NIS-2

Die Umsetzung der NIS-2-Vorgaben erfordert, sich mit den neuen Pflichten des BSI-Gesetzes (BSIG) auseinanderzusetzen. Den ersten Schritt stellt die Prüfung der Betroffenheit dar. Wir zeigen anhand eines Beispiels: Was müssen Sie prüfen, um entscheiden zu können, ob Sie als NIS-2-relevantes Unternehmen gelten oder nicht?

Das NIS-2-Umsetzungsgesetz erweitert den Kreis der betroffenen Unternehmen deutlich. Wer unter das Gesetz fällt, muss erhebliche Sicherheitsmaßnahmen nachweisen können. Viele dieser Maßnahmen weisen eine Schnittmenge mit dem Datenschutz auf.

Eine Fülle neuer Regelungen tritt 2026 in Kraft oder ist nach Übergangsfristen anzuwenden. Datenschutzbeauftragte und Verantwortliche benötigen einen schnellen Überblick über die Vorschriften, die für sie oder das Unternehmen wichtig sind, um entsprechende Prozesse zu implementieren und Risiken zu minimieren.

Die Umsetzung der NIS-2-Richtlinie erweitert das Supply Chain Risk ­Management (SCRM) um IT-Sicherheitsrisiken aus der Lieferkette. Auch Datenschutzrisiken sollten Teil des SCRM sein. Einkauf und Risiko­management im Unternehmen benötigen dazu eine Aufklärung.

Die steigende Zahl an Attacken auf und über die Lieferkette macht deutlich: Sind die IT-Systeme eines Lieferanten unzureichend geschützt, kann sich dies auf die ganze Supply Chain auswirken (Supply Chain ­Attacks). Das hat meist auch Folgen für den Datenschutz. Aber woher weiß ein Unternehmen, ob es unsichere Lieferanten hat?

Arbeiten Unternehmen mit Lieferanten oder Dienstleistern zusammen, wirkt sich das auf die Datensicherheit aus. Nicht zuletzt deshalb fordert etwa die Richtlinie NIS 2 einen Lieferkettenschutz. Auch moderner Datenschutz ist abhängig von sicheren Lieferbeziehungen.

Die EU-NIS-2-Richtlinie verwendet den Begriff „Cyberhygiene“, ohne ihn zu ­definieren, ein Problem, das auch in den darauffolgenden Gesetzesentwürfen besteht. Es ist höchste Zeit, den Begriff einzuordnen.

Wesentliche NIS-2-Pflichten haben Ähnlichkeiten zu Pflichten der ­DSGVO, sind aber doch nicht deckungsgleich. Der Beitrag beleuchtet die Parallelitäten und Unterschiede im Interesse einer möglichst einfachen einheitlichen Erfüllung. Datenschutzbeauftragte (DSB) können sich daher bei der Umsetzung der NIS-2-Vorgaben einbringen.

Die Vorgaben der NIS-2-Richtlinie zur Verbesserung der Netz- und Informationssicherheit zu erfüllen und umzusetzen, wird zwangsläufig die Verarbeitung personenbezogener Daten erfordern. Der Beitrag zeigt das Spannungsverhältnis und Lösungsansätze auf.

Jemand arbeitet am Flughafen am Laptop. Ein Reisender schaut ihm unbemerkt über die Schulter und liest sensible Informationen mit. In einem anderen Fall bleiben vertrauliche Unterlagen im Besprechungsraum zurück. Das sind Klassiker, bei denen die betreffenden Personen die Grundsätze der Vertraulichkeit und Integrität nicht beachtet haben.