{"id":29915,"date":"2025-09-24T06:17:00","date_gmt":"2025-09-24T04:17:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=29915"},"modified":"2025-09-19T11:29:52","modified_gmt":"2025-09-19T09:29:52","slug":"die-dsgvo-ebnet-nis2-den-weg-wie-zuverlaessiger-datenschutz-die-widerstandskraft-gegen-hacker-unterstuetzt","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=29915","title":{"rendered":"Die DSGVO ebnet NIS2 den Weg &#8211; Wie zuverl\u00e4ssiger Datenschutz die Widerstandskraft gegen Hacker unterst\u00fctzt"},"content":{"rendered":"\n<p><strong>Seit sieben Jahren gilt die DSGVO. Sie war eine weitere Etappe f\u00fcr die zunehmende Regulierung der IT-Prozesse. NIS2 ist f\u00fcr die EU nun ein weiterer entschlossener Schritt in diese Richtung. Die f\u00fcr die Umsetzung zust\u00e4ndige Bundesregierung hat vor Kurzem einen Referentenentwurf des BMI, der von Ende Juni 2025 stammt, ver\u00f6ffentlicht. Noch ist nicht klar, wie ein Gesetz zu NIS2 in Deutschland aussehen kann. Dennoch ist das Ziel l\u00e4ngst deutlich: Die Widerstandskraft von Netzwerken und digitalen Abl\u00e4ufen in Unternehmen soll st\u00e4rker werden. Allerdings ist der Weg bis dahin noch weit. Daher lohnt es sich, in Vorleistung zu gehen. Unternehmen, die die Bedingungen der DSGVO bisher schon ernsthaft und tatkr\u00e4ftig umgesetzt haben, damit Datensicherheit und Datenschutz gew\u00e4hrleistet sind, verf\u00fcgen bei der Umsetzung von NIS2 nun \u00fcber einen Vorsprung.<\/strong><br><br>Autor: Ricardo Jos\u00e9 Garrido Reichelt, Principal Security Technologist EMEA, Office of the CTO\/dcg<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2025\/09\/Comvault_Ricardo-Jose-Garrido-Reichelt_Principal-Security-Technologist-EMEA_-Office-of-the-CTO-1-1024x576.webp\" alt=\"\" class=\"wp-image-29916\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2025\/09\/Comvault_Ricardo-Jose-Garrido-Reichelt_Principal-Security-Technologist-EMEA_-Office-of-the-CTO-1-1024x576.webp 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2025\/09\/Comvault_Ricardo-Jose-Garrido-Reichelt_Principal-Security-Technologist-EMEA_-Office-of-the-CTO-1-300x169.webp 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2025\/09\/Comvault_Ricardo-Jose-Garrido-Reichelt_Principal-Security-Technologist-EMEA_-Office-of-the-CTO-1-768x432.webp 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2025\/09\/Comvault_Ricardo-Jose-Garrido-Reichelt_Principal-Security-Technologist-EMEA_-Office-of-the-CTO-1.webp 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Ricardo Jos\u00e9 Garrido Reichelt, Principal Security Technologist EMEA, Office of the CTO Commvault &#8211; Quelle: Commvault<\/figcaption><\/figure>\n\n\n\n<p>Damit erfolgreiche Attacken weniger gravierende Auswirkungen haben und deren Folgen sich leichter kompensieren lassen, muss Cybersicherheit einen h\u00f6heren Stellenwert einnehmen. Hier herrscht ein betr\u00e4chtlicher Nachholbedarf angesichts der st\u00e4ndigen Angriffe der j\u00fcngsten Zeit, die geh\u00f6rige Sch\u00e4den, Datenverluste und sogar Totalausf\u00e4lle hinterlassen. Sie treffen auch gro\u00dfe Unternehmen und treiben diese in Einzelf\u00e4llen sogar in die Insolvenz.<\/p>\n\n\n\n<p><strong>Sanktionsdruck in der nahen Zukunft<\/strong><\/p>\n\n\n\n<p>Wenigstens nutzen Datenschutzverantwortliche in der Wirtschaft aufgrund der DSGVO personenbezogene Daten inzwischen vorsichtiger. Ein Grund daf\u00fcr ist, dass Verst\u00f6\u00dfe zu einer kostspieligen Angelegenheit geworden sind: Seitdem die DSGVO wirksam ist, verh\u00e4ngten Richter laut der <a href=\"https:\/\/industrie.de\/management\/dsgvo-europaweit-12-milliarden-euro-dsgvo-bussgelder-2024\/\">GDPR Fines and Data Breach Survey<\/a> der Wirtschaftskanzlei DLA Piper Sanktionen, die sich insgesamt auf eine H\u00f6he von 5,88 Milliarden Euro&nbsp; belaufen. Allein 2024 waren es in Deutschland \u00fcber 89,1 Millionen Euro.<\/p>\n\n\n\n<p>Damit auch die Relevanz von NIS2 deutlich wird, wollen die Verantwortlichen ein \u00e4hnliches Bu\u00dfgeldkonzept einf\u00fchren. Zudem sollen sowohl Inhaber eines Unternehmens als auch Gesch\u00e4ftsf\u00fchrer mit ihrem privaten Besitz haften. Darum arbeiten einige Organisationen schon seit geraumer Zeit an der NIS-Compliance und setzen auf externe Hilfe. So kennen die Experten von KPMG die <a href=\"https:\/\/kpmg.com\/nl\/en\/home\/insights\/2025\/05\/network-and-information-systems-directive.html\">verschiedensten Schwierigkeiten<\/a> von Unternehmen. NIS2 ist n\u00e4mlich \u00e4u\u00dferst auslegungsf\u00e4hig und kann letztlich nur ma\u00dfgeschneidert umgesetzt werden. Viel Gewicht kommt schon den Einzelheiten zu: Welche Entscheider tragen die Verantwortung? Wie sind die Meldepflichten bei Angriffen handzuhaben? Wer stellt im Ernstfall die f\u00fcr den Betrieb n\u00f6tigen Technologien, Tools und Ressourcen zur Verf\u00fcgung?<\/p>\n\n\n\n<p><strong>Noch strengere Meldefristen<\/strong><\/p>\n\n\n\n<p>Die Anspr\u00fcche von NIS2, Vorf\u00e4lle zu melden, gehen weiter. W\u00e4hrend Unternehmen bei Verletzungen der DSGVO 72 Stunden Zeit haben, besagen die NIS2-Vorgaben, dass Informationen \u00fcber gravierende Cybersicherheitsvorf\u00e4lle in nur 24 Stunden an das Bundesamtes f\u00fcr Sicherheit in der Informationstechnik (BSI) gehen m\u00fcssen. Unternehmen sollten entsprechende Abl\u00e4ufe seit dem Inkrafttreten der DSGVO etabliert haben. Wenn also solche Prozesse schon vorhanden sind, ist es nun einfacher, diese weiter zu beschleunigen.<\/p>\n\n\n\n<p>Wichtiger ist aber ebenso der \u00dcberblick dar\u00fcber, welche Informationen \u00fcber einen Schaden zur Verf\u00fcgung zu stellen sind. Mit automatisierten Prozessen k\u00f6nnen IT-Verantwortliche erfassen, welche Daten im Unternehmen \u00fcberhaupt existieren. Dar\u00fcber hinaus sollten sie kl\u00e4ren, welche Informationen f\u00fcr die NIS2-Konformit\u00e4t zu klassifizieren sind.<\/p>\n\n\n\n<p>Ebenso sollten sie schnell eruieren, welche Sachverhalte sie im Ernstfall berichten m\u00fcssen. Straffe Meldepflichten erf\u00fcllen und entscheidende, verlangte sowie n\u00f6tige Informationen wirklichkeitsgetreu liefern, kann aber nur, wer umgehend mit der Analyse des Schadens beginnen kann.<\/p>\n\n\n\n<p><strong>Vorausschauend handeln: Risikomanagement mithilfe von Analyseprozessen<\/strong><\/p>\n\n\n\n<p>W\u00e4hrend f\u00fcr die DSGVO eine Datenschutz-Folgenabsch\u00e4tzung (DSFA) f\u00fcr Hochrisikoverarbeitungen notwendig ist, verlangt NIS2 ein Risikomanagement f\u00fcr die IT-Infrastruktur, wie etwa Risikoanalysen und Strategien f\u00fcr die Kontinuit\u00e4t der Arbeitsabl\u00e4ufe. Unternehmen k\u00f6nnen hierf\u00fcr die f\u00fcr DSGVO eingesetzte Analyseprozesse benutzen und entsprechend erweitern.<\/p>\n\n\n\n<p>IT-Sicherheitsteams sollten dementsprechend ihren Datenbestand auf Risiken durchforsten. Um die produktive IT dabei m\u00f6glichst wenig zu st\u00f6ren, ist es sinnvoll, Sicherungskopien zu untersuchen. Auch hier lassen sich Abweichungen als Warnhinweise eines bevorstehenden Angriffs bereits fr\u00fchzeitig entdecken und abwenden.<\/p>\n\n\n\n<p>F\u00fcr NIS2 sollten die IT-Teams aber auch die Recovery von Systemen und Daten unabl\u00e4ssig pr\u00fcfen. Alle Mitwirkenden k\u00f6nnen ihr Zusammenspiel in einem digitalen Reinraum, also in einem realit\u00e4tsnahen Testmodell, anhand der relevanten Assets trainieren. So erhalten sie eine realistische Bewertung der Recovery-Strategie und ihrer Prozesse.<\/p>\n\n\n\n<p>Es ist au\u00dferdem wesentlich, auch w\u00e4hrend einer erfolgreichen Attacke produktiv zu bleiben \u2013 oder es in k\u00fcrzester Zeit wieder zu sein. Um vorab festzulegen, welche Anwendungen, Abl\u00e4ufe, und Umgebungen f\u00fcr den Notbetrieb unerl\u00e4sslich sind, kann ein Minimum-Viabel-Company-Ansatz helfen. Idealerweise sollten in jeder Abteilung die Verantwortlichen einen f\u00fcr ihre substanziellen IT- und Gesch\u00e4ftsabl\u00e4ufe relevanten Entschluss treffen. Daraus entsteht dann ein Notfallpaket, das an einem gesonderten Ort manipulationsgesch\u00fctzt und gesichert platziert wird. Es ist die Grundlage, um Anwendungen, Daten und Systeme in einem digitalen Reinraum unverf\u00e4lscht wiederverf\u00fcgbar zu machen. IT-Ops und Sec-Ops setzen sich zusammen daran, die Produktions-IT geh\u00e4rtet neu aufzusetzen \u2013 und gleichzeitig die Attacke einzud\u00e4mmen, betroffene Informationen sowie die ausgenutzten und vorhandene Schlupfl\u00f6cher zu begutachten und Schwachstellen zu schlie\u00dfen.<\/p>\n\n\n\n<p><strong>Auf DSGVO aufbauen: Eingef\u00fchrte Prozesse lassen sich auch f\u00fcr NIS2 nutzen<\/strong><\/p>\n\n\n\n<p>IT-Verantwortliche haben viele Abl\u00e4ufe aufgrund der DSGVO eingef\u00fchrt. Einige davon lassen sich zus\u00e4tzlich f\u00fcr die NIS2-Konformit\u00e4t ausbauen:<\/p>\n\n\n\n<p><strong>Eindeutige Zust\u00e4ndigkeiten f\u00fcr Cybersicherheit:<\/strong> Um die DSGVO zu erf\u00fcllen wurden Datenschutzbeauftragte und andere Governance-Strukturen etabliert. Auch f\u00fcr NIS2 bedarf es eindeutiger Zust\u00e4ndigkeiten f\u00fcr Cybersicherheit. Dementsprechend sind nun die Position eines Chief Information Security Officers (CISO) oder \u00e4hnlicher Funktionstr\u00e4ger verpflichtend. F\u00fcr die DSGVO eingef\u00fchrte Governance-Strukturen lassen sich entsprechend anpassen oder erweitern.<\/p>\n\n\n\n<p><strong>Ausbau von IT-Sicherheitsinstrumenten:<\/strong> &nbsp;Die DSGVO verlangt unter anderem Standards zu Verschl\u00fcsselung, Pseudonymisierung, Zugangskontrolle und Verifizierung. Um NIS2 zu bedienen, ben\u00f6tigen Unternehmen gleichartige, aber eher operativ ausgerichtete Cybersicherheitspr\u00fcfverfahren. Viele der DSGVO-Sicherheitskontrollen erf\u00fcllen die NIS2-Vorgaben komplett oder wenigstens partiell. Dementsprechend reicht es oftmals schon, vorhandene IT-Sicherheitsmethoden zu erweitern.<\/p>\n\n\n\n<p><strong>Erweiterung von Dokumentationssystemen: <\/strong>Die DSGVO bedarf einer umfassenden Dokumentation des Umgangs mit personenbezogenen Daten.DSGVO-Berichte m\u00fcssen dokumentieren, wie Unternehmen Daten einsetzen und Datenschutz-Folgebewertungen liefern. F\u00fcr NIS2 sind Unterlagen \u00fcber Reaktionen auf Vorf\u00e4lle, Sicherheitsbestimmungen und Auditergebnisse n\u00f6tig. Zentralisierte Dokumentationssysteme, die f\u00fcr eine DSGVO-Konformit\u00e4t eingerichtet wurden, k\u00f6nnen die Zust\u00e4ndigen f\u00fcr die Datensicherheit auch f\u00fcr die NIS2-Compliance verwenden und weiterentwickeln.<\/p>\n\n\n\n<p>NIS2 bedeutet f\u00fcr die Verantwortlichen viel Arbeit. Wer aber schon f\u00fcr die DSGVO gut aufgestellt ist, kann viele seiner Vorleistungen nun auch f\u00fcr NIS2 nutzen. NIS2 ist eine gute Gelegenheit, um das gesamte Sicherheitsniveau zu erh\u00f6hen. Eine verbesserte Widerstandsf\u00e4higkeit ist au\u00dferdem ein eindeutiger Wettbewerbsvorteil. Bislang sind Cyberattacken allt\u00e4glich. Wer sich NIS2-konform mit erprobten und kontrollierten Netzwerken und Verfahren aufstellt, kann auf die Grundlagen einer zuverl\u00e4ssigen Cyberresilienz bauen.<\/p>\n\n\n\n<p>Link zu Commvault: <a href=\"https:\/\/www.commvault.com\/de\/\">Cyber Resilience-L\u00f6sungen f\u00fcr kontinuierliche Gesch\u00e4ftst\u00e4tigkeit | Commvault<\/a><\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Seit sieben Jahren pr\u00e4gt die DSGVO die IT-Landschaft \u2013 nun bringt NIS2 die n\u00e4chste gro\u00dfe Herausforderung f\u00fcr Unternehmen. Die Vorgaben zielen auf mehr Widerstandskraft digitaler Prozesse, strengere Meldepflichten und ein noch h\u00f6heres Schutzniveau ab. Wer DSGVO-konforme Strukturen etabliert hat, kann darauf aufbauen und sich jetzt einen Vorsprung verschaffen. Gefragt sind klare Zust\u00e4ndigkeiten, kontinuierliches Risikomanagement und ein vorausschauender Ansatz f\u00fcr Recovery und Business Continuity. In seinem Beitrag erl\u00e4utert Ricardo Jos\u00e9 Garrido Reichelt, Principal Security Technologist EMEA bei Commvault, wie Unternehmen bestehende Prozesse nutzen und gezielt f\u00fcr NIS2 erweitern k\u00f6nnen.<\/p>\n","protected":false},"author":81,"featured_media":29916,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,10140],"tags":[5722,1016,21430,1088,9408,17846],"class_list":["post-29915","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-compliance","tag-commvault","tag-compliance","tag-cyberresilience","tag-cybersecurity","tag-dsgvo","tag-nis2"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/29915","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=29915"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/29915\/revisions"}],"predecessor-version":[{"id":29917,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/29915\/revisions\/29917"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/29916"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=29915"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=29915"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=29915"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}