Die NIS2-Richtlinie und die DSGVO stellen zwei Säulen der europäischen digitalen Regulierung dar, die jeweils unterschiedliche, aber komplementäre Ziele verfolgen. Während die DSGVO die Grundrechte natürlicher Personen in Bezug auf ihre personenbezogenen Daten schützt, zielt die NIS2 darauf ab, ein hohes und einheitliches Niveau der Cybersicherheit in der Europäischen Union zu gewährleisten. Das Verständnis der Wechselwirkung zwischen diesen Vorschriften ist für Organisationen, die beide regulatorischen Rahmenbedingungen einhalten müssen, unerlässlich.

Unterschiedliche Ziele, komplementäre Bereiche

Die DSGVO konzentriert sich auf den Schutz personenbezogener Daten: Sie legt Grundsätze für die rechtmäßige, transparente und sichere Verarbeitung von Informationen fest, die eine natürliche Person identifizieren oder identifizierbar machen. Cybersicherheit ist eines der Instrumente zur Gewährleistung dieses Schutzes, aber nicht das einzige Ziel der Verordnung.

Die NIS2-Richtlinie hingegen hat als Hauptziel die Stärkung der Cyber-Resilienz kritischer Infrastrukturen und wesentlicher Dienste. Ihr Fokus liegt auf der Betriebskontinuität sowie der Fähigkeit, Sicherheitsvorfälle, die das Funktionieren des europäischen Binnenmarktes gefährden könnten, zu verhindern, zu erkennen und darauf zu reagieren.

Trotz dieser unterschiedlichen Ziele überschneiden sich die beiden Vorschriften an mehreren Punkten: Ein Cybersicherheitsvorfall kann auch eine Verletzung des Schutzes personenbezogener Daten nach sich ziehen, und die von der NIS2 geforderten technischen und organisatorischen Maßnahmen tragen direkt zum Schutz der Daten bei, den die DSGVO verlangt.

Der Vorrang der DSGVO im regulatorischen Rahmen

Die NIS2-Richtlinie erkennt den Vorrang der DSGVO ausdrücklich an. Artikel 6 Absatz 12 legt fest, dass die NIS2 „unbeschadet“ zahlreicher bestehender EU-Verordnungen gilt, wobei die DSGVO an erster Stelle genannt wird. Das bedeutet: Im Falle eines Konflikts oder einer Überschneidung haben die Grundsätze der DSGVO zum Datenschutz Vorrang.

Darüber hinaus stellt Artikel 8 Absatz 14 klar, dass jede Datenverarbeitung im Kontext der NIS2 – sowohl durch die der Richtlinie unterliegenden Stellen als auch durch die zuständigen Behörden – die DSGVO einhalten muss. Dies gilt auch für Anbieter elektronischer Kommunikationsdienste, die den breiteren EU-Rechtsrahmen zum Datenschutz und zur Vertraulichkeit, einschließlich der ePrivacy-Richtlinie, einhalten müssen.

Umgang mit Vorfällen: Koordination zwischen Behörden

Einer der wichtigsten Aspekte der Interaktion zwischen NIS2 und DSGVO betrifft das Management von Sicherheitsvorfällen. Ein Cyberangriff kann sowohl einen erheblichen Vorfall im Sinne der NIS2 als auch eine Verletzung des Schutzes personenbezogener Daten (Datenpanne) im Sinne der DSGVO darstellen.

Artikel 29 Absatz 3 der NIS2 schreibt eine enge Zusammenarbeit zwischen den für die Richtlinie zuständigen Behörden und den Datenschutzbehörden (den Aufsichtsbehörden gemäß DSGVO) vor. Diese Zusammenarbeit ist entscheidend, um ein koordiniertes und effektives Vorfallmanagement zu gewährleisten und Doppelarbeit oder Lücken in der Reaktion zu vermeiden.

Die Zusammenarbeit beeinträchtigt jedoch nicht die jeweiligen Zuständigkeiten: Die Datenschutzbehörden behalten ihre primäre Aufsichtsrolle bei der Anwendung der Datenschutzvorschriften, auch in Fällen, die Cybersicherheitsaspekte betreffen. Artikel 35 der NIS2 beschreibt ein spezifisches Verfahren für Situationen, in denen die zuständigen Behörden bei der Überwachung der Richtlinienpflichten potenzielle Verletzungen des Schutzes personenbezogener Daten feststellen.

Informationsaustausch und Vertraulichkeit

Die NIS2 fördert den Austausch von Informationen über Cybersicherheit zwischen Unternehmen, zuständigen Behörden und anderen Mitgliedstaaten. Dieser Austausch muss jedoch unter Einhaltung der Datenschutz- und Vertraulichkeitsvorschriften erfolgen.

Artikel 2 Absatz 13 der NIS2 erkennt an, dass der Austausch von Cybersicherheitsinformationen die Offenlegung von Informationen beinhalten könnte, die durch andere Vorschriften geschützt sind, wie etwa Geschäftsgeheimnisse oder personenbezogene Daten. Die Richtlinie erlaubt den Austausch solcher Informationen mit der Kommission und anderen zuständigen Behörden ausschließlich zum Zwecke der Anwendung der NIS2 und nur in dem erforderlichen Umfang, wobei Garantien zum Schutz der Vertraulichkeit und der geschäftlichen Interessen der beteiligten Stellen auferlegt werden.

Praktische Auswirkungen für Organisationen

Datenschutz durch Technikgestaltung (Privacy by Design)

Obwohl die NIS2 die Grundsätze „Privacy by Design“ und „Privacy by Default“ der DSGVO nicht explizit erwähnt, stärkt das Zusammenspiel der beiden Vorschriften die Bedeutung der Integration von Datenschutzaspekten in Cybersicherheitsmaßnahmen von Anfang an. Stellen, die beiden Vorschriften unterliegen, sollten einen integrierten Ansatz verfolgen und sicherstellen, dass die Praktiken des Cybersicherheits-Risikomanagements den Grundsätzen der DSGVO entsprechen.

Datenminimierung

Der Grundsatz der Datenminimierung der DSGVO ist im Kontext der NIS2 besonders relevant. Organisationen müssen sicherstellen, dass jede Erhebung und Verarbeitung personenbezogener Daten für Cybersicherheitszwecke auf das unbedingt notwendige Maß beschränkt und den identifizierten Risiken angemessen ist. Beispielsweise sollten Sicherheitsüberwachungssysteme so konfiguriert sein, dass sie nur die Daten erfassen, die für die Erkennung und Reaktion auf Vorfälle unerlässlich sind, um eine wahllose Erfassung personenbezogener Informationen zu vermeiden.

Integrierte Governance

Organisationen, die beiden Vorschriften unterliegen, müssen eine integrierte Governance entwickeln, die sowohl die Cybersicherheitspflichten der NIS2 als auch die Datenschutzanforderungen der DSGVO berücksichtigt. Dies umfasst:

• Koordination zwischen dem Cybersicherheitsbeauftragten und dem Datenschutzbeauftragten (DSB)
• Einheitliche Verfahren für das Vorfallmanagement, die sowohl die Meldepflichten der NIS2 als auch die der DSGVO berücksichtigen
• Risikobewertungen, die sowohl Cybersicherheitsrisiken als auch Risiken für die Rechte und Freiheiten natürlicher Personen integrieren
• Schulungsprogramme, die beide regulatorischen Bereiche abdecken

Was ein Unternehmen tun muss, das NIS2 und DSGVO unterliegt

Für Organisationen, die in den Anwendungsbereich beider Vorschriften fallen, ist es entscheidend, einen strukturierten Ansatz zu verfolgen, der die Einhaltung beider Rahmenbedingungen gewährleistet:

1. Regulatorische Pflichten abbilden: Identifizieren Sie, welche Anforderungen der NIS2 und der DSGVO auf die Organisation zutreffen, und heben Sie Überschneidungen sowie etwaige Unterschiede bei den Melde-, Dokumentations- und Governance-Pflichten hervor.
2. Risikobewertungen integrieren: Entwickeln Sie einen Prozess zur Risikobewertung, der sowohl Cybersicherheitsrisiken (Verfügbarkeit, Integrität, Vertraulichkeit der Systeme) als auch Risiken für die Rechte und Freiheiten natürlicher Personen aus der Verarbeitung personenbezogener Daten berücksichtigt.
3. Einheitliche Vorfallmanagement-Verfahren definieren: Etablieren Sie Arbeitsabläufe, die bei einer Datenpanne eine rechtzeitige Meldung sowohl an die für die NIS2 zuständigen Behörden als auch an die Datenschutzbehörden gemäß DSGVO garantieren, unter Einhaltung der unterschiedlichen Fristen und Modalitäten.
4. Integrierte technische und organisatorische Maßnahmen implementieren: Übernehmen Sie Sicherheitskontrollen, die sowohl die Anforderungen der NIS2 als auch die der DSGVO erfüllen, unter Anwendung der Grundsätze von Privacy by Design und Datenminimierung.
5. Zusammenarbeit zwischen Funktionen sicherstellen: Stellen Sie sicher, dass das Cybersicherheitsteam und der DSB eng zusammenarbeiten, relevante Informationen austauschen und Compliance-Aktivitäten koordinieren.
6. Entscheidungen und Maßnahmen dokumentieren: Führen Sie eine aktuelle Dokumentation, die die Einhaltung beider Vorschriften nachweist, einschließlich Risikobewertungen, Sicherheitsrichtlinien, Verzeichnissen von Verarbeitungstätigkeiten und Verfahren für das Vorfallmanagement.

Nützliche weiterführende Informationen

Um den regulatorischen Rahmen und die spezifischen Pflichten besser zu verstehen, bieten diese Artikel ergänzende Einblicke:

• Was sind die Hauptunterschiede zwischen den Richtlinien NIS1 und NIS2? – Erfahren Sie, wie die NIS2 den Anwendungsbereich erweitert und die Pflichten gegenüber der vorherigen Richtlinie verschärft.
• NIS2: Gibt es Ausnahmen oder Befreiungen? – Prüfen Sie, ob Ihre Organisation zu den der Richtlinie unterliegenden Stellen gehört oder von Ausnahmen profitieren kann.
• Welche Anforderungen gelten für CSIRTs, um ein hohes Verfügbarkeitsniveau ihrer Dienste zu gewährleisten? – Vertiefen Sie die technischen und organisatorischen Anforderungen für Incident-Response-Teams gemäß NIS2.

ISGroup unterstützt Organisationen auf dem Weg zur NIS2-Konformität durch NIS2-Compliance-Dienste, die die Bewertung implementierter Maßnahmen, Risikoanalysen und personalisierte Schulungswege umfassen. Um den Schutz personenbezogener Daten gemäß DSGVO zu gewährleisten, bietet ISGroup auch DSGVO-Compliance-Dienste an, mit Audits der Maßnahmen, Risikoanalysen und kontinuierlicher Schulung.

Häufig gestellte Fragen

• Ersetzt die NIS2 die DSGVO in Bezug auf die Datensicherheit?
• Nein, die NIS2 ersetzt die DSGVO nicht. Die beiden Vorschriften haben unterschiedliche und komplementäre Ziele. Die DSGVO schützt die Grundrechte natürlicher Personen in Bezug auf ihre personenbezogenen Daten, während die NIS2 darauf abzielt, die Cyber-Resilienz kritischer Infrastrukturen zu gewährleisten. Im Falle eines Konflikts hat die DSGVO beim Schutz personenbezogener Daten Vorrang.
• Muss ein Cybersicherheitsvorfall sowohl den NIS2-Behörden als auch den DSGVO-Behörden gemeldet werden?
• Das hängt von der Art des Vorfalls ab. Wenn der Vorfall auch eine Verletzung des Schutzes personenbezogener Daten (Datenpanne) beinhaltet, ist es notwendig, diesen sowohl den für die NIS2 zuständigen Behörden als auch der Datenschutzbehörde gemäß DSGVO zu melden. Die Fristen und Modalitäten der Meldung können zwischen den beiden Vorschriften variieren, daher ist es wichtig, beide Anforderungen zu kennen.
• Sind die von der NIS2 geforderten Sicherheitsmaßnahmen für die DSGVO-Konformität ausreichend?
• Die von der NIS2 geforderten Sicherheitsmaßnahmen tragen zur DSGVO-Konformität bei, sind aber nicht automatisch ausreichend. Die DSGVO erfordert auch die Einhaltung spezifischer Grundsätze wie Datenminimierung, Privacy by Design, Transparenz und eine Rechtsgrundlage für die Verarbeitung. Ein integrierter Ansatz, der beide regulatorischen Rahmenbedingungen berücksichtigt, ist erforderlich.
• Wer koordiniert die Reaktion auf Vorfälle, die sowohl die NIS2 als auch die DSGVO betreffen?
• Innerhalb der Organisation ist es entscheidend, dass das Cybersicherheitsteam und der Datenschutzbeauftragte (DSB) eng zusammenarbeiten. Auf Behördenebene sieht die NIS2 eine Zusammenarbeit zwischen den für Cybersicherheit zuständigen Behörden und den Datenschutzbehörden vor, wobei jede ihre spezifischen Kompetenzen beibehält.
• Ist der von der NIS2 vorgesehene Austausch von Cybersicherheitsinformationen mit der DSGVO vereinbar?
• Ja, die NIS2 sieht vor, dass der Austausch von Cybersicherheitsinformationen unter Einhaltung der DSGVO und anderer Vertraulichkeitsvorschriften erfolgt. Der Austausch ist nur in dem für die Anwendung der Richtlinie erforderlichen Umfang zulässig und mit Garantien zum Schutz der Vertraulichkeit der Informationen und der Interessen der beteiligten Stellen verbunden.

Die Interaktion zwischen NIS2 und DSGVO erfordert von Organisationen einen integrierten Ansatz für Cybersicherheit und Datenschutz. Das Verständnis, wie sich diese Vorschriften gegenseitig ergänzen, ist der erste Schritt zur Entwicklung einer effektiven Compliance-Strategie, die sowohl kritische Infrastrukturen als auch die Grundrechte der Menschen schützt.