norppa.io
Leitfäden

NIS2-Leitfaden · 9 Min.

DSGVO vs. NIS2: Überschneidungen, Unterschiede und wann ein Vorfall beide auslöst

DSGVO und NIS2 berühren beide die Sicherheit und drohen beide mit hohen Bußgeldern, daher werden sie verwechselt, aber sie schützen Unterschiedliches und unterstehen unterschiedlichen Behörden. Das Risiko ist nicht, das Falsche zu wählen, sondern zu übersehen, dass ein einziger Vorfall beide auslösen kann, mit unterschiedlichen Fristen. Dieser Leitfaden zieht die Grenze, zeigt die Überschneidungen, erklärt das Zusammenspiel (Zusammenarbeit und kein doppeltes Bußgeld) und gibt eine klare Antwort für Teams, die Kunden unter beiden bedienen.

Die wichtigsten Punkte

  • Die DSGVO schützt personenbezogene Daten und gilt für nahezu jede Organisation; NIS2 schützt die Cyberresilienz und gilt nur für benannte wesentliche und wichtige Einrichtungen.
  • Ein Vorfall kann zwei Meldungen erfordern: eine 72-Stunden-Meldung an Ihre Datenschutzbehörde (DSGVO Art. 33) und eine 24-/72-Stunden-/Ein-Monats-Meldung an Ihr CSIRT (NIS2 Art. 23).
  • Sie sind auf Verzahnung angelegt: Behörden kooperieren (NIS2 Art. 35) und für dieselbe Handlung wird nicht zweimal sanktioniert, aber Sie bewerten und melden weiterhin nach jeder, wo sie greift.

Was jede regelt

DSGVO und NIS2 sind beides EU-Rechtsakte, die die Sicherheit berühren, und sie werden verwechselt, aber sie schützen Unterschiedliches. Die DSGVO schützt personenbezogene Daten; NIS2 schützt die Kontinuität und Sicherheit wesentlicher Dienste. Eine Organisation kann ohne Weiteres beiden zugleich unterliegen.

Die sauberste Abgrenzung: Die DSGVO fragt „schützen Sie die personenbezogenen Daten von Menschen?“ und gilt für nahezu jede Organisation, die solche Daten verarbeitet. NIS2 fragt „ist Ihre Organisation betriebs- und cyberresilient?“ und gilt nur für benannte wesentliche und wichtige Einrichtungen in bestimmten Sektoren.

DSGVO: personenbezogene Daten, fast alle

Verordnung (EU) 2016/679, anwendbar seit 2018. Regelt die Verarbeitung personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter: Rechtsgrundlage, Betroffenenrechte und Sicherheit der Verarbeitung (Art. 32). Durchgesetzt durch die Datenschutzbehörden.

NIS2: Cybersicherheit, benannte Einrichtungen

Richtlinie (EU) 2022/2555, in nationales Recht umgesetzt (Frist 17. Oktober 2024). Regelt das Cybersicherheits-Risikomanagement (Art. 21) und die Vorfallmeldung (Art. 23) für wesentliche und wichtige Einrichtungen. Durchgesetzt durch nationale Cybersicherheitsbehörden und CSIRTs.

Die Falle: ein Vorfall, zwei Meldungen

Ein einziger Vorfall kann beide Regime auslösen: an unterschiedliche Behörden, mit unterschiedlichen Fristen. Kennen Sie beide:

DSGVO Art. 33

Betrifft ein Sicherheitsvorfall personenbezogene Daten, melden Sie ihn Ihrer Datenschutzbehörde unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden. Es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen.

NIS2 Art. 23

Handelt es sich um einen erheblichen Vorfall, senden Sie Ihrem CSIRT eine 24-Stunden-Frühwarnung, eine 72-Stunden-Meldung und einen Abschlussbericht binnen eines Monats.

Beides zugleich

Ein Ransomware-Angriff, der personenbezogene Daten verschlüsselt, ist gleichzeitig ein erheblicher NIS2-Vorfall und eine DSGVO-Datenschutzverletzung: zwei Meldungen, zwei Behörden, zwei Fristen.

Wo sie sich überschneiden

Setzen Sie eines gut um, und Teile des anderen folgen. Beide verlangen:

  • Sicherheit der Verarbeitung / Risikomanagementmaßnahmen: verhältnismäßige technische und organisatorische Kontrollen.
  • Vorfall- bzw. Verletzungsmeldung zu festgelegten Fristen, mit Dokumentation des Geschehens und der Reaktion.
  • Verantwortlichkeit: die Leitung muss sie tragen, und beide Regime drohen mit erheblichen Bußgeldern.
  • Aufzeichnungen und Nachweise. Sie müssen nachweisen, nicht nur behaupten, dass Kontrollen bestehen und wirken.
  • Drittparteienabsicherung: DSGVO über Auftragsverarbeitungsverträge (Art. 28), NIS2 über Lieferkettensicherheit (Art. 21 Abs. 2 Buchst. d).

Das Zusammenspiel: Kooperation und kein doppeltes Bußgeld

NIS2 wurde so geschrieben, dass es mit der DSGVO verzahnt, nicht dupliziert. Nach NIS2 Artikel 35 muss eine Cybersicherheitsbehörde, die erfährt, dass ein Vorfall bei einer Einrichtung eine nach DSGVO Art. 33 meldepflichtige Datenschutzverletzung umfassen kann, die Datenschutzbehörde unverzüglich informieren. Die beiden Behörden kooperieren und tauschen Informationen aus.

Entscheidend: Für dieselbe Handlung wird nicht zweimal sanktioniert. Verhängt eine Datenschutzbehörde ein DSGVO-Bußgeld für einen Verstoß, darf die NIS2-Behörde nicht zusätzlich ein NIS2-Bußgeld (Art. 34) für dieselbe Handlung verhängen. Das ist jedoch ein Schutz vor Doppelbestrafung für eine Handlung. Es verschmilzt die beiden Pflichten nicht. Sie bewerten, dokumentieren und melden weiterhin nach jedem Regime, wo es greift.

Welche Pflichten greifen, hängt vom Sachverhalt ab: waren personenbezogene Daten betroffen, und sind Sie eine wesentliche oder wichtige Einrichtung? Bestätigen Sie die Einzelheiten bei Ihrer Datenschutzbehörde, Ihrer nationalen Cybersicherheitsbehörde und mit fachkundiger Beratung.

Welche gilt für Sie?

Die meisten Organisationen unterliegen einer; viele beiden:

Sie verarbeiten personenbezogene Daten, sind aber keine wesentliche/wichtige Einrichtung

Die DSGVO gilt; NIS2 gilt nicht unmittelbar: die Lieferketten-Sorgfaltsprüfung eines NIS2-Kunden kann Sie jedoch über Ihre Verträge erreichen.

Sie sind eine wesentliche/wichtige Einrichtung mit wenig personenbezogenen Daten

NIS2 gilt vollumfänglich; die DSGVO gilt für die personenbezogenen Daten, die Sie verarbeiten (Beschäftigte, Kunden).

Sie unterliegen beiden (der häufige Fall)

Betreiben Sie einen Vorfallreaktionsprozess, der beide Fristen erfüllt: Datenschutzbehörde binnen 72 h bei Datenschutzverletzungen, CSIRT auf der 24-h-/72-h-/Ein-Monats-Spur bei erheblichen Vorfällen.

Sie sind Lieferant oder Auftragsverarbeiter

Erwarten Sie sowohl DSGVO-Auftragsverarbeiterklauseln (Art. 28) als auch NIS2-Lieferkettenprüfung (Art. 21 Abs. 2 Buchst. d) Ihrer Kunden: Fragebögen, Nachweisanforderungen und kontinuierliches Monitoring.

Quellen: Verordnung (EU) 2016/679 (DSGVO) und Richtlinie (EU) 2022/2555 (NIS2), insbesondere Art. 35 zum Zusammenspiel mit der DSGVO. Bestätigen Sie, wie beide auf Ihre Situation zutreffen, bei Ihrer Datenschutzbehörde und Ihrer nationalen Cybersicherheitsbehörde.

Wie norppa.io hilft

Beide Regime erwarten inzwischen kontinuierliche, nachweisgestützte Sicherheit über Ihre Lieferanten und Auftragsverarbeiter: DSGVO über die Auftragsverarbeiteraufsicht (Art. 28), NIS2 über die Lieferkettensicherheit (Art. 21 Abs. 2 Buchst. d). norppa.io überwacht jede Lieferanten-Domain täglich an mehr als hundert Kontrollpunkten, wobei jeder Befund dem betroffenen NIS2-Artikel zugeordnet und für Ihre Aufzeichnungen exportierbar ist.

Selbstbewertungsfragebögen erfassen die Vertrags- und Prozesskontrollen, die weder eine Datenschutzbehörde noch ein Cybersicherheitsprüfer von außen sieht, und jede Antwort wird neben das aktuelle technische Profil gestellt: sodass Sie, ob die Frage aus Datenschutz- oder NIS2-Sicht kommt, aktuelle, bestätigte Nachweise statt Behauptungen zeigen können.

Eine Quelle für Lieferantennachweise für beide Regime

Sehen Sie sich einen Beispiel-Lieferantenbericht an (Befunde, Artikelzuordnung und Nachweise) in etwa zwei Minuten.

Beispielbericht ansehen
Beispiel-Dashboard ansehen

Verwandte Leitfäden

Wie Sie NIS2 erfüllen: ein Schritt-für-Schritt-Fahrplan

Die Schritte zur NIS2-Konformität in der richtigen Reihenfolge: Anwendungsbereich bestätigen, registrieren, Verantwortung der Leitung (Art. 20), die Maßnahmen nach Art. 21 Abs. 2, Lieferkettensicherheit, Vorfallmeldung (Art. 23) und fortlaufende, nachgewiesene Absicherung.

Wer fällt unter NIS2? Wesentliche und wichtige Einrichtungen, Sektoren und Größenschwellen

Stellen Sie fest, ob NIS2 für Sie gilt: die zwei Kategorien, die Sektoren aus Anhang I/II, die Größenschwellen, größenunabhängige Ausnahmen und wie die Lieferkette Sie auch ohne Benennung erfasst.

NIS2 und die Lieferkettenpflicht: was das in der Praxis bedeutet

NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Bewertung ihrer Lieferkettenrisiken. Lieferanten-Tiering, 4th-Party-Risiken, Art. 23-Meldepflicht und worauf Prüfer achten.

Lieferanten-Cyberrisikobeurteilung: was das automatisierte NIS2-Monitoring prüft

Alle Prüfkategorien erklärt: Ransomware, Dark-Web-Lecks, TLS/DNSSEC, Cookie-Sicherheit, CVE/EPSS, Sanktionen, MX-Blacklists und SAQ. Befundslebenszyklus und NIS2-Artikelzuordnung.

NIS2 Art. 21(2): Sicherheits-Checkliste für Lieferanten

Checkliste für Beschaffungs- und Sicherheitsteams: Was zu fragen ist, welche Nachweise zu sammeln sind und wie zu reagieren ist, wenn ein Lieferant Anforderungen nicht erfüllt. Mit empfohlenen Nachweisdokumenten.

NIS2-Lieferantenfragebogen (SAQ): was fragen, wie bewerten, plus Vorlage

Was Lieferanten nach Art. 21(2)(d) zu fragen ist, wie man Antworten bewertet und auf Lücken reagiert, warum Selbstauskunft Überprüfung braucht, plus eine kostenlose Vorlage.

NIS2-Vorfallmeldung: die 24- und 72-Stunden-Fristen erklärt

Was ein erheblicher Vorfall ist, der Zeitplan nach Artikel 23 (24-Stunden-Frühwarnung, 72-Stunden-Meldung, Abschlussbericht nach einem Monat) und wann der Vorfall eines Lieferanten zu Ihrer Pflicht wird.

NIS2 und die Verantwortung der Leitung: Was Vorstand und Geschäftsführung wissen müssen

Was NIS2 vom Leitungsorgan erwartet: Genehmigungs- und Aufsichtspflichten, persönliche Haftung (Art. 20), Schulung, Vorstands-KPIs und die Sanktionen nach Art. 34.

ISO 27001 und NIS2: Was Ihr ISMS bereits abdeckt, und die Lücken, die bleiben

Wenn Sie ISO 27001 halten: was auf NIS2 übertragbar ist und was nicht (gesetzliche Vorfallmeldung, Haftung der Leitung, Registrierung und kontinuierliche Lieferkettensicherung) und wie Sie die Lücke schließen.

NIS2 vs. DORA: Unterschiede, Überschneidungen und was für Sie gilt

Wie sich die zwei EU-Regime unterscheiden und überschneiden, warum DORA Lex specialis für Finanzunternehmen ist, was für Sie gilt und was beide für Drittparteienrisiko bedeuten.

Der EU Cyber Resilience Act (CRA): Anwendungsbereich, Zeitplan und was er für Ihre Lieferkette bedeutet

Was der CRA verlangt, seine gestaffelten Termine (in Kraft 2024, Meldung Sep. 2026, volle Konformität Dez. 2027), wer in den Anwendungsbereich fällt und warum reine SaaS oft nicht, wie er NIS2 ergänzt und was er für Beschaffung und Lieferanten-Sorgfaltsprüfung bedeutet.

Die EU-KI-Verordnung: Risikostufen, Zeitplan und die Pflichten der Betreiber (Artikel 26)

Was die EU-KI-Verordnung verlangt: die Risikostufen, die gestaffelten Termine (in Kraft 2024, verboten Feb. 2025, GPAI Aug. 2025, Hochrisiko Aug. 2026), die Betreiberpflichten nach Art. 26, wie sie sich mit NIS2 und der DSGVO stapelt und was sie für die KI-Beschaffung bedeutet.