NIS2 vs. DSGVO: Unterschiede, Überschneidungen und duale Compliance

TL;DR

NIS2 und DSGVO sind zwei verschiedene EU-Gesetze, die gleichzeitig gelten. NIS2 schützt Netzwerke und Dienste. Die DSGVO schützt personenbezogene Daten. Ein einziger Cyberangriff kann Meldepflichten nach beiden Gesetzen auslösen, an unterschiedliche Behörden und mit unterschiedlichen Fristen.

Viele Organisationen glauben, dass DSGVO-Compliance und NIS2-Compliance dasselbe sind. Das ist falsch. Beide Rahmenwerke haben unterschiedliche Schutzziele, unterschiedliche Behörden und unterschiedliche Anforderungen. Gleichzeitig gibt es erhebliche Überschneidungen, die eine koordinierte Umsetzung möglich und sinnvoll machen.

Dieser Artikel erklärt die Unterschiede, wo die Gesetze zusammentreffen und wie Sie eine einheitliche Compliance-Strategie aufbauen, die beide Anforderungen abdeckt.

NIS2 und DSGVO im direkten Vergleich

Kriterium	NIS2	GDPR
Rechtsform	Richtlinie (in nat. Recht umzusetzen)	Verordnung (direkt anwendbar)
Schutzziel	Sicherheit von Netzwerken und Informationssystemen	Schutz personenbezogener Daten
Anwendungsbereich	18 kritische Sektoren, ab mittlerer Unternehmensgröße	Alle Organisationen, die personenbezogene Daten verarbeiten
Aufsichtsbehörde	Nationale zuständige Behörde (z.B. BSI, CCB, ANSSI)	Datenschutzaufsichtsbehörde (z.B. BfDI, Datatilsynet)
Meldepflicht bei Vorfällen	24h Frühwarnung, 72h Vollmeldung an CSIRT/Behörde	72h Meldung an Datenschutzbehörde (bei pers. Datenpanne)
Maximales Bußgeld	€10 Mio. oder 2 % Umsatz (WE); €7 Mio. oder 1,4 % (WI)	€20 Mio. oder 4 % des weltweiten Jahresumsatzes
Persönliche Haftung	Ja (Art. 20: Leitungsorgane persönlich haftbar)	Begrenzt (hauptsächlich organisatorische Sanktionen)
Sicherheitsanforderungen	10 spezifische Artikel-21-Maßnahmen	Artikel 32: angemessene technisch-org. Maßnahmen (TOMs)

Wann ein Vorfall beide Gesetze gleichzeitig auslöst

Ein Ransomware-Angriff auf ein Krankenhaus trifft beide Rahmenwerke gleichzeitig. Das Krankenhaus ist als Wesentliche Einrichtung unter NIS2 registriert und verarbeitet als Gesundheitsdienstleister täglich tausende Patientendaten unter der DSGVO. Der Angriff betrifft die Verfügbarkeit des Netzwerks (NIS2-Tatbestand) und führt möglicherweise zum unbefugten Zugriff auf Patientendaten (DSGVO-Tatbestand).

In diesem Fall entstehen zwei parallele Meldepflichten mit unterschiedlichen Empfängern:

NIS2 (Art. 23)

▸24h Frühwarnung an CSIRT oder zuständige Behörde
▸72h vollständige Meldung mit Vorfallsklassifizierung
▸1 Monat: Abschlussbericht mit Root-Cause-Analyse
▸Auslöser: erhebliche Auswirkung auf Dienstverfügbarkeit

DSGVO (Art. 33–34)

▸72h Meldung an Datenschutzaufsichtsbehörde
▸Benachrichtigung betroffener Personen (bei hohem Risiko)
▸Auslöser: Verletzung des Schutzes personenbezogener Daten
▸Dokumentation im internen Verarbeitungsverzeichnis

Das kritische Detail: Die NIS2-Frist von 24 Stunden für die Frühwarnung ist kürzer als die DSGVO-Frist von 72 Stunden. Eine Organisation, die einen kombinierten Vorfall feststellt, muss die NIS2-Frühwarnung priorisieren, selbst wenn noch keine endgültige Beurteilung der Datenschutzverletzung vorliegt.

Die Sicherheitsanforderungen im Vergleich

Artikel 32 DSGVO verlangt, dass Verantwortliche und Auftragsverarbeiter 'geeignete technische und organisatorische Maßnahmen' treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Das ist bewusst offen formuliert. NIS2 Artikel 21 hingegen benennt zehn konkrete Maßnahmenkategorien.

In der Praxis decken die NIS2-Artikel-21-Anforderungen die meisten DSGVO-Artikel-32-Anforderungen ab. Wer NIS2 vollständig umsetzt, hat in der Regel auch die technischen und organisatorischen Maßnahmen der DSGVO abgedeckt. Die Umkehrung gilt nicht: DSGVO-Compliance deckt nicht automatisch alle NIS2-Anforderungen ab, weil NIS2 zusätzliche Pflichten wie Behördenregistrierung, Vorfallsmeldung und Management-Schulungen umfasst.

NIS2 Artikel 21 Maßnahme	DSGVO-Äquivalent	Abdeckung
Risikoanalyse und Sicherheitsrichtlinien	Art. 32(1)(b), Art. 35 DSFA	Weitgehend deckungsgleich
Incident Handling	Art. 33–34 (Datenpannen)	Teilweise (DSGVO nur Datenpannen)
Business Continuity und Backup	Art. 32(1)(c) Verfügbarkeit	Deckungsgleich
MFA und Zugangskontrolle	Art. 32(1)(b) Zugangskontrollen	Deckungsgleich
Behördenregistrierung	Keine Entsprechung	NIS2 exklusiv
Management-Haftung (Art. 20)	Begrenzt (Art. 83)	NIS2 geht weiter

📊 Quick Test

Find out if your company is in scope

Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?

Check NIS2 Scope →

Wann gilt nur NIS2, wann nur DSGVO?

Nicht jeder Vorfall berührt beide Gesetze. Hier sind typische Szenarien:

🔵

Nur NIS2

DDoS-Angriff, der Ihre Website für 6 Stunden offline nimmt, aber keine personenbezogenen Daten betrifft. Meldepflicht nach NIS2 (wenn 'erheblich'), keine DSGVO-Meldepflicht.

🟢

Nur DSGVO

Versehentlicher E-Mail-Versand mit personenbezogenen Daten an falsche Empfänger. Keine Auswirkung auf Dienstverfügbarkeit (kein NIS2-Tatbestand), aber DSGVO-Datenpanne.

🟡

Beide Gesetze

Ransomware-Verschlüsselung von Patientendaten in einem Krankenhaus. Dienstverfügbarkeit beeinträchtigt (NIS2) und personenbezogene Gesundheitsdaten betroffen (DSGVO).

⚪

Keines der beiden

Hardwarefehler eines internen Servers ohne Datenverlust und ohne Auswirkung auf kritische Dienste. Intern zu beheben, keine externe Meldepflicht.

Eine kombinierte Incident-Response aufbauen

Weil viele Vorfälle beide Gesetze berühren, ist eine getrennte Behandlung ineffizient. Besser ist ein einheitlicher Incident-Response-Prozess, der beide Meldepfade von Anfang an berücksichtigt.

Klassifizierung beim ersten Alarm

Sobald ein Vorfall erkannt wird, beurteilen Sie sofort zwei Fragen: (1) Sind kritische Dienste betroffen? (NIS2-Auslöser) (2) Sind personenbezogene Daten betroffen? (DSGVO-Auslöser). Das Ergebnis bestimmt, welche Meldepfade aktiviert werden.

Fristen gleichzeitig starten

Wenn beide Gesetze greifen, starten die Fristen gleichzeitig. Die NIS2-Frühwarnung (24h) läuft parallel zur DSGVO-Meldefrist (72h). Beauftragen Sie eine Person mit NIS2-Meldungen und eine weitere mit der Datenschutzbehörde.

Gemeinsame Dokumentation führen

Verwenden Sie ein gemeinsames Vorfall-Log, das sowohl für NIS2- als auch für DSGVO-Nachweise geeignet ist. Viele Behörden akzeptieren dasselbe Dokument, wenn es alle notwendigen Informationen enthält.

Behörden nicht gegeneinander ausspielen

In mehreren EU-Ländern tauschen NIS2-Behörden und Datenschutzbehörden Informationen aus. Gehen Sie davon aus, dass eine Meldung die andere informiert. Konsistenz in beiden Meldungen ist wichtig.

Datenschutzbeauftragter und NIS2: Wer ist zuständig?

Viele Unternehmen haben bereits einen Datenschutzbeauftragten (DSB). NIS2 kennt keine entsprechende Pflichtrolle, aber die Funktion des DSB und eines NIS2-Verantwortlichen (oft CISO oder IT-Sicherheitsbeauftragter) überlappen sich erheblich.

In der Praxis empfiehlt sich folgende Aufteilung: Der DSB übernimmt die DSGVO-Meldepflichten gegenüber der Datenschutzbehörde und die Kommunikation mit betroffenen Personen. Der CISO oder IT-Sicherheitsbeauftragte übernimmt die NIS2-Frühwarnungen gegenüber dem CSIRT und der zuständigen Behörde. Beide arbeiten im selben Incident-Response-Team mit geteiltem Zugriff auf das Vorfall-Log.

Wo stehen Sie bei NIS2 und DSGVO?

Prüfen Sie zunächst, ob NIS2 für Ihr Unternehmen direkt gilt, dann bewerten Sie Ihre Artikel-21-Maßnahmen.

🎯 Anwendungsbereich prüfen 📊 Lückenanalyse starten

Häufige Fragen

Ersetzt NIS2 die DSGVO?

Nein. NIS2 und DSGVO sind unabhängige Gesetze mit unterschiedlichen Schutzzielen. NIS2 schützt Netzwerke und Dienste. Die DSGVO schützt personenbezogene Daten. Beide gelten gleichzeitig, wenn die jeweiligen Voraussetzungen erfüllt sind.

Welche Behörde ist bei einem kombinierten Vorfall zuerst zu benachrichtigen?

Bei einem Vorfall, der sowohl NIS2 als auch DSGVO auslöst, ist die NIS2-Frühwarnung (24h an CSIRT/Behörde) die kürzere Frist und hat daher praktisch Vorrang. Die DSGVO-Meldung an die Datenschutzbehörde hat 72 Stunden Zeit, ist aber oft inhaltlich umfangreicher.

Können Behörden Bußgelder nach beiden Gesetzen verhängen?

Grundsätzlich ja. Wenn ein Vorfall sowohl eine NIS2-Verletzung als auch eine DSGVO-Datenpanne darstellt, können theoretisch sowohl die NIS2-Behörde als auch die Datenschutzbehörde Bußgelder verhängen. In der Praxis koordinieren viele Länder die Zuständigkeiten, um Doppelbestrafung zu vermeiden.

Wenn wir schon DSGVO-konform sind, was fehlt noch für NIS2?

DSGVO-Compliance deckt die technischen und organisatorischen Maßnahmen (TOMs) ab, aber nicht die NIS2-spezifischen Pflichten: Sektorspezifische Registrierung bei der zuständigen Behörde, 24h/72h Meldepflichten an NIS2-Behörden (nicht nur Datenschutzbehörden), Artikel-20-Management-Schulungen und persönliche Haftung der Leitungsorgane.

Muss ein Datenschutzbeauftragter auch NIS2-Aufgaben übernehmen?

Das Gesetz schreibt das nicht vor. NIS2 verlangt keine bestimmte Rolle. In der Praxis ist es sinnvoll, klare Verantwortlichkeiten zwischen DSB (DSGVO-Seite) und CISO oder IT-Sicherheitsbeauftragtem (NIS2-Seite) zu definieren und eine enge Zusammenarbeit in einem gemeinsamen Incident-Response-Team zu sichern.