ISGroup Cybersicherheitsberatung

Interaktion der NIS2-Richtlinie mit anderen EU-Vorschriften, wie der DSGVO

Die NIS2-Richtlinie existiert nicht isoliert, sondern ist in einen breiteren Rechtsrahmen der EU eingebettet und interagiert mit anderen Vorschriften, insbesondere mit der Datenschutz-Grundverordnung (DSGVO).

[Callforaction-NIS2]

Die Dokumente heben verschiedene Schlüsselaspekte dieser Interaktion hervor:

1. Ausdrückliche Anerkennung des Vorrangs der DSGVO:

  • Artikel 1, Absatz 1: Das Hauptziel der Richtlinie besteht darin, ein hohes und gemeinsames Cybersicherheitsniveau innerhalb der EU zu etablieren, „um das Funktionieren des Binnenmarkts zu verbessern“. Dieser Ansatz unterstreicht, dass die Cybersicherheitsziele der NIS2 keine anderen grundlegenden EU-Prinzipien, einschließlich des Datenschutzes, beeinträchtigen dürfen.
  • Artikel 6, Absatz 12: Er legt ausdrücklich fest, dass die NIS2 „unbeschadet“ zahlreicher bestehender EU-Verordnungen gilt, wobei an erster Stelle die DSGVO genannt wird. Diese klare Formulierung etabliert eine präzise Hierarchie und besagt, dass die Grundsätze der DSGVO zum Datenschutz bei Konflikten oder Überschneidungen mit der NIS2 Vorrang haben.

2. Datenverarbeitung im Rahmen der NIS2 unterliegt der DSGVO:

  • Artikel 8, Absatz 14: Er betont, dass jede Datenverarbeitung, die im Kontext der NIS2 durchgeführt wird – sei es durch Einrichtungen oder durch zuständige Behörden –, die DSGVO einhalten muss. Diese Bestimmung verdeutlicht, dass Cybersicherheitsmaßnahmen so implementiert werden müssen, dass die Datenschutzrechte des Einzelnen gewahrt bleiben.
  • Artikel 8, Absatz 14 (hervorgehoben): Er richtet sich spezifisch an die Datenverarbeitung durch Anbieter öffentlicher elektronischer Kommunikationsdienste oder öffentlich zugänglicher elektronischer Kommunikationsnetze im Sinne der NIS2. Er legt fest, dass eine solche Verarbeitung dem breiteren EU-Rechtsrahmen für Datenschutz und Vertraulichkeit entsprechen muss, wobei ausdrücklich die Richtlinie 2002/58/EG (ePrivacy-Richtlinie) genannt wird.

3. Zusammenarbeit zwischen zuständigen Behörden und Datenschutzbehörden:

  • Artikel 29, Absatz 3: Er erkennt an, dass Cybersicherheitsvorfälle auch zu Verletzungen personenbezogener Daten führen können, die unter die DSGVO fallen. Um eine koordinierte und effektive Bewältigung solcher Vorfälle zu gewährleisten, schreibt diese Bestimmung eine enge Zusammenarbeit zwischen den für die NIS2 zuständigen Behörden und den Datenschutzbehörden (Aufsichtsbehörden gemäß DSGVO) vor.
  • Klärung der Rollen: Obwohl eine Zusammenarbeit gefordert wird, stellt Artikel 29, Absatz 3 klar, dass diese Interaktion die jeweiligen Zuständigkeiten und Aufgaben der einzelnen Behörden nicht beeinträchtigen darf. Die Aufsichtsbehörden der DSGVO behalten ihre primäre Rolle bei der Überwachung der Anwendung von Datenschutzvorschriften, auch in Fällen, die Auswirkungen auf die Cybersicherheit haben.
  • Artikel 35: Er stärkt die Verbindung zwischen NIS2 und DSGVO weiter, indem er ein spezifisches Verfahren für Situationen skizziert, in denen die zuständigen Behörden bei der Überwachung oder Durchsetzung der NIS2-Verpflichtungen potenzielle Verletzungen personenbezogener Daten feststellen.

4. Datenaustausch und Vertraulichkeit:

  • Begrenzte Offenlegung vertraulicher Informationen: Artikel 2, Absatz 13 erkennt an, dass der Austausch von Informationen über Cybersicherheit zur Offenlegung von Informationen führen könnte, die durch andere EU- oder nationale Vorschriften geschützt sind, wie etwa Geschäftsgeheimnisse. Er erlaubt den Austausch solcher Informationen mit der Kommission und anderen zuständigen Behörden ausschließlich zum Zweck der Anwendung der Richtlinie und nur in dem erforderlichen Umfang.
  • Schutz vertraulicher Informationen: Wenn Informationen ausgetauscht werden, schreibt Artikel 2, Absatz 13 Garantien vor, um die Vertraulichkeit der geteilten Informationen zu wahren und die Geschäftsinteressen der betroffenen Einrichtungen zu schützen.

5. Auswirkungen auf Cybersicherheitspraktiken:

  • Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen: Obwohl nicht explizit erwähnt, stärkt das Zusammenspiel von NIS2 und DSGVO die Bedeutung, Datenschutzüberlegungen von Anfang an in Cybersicherheitsmaßnahmen zu integrieren. Einrichtungen, die einen strukturierten Weg zur Einhaltung der NIS2-Richtlinie einschlagen, sollten bei der Implementierung von Risikomanagementpraktiken für Cybersicherheit einen Ansatz des „Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ verfolgen.
  • Datenminimierung: Der Grundsatz der Datenminimierung aus der DSGVO ist auch im Kontext der NIS2 relevant. Einrichtungen sollten sicherstellen, dass jede Erhebung und Verarbeitung personenbezogener Daten zu Cybersicherheitszwecken auf das unbedingt notwendige Maß beschränkt und gegenüber den identifizierten Risiken verhältnismäßig ist.

Zusammenfassend lässt sich sagen, dass die NIS2-Richtlinie die Bedeutung des Datenschutzes anerkennt und respektiert. Sie legt klar fest, dass ihre Bestimmungen nicht Vorrang vor der DSGVO haben, und schreibt die Zusammenarbeit zwischen den für Cybersicherheit und Datenschutz zuständigen Behörden vor. Diese Interaktion unterstreicht die Notwendigkeit eines ausgewogenen Ansatzes, der sicherstellt, dass Cybersicherheitsmaßnahmen so implementiert werden, dass Risiken effektiv gemindert werden, während gleichzeitig die Datenschutzrechte des Einzelnen gewahrt bleiben. Um den gesamten Rechtsrahmen besser zu verstehen, ist es hilfreich, sich auch über das Hauptziel der NIS2-Richtlinie und die operativen Fristen im Zusammenhang mit der ACN-Liste zu informieren.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *