenschutzaufsicht melden.
Ja. Ein ISMS nach ISO 27001 bildet die gemeinsame Basis für Risikomanagement, TOM-Dokumentation und Meldeprozesse. ISMS-Plattformen wie SECJUR Digital Compliance Office bündeln die Anforderungen beider Regelwerke in einem System.
NIS2 wird durch das BSI (Bundesamt für Sicherheit in der Informationstechnik) beaufsichtigt. Die DSGVO durch die Datenschutzaufsichtsbehörden der Länder. Unternehmen haben damit zwei verschiedene Aufsichtsbehörden und Meldewege.
Mit dem kürzlich überarbeiteten Datenschutzgesetz (DSG) steht die Schweizer Geschäftswelt vor neuen Herausforderungen. In diesem informativen Artikel werfen wir einen Blick auf die sich ergebenden Verpflichtungen und beleuchten die wesentlichen Unterschiede zwischen dem revidierten DSG und der DSGVO. Besonders markant ist die Einführung der persönlichen strafrechtlichen Haftung, die zur Folge hat, dass nicht nur Unternehmen, sondern auch Privatpersonen bei Verstößen gegen das DSG zur Rechenschaft gezogen werden können. Unser Rechtsexperte Simon Pentzien gibt wertvolle Empfehlungen zur reibungslosen Umsetzung.
Eine ISO 9001 Checkliste ist das Rückgrat jeder QM-Implementierung. Sie stellt sicher, dass keine Anforderung übersehen wird.
Viele Unternehmen unterschätzen die Bedeutung der Dokumentenlenkung in ISO 27001 und damit die Schlüsselrolle des Document Controllers. Erfahren Sie, wie diese oft übersehene Funktion Ordnung in komplexe ISMS-Strukturen bringt, Audits souverän bestehen lässt und die Grundlage für echte Sicherheit und Nachvollziehbarkeit schafft. Dieser Leitfaden zeigt praxisnah, wie ein starker Document Controller Ihr ISMS von fragil zu auditfest transformiert und zum strategischen Erfolgsfaktor macht.
.svg)
.svg)
.svg){kind=small}