Datenschutz-Berater
Welche Relevanz hat die NIS2-Richtlinie für die Arbeit des Datenschutzbeauftragten im Unternehmen?
Quelle: Datenschutz-Berater 2025 Heft 09 vom 05.09.2025, Seite 235

Veröffentlicht am von


Johannes
Gilch
 und Dr. Jan
Scharfenberg

Welche Relevanz hat die NIS2-Richtlinie für die Arbeit des Datenschutzbeauftragten im Unternehmen?

Die NIS2-Richtlinie wird in Deutschland voraussichtlich bis Ende 2025 oder Anfang 2026 in nationales Recht umgesetzt. Ein Regierungsentwurf wurde bereits beschlossen und das Gesetzgebungsverfahren befindet sich in den letzten Phasen vor der Verabschiedung. Unternehmen sollten sich schnellstmöglich mit den neuen Sicherheitsanforderungen vertraut machen und entsprechende Maßnahmen treffen. Auch die Rolle des Datenschutzbeauftragten gewinnt hierbei zunehmend an Bedeutung. Dieser Artikel beleuchtet die Grundzüge der NIS2-Richtlinie und welche Bedeutung dem Datenschutzbeauftragten im Kontext der Neuerungen zukommt.

Überblick zur NIS2-Richtlinie

Die NIS2-Richtlinie wurde von der Europäischen Union zur Stärkung der Cybersicherheit erlassen. Sie zielt darauf ab, die Sicherheit der Europäischen Union und das reibungslose Funktionieren ihrer Wirtschaft und Gesellschaft zu gewährleisten. Im Mittelpunkt steht dabei der Schutz von Diensten kritischer Infrastrukturen vor Bedrohungen, die ihre Netz- und Informationssysteme beeinträchtigen könnten.

Notwendigkeit einer Weiterentwicklung

Der neue Rechtsakt ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie aus dem Jahr 2016, deren Hintergrund die wachsende Bedrohungslage ist. Die Lage hat sich vor allem durch Cyberangriffe, KI und Ransomware verändert. Aber auch IT-Sicherheitsschwachstellen, IoT-Infrastruktur-Angriffe und Angriffe auf Lieferketten sind neue Bedrohungslagen, auf die reagiert werden muss. Die NIS2-Richtlinie erweitert den Anwendungsbereich auf mehr Unternehmen und Sektoren und verschärft die Sicherheitsanforderungen und Meldepflichten. Außerdem stärkt sie die Zusammenarbeit und Koordination zwischen den Mitgliedstaaten und harmonisiert Bußgelder und Sanktionen.

Umsetzungsstand in Deutschland

Die Umsetzung des Rechtsaktes lässt bisher weiter auf sich warten. Das sogenannte NIS2-Umsetzungsgesetz (NIS2UmsuCG) wurde nicht, wie ursprünglich geplant, fristgerecht zum 17. Oktober 2024 verabschiedet. Nach mehreren Referentenentwürfen und einer Kabinettsversion aus 2024 wurde im Juli 2025 nun ein neuer Regierungsentwurf beschlossen. Dieser soll im August 2025 dem Bundesrat vorgelegt werden. Mit einer Verabschiedung ist für das zweite Halbjahr 2025 oder Anfang 2026 zu rechnen. Unternehmen sollten sich frühzeitig auf die neuen Anforderungen vorbereiten, da es nach Inkrafttreten des Umsetzungsgesetzes keine Übergangsfristen gibt.

Anwendungsbereich – Ist mein Unternehmen betroffen?

In Deutschland sind laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ca. 29.000 Unternehmen von der NIS2-Richtlinie betroffen. Die hohe Anzahl ist auf den sehr weiten Anwendungsbereich der Richtlinie zurückzuführen. Der Anwendungsbereich wird dabei durch zwei Kriterien festgelegt: den Sektor und die Kombination aus Größe und Umsatz eines Unternehmens.

Kriterium: Sektor

Betroffen sind insbesondere Unternehmen aus zwei Sektoren: Unternehmen aus besonders kritischen Sektoren (Energie, Bankwesen, Wasser, öffentliche Verwaltung, Weltraum, Digitale Infrastruktur, Verwalter von IKT-Diensten, Gesundheit, Finanzmarkt, Infrastruktur und Verkehr) und Unternehmen aus sonstigen kritischen Sektoren (Abfallwirtschaft, Chemikalien, Forschung, Herstellung von Waren, Produktion und Verarbeitung von Lebensmitteln, Post und Kurier sowie Anbieter digitaler Dienste).

Kriterium: Größe und Umsatz des Unternehmens

Das zweite Kriterium, um zu beurteilen, ob ein Unternehmen in den Anwendungsbereich der NIS2-Richtlinie fällt, ist eine Kombination aus Größe und Umsatz einer Einrichtung. Anhand dessen kann eine Unterteilung in wesentliche Einrichtungen und wichtige Einrichtungen vorgenommen werden.

Wesentliche Einrichtungen sind Unternehmen aus besonders kritischen Sektoren, die mehr als 250 Beschäftigte haben oder mehr als 50 Mio. Euro Jahresumsatz und mehr als 43 Mio. Euro Bilanzsumme haben. Wichtige Einrichtungen sind Unternehmen, die zwar die Größen- und Umsatzvorgaben einer wesentlichen Einrichtung erfüllen, jedoch nicht einem besonders kritischen Sektor, sondern einem „sonstigen“ kritischen Sektor angehören. Außerdem gehören zu wichtigen Einrichtungen Unternehmen, die mindestens 50 Mitarbeiter oder mehr als 10 Mio. Jahresumsatz und Bilanzsumme gleichzeitig haben und zu einem der beiden eben erwähnten Sektoren gehören. Die Einteilung in wesentliche und wichtige Einrichtungen ist nicht nur theoretischer Natur, sondern hat Auswirkungen auf die Anforderungen und die einzuhaltenden Pflichten. Wesentliche Einrichtungen unterliegen hierbei einer strengeren und aktiveren Kontrolle. Umsetzungsanforderungen können aber auch Unternehmen treffen, die nur indirekt (z.B. als Auftragsverarbeiter) von NIS2-Regelungen betroffen sind.

Pflichten und Anforderungen für betroffene Unternehmen

Die nationale Umsetzung der NIS2-Richtlinie verpflichtet die betroffenen Unternehmen zu umfassenden Risikomanagementmaßnahmen im Bereich ihrer Cybersicherheit. Die künftig einzuhaltenden Pflichten sind in den §§ 30 bis 42 des Entwurfs zum Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG-E) geregelt.

Wesentliche und wichtige Einrichtungen sind im Sinne des § 30 Abs. 1 Satz 1 BSIG-E übergeordnet dazu verpflichtet, angemessene, verhältnismäßige und wirksame technische sowie organisatorische Maßnahmen zu ergreifen. Das Ziel besteht darin, Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden. Außerdem sollen die Folgen von Sicherheitsausfällen so gering wie möglich gehalten werden.

Welche Maßnahmen umgesetzt werden sollen, wird in § 30 Abs. 2 BSIG-E näher erläutert. Es ist zu beachten, dass die Aufzählung nicht abschließend ist und nur den Mindeststandard festlegt. Zudem werden die Maßnahmen durch Durchführungsrechtsakte der Europäischen Kommission weiter präzisiert.

Anforderungen für wesentliche und wichtige Einrichtungen

Die im Folgenden thematisierten Anforderungen sind für wesentliche und wichtige Einrichtungen relevant. Betroffene Unternehmen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um Risiken zu erkennen, zu bewerten und zu minimieren. Dazu gehören u.a. Risikoanalysen, Notfallmanagement, Sicherstellung der Betriebsbereitschaft, Lieferkettensicherheit, Schulungen, Zugriffskontrollen und die Nutzung von Multi-Faktor-Authentifizierung.

Unternehmen sind verpflichtet, erhebliche Sicherheitsvorfälle, die die Netz- und Informationssysteme betreffen, unverzüglich an die zuständige Behörde (in Deutschland meist das BSI) zu melden. Dabei müssen die Fristen und Inhalte der Meldungen eingehalten werden, um Auswirkungen für die Sicherheit und Betroffene möglichst einzugrenzen.

Außerdem müssen Unternehmen sich bei erstmaliger oder erneuter Einstufung als wesentliche oder wichtige Einrichtung beim BSI registrieren lassen. Betroffene Einrichtungen sind verpflichtet, die zuständigen internen sowie externen Stellen über Sicherheitsvorfälle, Maßnahmen und Risiken zu unterrichten. Dies umfasst auch die Information der Geschäftsleitung und gegebenenfalls weiterer relevanter Akteure, um eine koordinierte Reaktion sicherzustellen. Das BSI kann nach Anhörung der betroffenen Einrichtung diese in einigen Fällen dazu verpflichten, die Öffentlichkeit über den Sicherheitsvorfall zu informieren.

Sanktionen bei Verstößen gegen die Vorgaben

Verstöße gegen die nationale Umsetzung der Vorgaben des Rechtsaktes werden als Ordnungswidrigkeiten geahndet. Gemäß § 65 Abs. 5 bis 7 BSIG-E sind erhebliche Bußgelder vorgesehen. Die Höhe der Geldbußen richtet sich zum einen danach, gegen welche spezifische Pflicht verstoßen wurde, und zum anderen danach, ob das betroffene Unternehmen als wesentliche oder wichtige Einrichtung eingestuft ist.

Für wesentliche Einrichtungen können Bußgelder von bis zu 10 Mio. Euro verhängt werden. Sollte das Unternehmen einen Jahresumsatz von über 500 Mio. Euro erzielen, kann das Bußgeld stattdessen bis zu 2 % des weltweiten Vorjahresumsatzes betragen. Für wichtige Einrichtungen liegen die Bußgelder bei maximal 7 Mio. Euro. Erreicht das Unternehmen einen Jahresumsatz von mehr als 500 Mio. Euro, kann das Bußgeld bis zu 1,4 % des globalen Vorjahresumsatzes ausmachen. Dabei ist es wichtig zu beachten, dass sich die Bemessung des Jahresumsatzes nicht auf den im Inland erzielten Umsatz bezieht, sondern auf den gesamten weltweit erzielten Umsatz des Unternehmens.

Zuständigkeiten des Datenschutzbeauftragten

Grundsätzlich ist der Datenschutzbeauftragte gemäß Art. 39 DSGVO dafür zuständig, Unternehmen und Mitarbeitende hinsichtlich ihrer Datenschutzpflichten zu unterrichten und zu beraten sowie die Einhaltung der Datenschutzvorschriften zu überwachen. Doch auch die NIS2-Richtlinie tangiert den Aufgabenbereich des Datenschutzbeauftragten, denn der neue Rechtsakt und die DSGVO verfolgen gemeinsame Ziele.

Die NIS2-Richtlinie und die DSGVO sind zwei zentrale Säulen der digitalen Gesetzgebung der Europäischen Union. Es gibt vielen Unterschiede, aber auch Schnittstellen. Während die DSGVO primär den Schutz personenbezogener Daten regelt, zielt die NIS2-Richtlinie darauf ab, ein hohes Niveau der allgemeinen Cybersicherheit sicherzustellen.

Allerdings gibt es auch Schnittstellen zwischen beiden Rechtsakten, die für den Datenschutzbeauftragten relevant werden könnten. Einige DSGVO-Vorschriften sind deshalb auch in Hinblick auf die NIS2-Richtlinie sehr bedeutsam.

Verantwortliche i. S. v. Art. 4 Nr. 7 DSGVO müssen dafür sorgen, dass ihre IT-Systeme nach den Prinzipien „data protection by design“ und „data protection by default“ gestaltet sind. Dies gilt auch im Kontext der Sicherheitsanforderungen der NIS2-Richtlinie. Beide Rechtsakte haben u.a. das Ziel, die Sicherheit und Integrität der verarbeiteten Daten sicherzustellen. Die DSGVO verlangt, dass geeignete technische und organisatorische Maßnahmen ergriffen werden, um einen umfassenden Schutz vor unbefugtem Zugriff, Datenverlust oder Cyberangriffen zu gewährleisten. Die NIS2-Richtlinie verfolgt das gleiche Ziel, möchte aber nicht nur personenbezogene Daten schützen. Die Anforderungen der DSGVO gleichen sich dabei weitgehend mit denen der NIS2-Richtlinie. Personenbezogene Daten betreffende Sicherheitsvorfälle, müssen sowohl nach der DSGVO als auch nach der nationalen Umsetzung zur NIS2-Richtlinie gemeldet werden. Dabei ist eine enge Koordination der Meldeverfahren notwendig, um Doppelmeldungen zu vermeiden und die Einhaltung beider Rechtsregime zu gewährleisten.

Die beiden Rechtsakte haben also durchaus Gemeinsamkeiten. Obwohl sie auf den ersten Blick unterschiedliche Zielrichtungen haben, wollen beide den Schutz von Informationen und die Sicherstellung der Integrität und Verfügbarkeit von Systemen gewährleisten. Bei der Umsetzung der national geregelten Vorgaben aus der NIS2-Richtlinie sind Unternehmen immer wieder auch mit Anforderungen und Pflichten der DSGVO konfrontiert und müssen sicherstellen, dass die gewählten Maßnahmen sowohl die Cybersicherheit als auch den Datenschutz ausreichend abdecken.

Die Rolle des Datenschutzbeauftragten bei der Umsetzung der NIS2-Richtlinie

Vor dem Hintergrund der bestehenden Überschneidungen zwischen der NIS2-Richtlinie und der DSGVO stellt sich die Frage, welche konkreten Aufgaben, Verantwortlichkeiten und gegebenenfalls zusätzlichen Mitwirkungspflichten sich für den Datenschutzbeauftragten im Unternehmen aus dieser parallelen Geltung der beiden Regelwerke ergeben.

Der Datenschutzbeauftragte muss die spezifischen Anforderungen und Pflichten der nationalen Umsetzung der NIS2-Richtlinie kennen und einschätzen können. Insbesondere sollte er sich mit den neuen Regelungen zum Risikomanagement, zum Meldeverfahren und zur Lieferantenkontrolle auskennen, da diese Bereiche eng mit den Anforderungen der DSGVO verzahnt sind. Damit technische und organisatorische Maßnahmen sowohl den Datenschutz als auch den Cybersicherheitsanforderungen entsprechen, ist eine enge Zusammenarbeit zwischen dem Datenschutzbeauftragten und der IT-Sicherheitsabteilung notwendig. Der Datenschutzbeauftragte wirkt zudem an Risikoanalysen und bei der Bewertung technischer und organisatorischer Maßnahmen mit. Dies gilt vor allem für die Bereiche, in denen Risiken für Rechte und Freiheiten der von Verarbeitungen personenbezogener Daten betroffenen Personen und Risiken der IT-Sicherheit zusammentreffen.

Unternehmen sind jetzt zu einer umfassenden Risikoüberwachung entlang der gesamten Lieferkette verpflichtet. Es ist die Aufgabe des Datenschutzbeauftragten zu überprüfen, ob datenschutzrechtliche Vorgaben bei Dienstleistern und externen Partnern organisatorisch und vertraglich abgesichert sind. Bei Sicherheitsvorfällen in der IT, die personenbezogene Daten betreffen, koordiniert der Datenschutzbeauftragte häufig die erforderlichen Meldungen nach der DSGVO (vgl. Art. 33 und Art. 34 DSGVO) und es bietet sich an, dass er die auch nach den Vorgaben der nationalen Umsetzung der NIS2-Richtlinie übernimmt. Er muss die Meldeprozesse so abstimmen, dass Meldungen an das BSI und an die Datenschutzaufsichtsbehörden effizient und fristgerecht erfolgen.

Der Datenschutzbeauftragte berät außerdem die Geschäftsführung bei strategischen Entscheidungen zu Cybersicherheit und auch gleichermaßen zum Datenschutz. Es ist seine Aufgabe, die Mitarbeiter und Mitarbeiterinnen für Datenschutz und Cybersicherheit zu sensibilisieren. Ziel sollte es sein, ein umfassendes Sicherheitsbewusstsein im Unternehmen herzustellen. Der neue Rechtsakt fordert eine lückenlose Dokumentation und Nachweisführung zu allen getroffenen Sicherheits- und Datenschutzmaßnahmen. Der Datenschutzbeauftragte sollte bei der Einrichtung und Überwachung der erforderlichen Dokumentationsprozesse und Nachweispflichten unterstützen.

Fazit

Die NIS2-Richtlinie erweitert und verschärft die Anforderungen an die Cybersicherheit in Unternehmen, was auch für Datenschutzbeauftragte Auswirkungen hat. Die Vorgaben der Richtlinie reichen über die herkömmlichen Aufgaben des Datenschutzes hinaus, leisten jedoch gleichzeitig einen wichtigen Beitrag zum Schutz personenbezogener Daten. Obwohl die Umsetzung der Vorgaben aus der nationalen Umsetzung der Richtlinie primär eine Aufgabe der IT-Sicherheit und des Compliance-Managements bleibt, erweitert sich auch der Aufgabenbereich des Datenschutzbeauftragten deutlich. Den parallel geltenden Anforderungen der nationalen Umsetzung zur NIS2-Richtlinie und der DSGVO kann nur ausreichend entsprochen werden, wenn die IT-Sicherheit und der Datenschutzbeauftragte eng zusammenwirken.

Es ist Aufgabe des Datenschutzbeauftragten, dafür zu sorgen, dass bei der Umsetzung von NIS2-Maßnahmen zentrale Datenschutzprinzipien wie „data protection by design“ und „data protection by default“ berücksichtigt werden. Er bringt Datenschutzperspektiven in das Risikomanagement ein, unterstützt bei der Koordinierung von Meldepflichten nach der Umsetzung zur NIS2-Richtlinie und der DSGVO und achtet auf die Einhaltung datenschutzrechtlicher Vorgaben in der Lieferkette. Damit wird er zu einer wichtigen Schnittstelle zwischen IT-Sicherheit, Management und Compliance und trägt wesentlich dazu bei, dass Datenschutz und Cybersicherheit im Unternehmen ganzheitlich und abgestimmt umgesetzt werden.

Johannes Gilch ist Rechtsanwalt bei Schürmann Rosenthal Dreyer und bringt eine tiefe Spezialisierung in den Bereichen IT-Sicherheit, Künstliche Intelligenz und Digitalisierung im Gesundheitswesesen mit.

 

 

 

 

 

Dr. Jan Scharfenberg, LL.M. (Stellenbosch) ist seit 2024 Director für Informationssicherheit bei der ISiCO Datenschutz GmbH. Er verfügt über umfassende Expertise im Informationssicherheitsrecht.

 

Beitrag per E-Mail empfehlen

Auf LinkedIn teilen

Seite drucken