EuroComply
Sign up
Back to blog
NIS2 8 min read

NIS2 vs. DSGVO für Technologieunternehmen: Wesentliche Unterschiede und Überschneidungen

What you need to know: NIS2 vs. DSGVO für Technologieunternehmen: Wesentliche Unterschiede und Überschneidungen

Technologieunternehmen sind häufig gleichzeitig von NIS2 und DSGVO betroffen. Dieser Leitfaden erläutert die wesentlichen Unterschiede bei Anwendungsbereich, Pflichten und Durchsetzung – und zeigt, wo Compliance-Programme zusammengeführt werden können.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Die DSGVO und die NIS2-Richtlinie gehören zu den bedeutendsten EU-Regelwerken, die Technologieunternehmen betreffen – und sie werden häufig verwechselt, gleichgesetzt oder getrennt behandelt, obwohl sie gemeinsam angegangen werden sollten. Das Verständnis des grundlegenden Unterschieds, der jeweiligen Besonderheiten sowie der Überschneidungen ist die Grundlage für ein effizientes Compliance-Programm.

Der grundlegende Unterschied

Die DSGVO (Verordnung 2016/679) schützt personenbezogene Daten – deren Vertraulichkeit, Integrität und Verfügbarkeit sowie die Rechte der betroffenen Personen, deren Daten verarbeitet werden. Jede Organisation, die personenbezogene Daten von EU-Bürgerinnen und -Bürgern verarbeitet, unterliegt der DSGVO.

Die NIS2-Richtlinie (Richtlinie 2022/2555, bis Oktober 2024 in nationales Recht umzusetzen) schützt die operative Sicherheit von Netz- und Informationssystemen – sie stellt sicher, dass wesentliche Dienste verfügbar und gegenüber Cyberbedrohungen widerstandsfähig bleiben. NIS2 gilt nur für Einrichtungen in bestimmten Sektoren und ab bestimmten Größenschwellen.

Die Ziele sind unterschiedlich. Die DSGVO befasst sich grundlegend mit individuellen Rechten und der Datenverwaltung. NIS2 befasst sich grundlegend mit der operativen Resilienz und der gesellschaftlichen Kontinuität. Für beides ist typischerweise dasselbe Sicherheitsteam zuständig – weshalb ein einheitlicher Ansatz entscheidend ist.

Wer ist von beiden betroffen?

Jedes Technologieunternehmen, das personenbezogene Daten von EU-Bürgerinnen und -Bürgern verarbeitet, unterliegt der DSGVO. Ob auch NIS2 Anwendung findet, hängt von Sektor und Unternehmensgröße ab.

Technologieunternehmen, für die beide Regelwerke wahrscheinlich gelten:

  • Managed Service Provider (MSPs) und Managed Security Service Provider (MSSPs) – in Anhang II der NIS2 ausdrücklich als „wichtige Einrichtungen" aufgeführt
  • Cloud-Dienstleister – in Anhang II der NIS2 aufgeführt
  • Rechenzentrumsbetreiber – in Anhang II der NIS2 aufgeführt
  • Content-Delivery-Network-Anbieter – in Anhang II der NIS2 aufgeführt
  • DNS-Dienstleister, TLD-Registrierungsstellen, Domainregistrierungsdienste – in Anhang II der NIS2 aufgeführt
  • Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerkplattformen – in Anhang II der NIS2 aufgeführt

Mittlere und große Einrichtungen (≥ 50 Mitarbeitende oder > 10 Mio. € Jahresumsatz) in diesen Kategorien sind erfasst. Kleinstunternehmen und kleine Unternehmen sind grundsätzlich ausgenommen, es sei denn, sie sind der einzige Anbieter eines für die gesellschaftliche oder wirtschaftliche Tätigkeit in einem Mitgliedstaat kritischen Dienstes.

Vergleich: DSGVO vs. NIS2-Richtlinie

| Dimension | DSGVO | NIS2-Richtlinie | |-----------|-------|-----------------| | Schutzgegenstand | Personenbezogene Daten | Netz- und Informationssysteme | | Anwendungsbereich | Jede Organisation, die personenbezogene EU-Daten verarbeitet | Bestimmte Sektoren, nur mittlere/große Einrichtungen | | Rechtsgrundlage | EU-Verordnung (unmittelbar anwendbar) | EU-Richtlinie (in nationales Recht umzusetzen) | | Aufsichtsbehörde | Datenschutzbehörde (z. B. BfDI/Landesdatenschutzbehörden) | Nationale NIS-Behörde (z. B. BSI in Deutschland, ANSSI in Frankreich) | | Meldepflicht bei Datenpannen | 72 Stunden an die Datenschutzbehörde | 24 h Frühwarnung; 72 h an nationales CSIRT; 1 Monat Abschlussbericht | | Höchststrafe | 20 Mio. € oder 4 % des weltweiten Jahresumsatzes | 10 Mio. € oder 2 % (wichtige Einrichtungen); 7 Mio. € oder 1,4 % (wesentliche Einrichtungen) | | Sicherheitsmaßnahmen | Art. 32: prinzipienbasiert („angemessene technische und organisatorische Maßnahmen") | Art. 21: vorgeschriebene Liste mit 10 konkreten Maßnahmenkategorien |

Meldepflichten bei Sicherheitsvorfällen: Parallele Verfahren

Für ein Technologieunternehmen, das sowohl als DSGVO-Verantwortlicher als auch als von NIS2 erfasste Einrichtung agiert, löst ein Cybersicherheitsvorfall mit Bezug zu personenbezogenen Daten parallele Meldepflichten aus:

  • DSGVO Art. 33: Meldung an die Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Datenschutzverletzung (sofern sie voraussichtlich ein Risiko für natürliche Personen darstellt)
  • NIS2 Art. 23: Frühwarnung an das nationale CSIRT/die zuständige Behörde innerhalb von 24 Stunden; Vorfallsmeldung innerhalb von 72 Stunden; Abschlussbericht innerhalb von 1 Monat

Wenn ein Ransomware-Angriff gleichzeitig Systeme und personenbezogene Daten kompromittiert, beginnen beide Fristen gleichzeitig zu laufen. Die Prozesse zur Reaktion auf Sicherheitsvorfälle müssen so gestaltet sein, dass beide Meldestränge parallel bearbeitet werden können, mit geeigneten Eskalationswegen sowohl zur Datenschutzbehörde als auch zur nationalen NIS-Behörde.

Sicherheitsmaßnahmen: NIS2 Art. 21 geht weiter als DSGVO Art. 32

DSGVO Art. 32 verlangt „angemessene technische und organisatorische Maßnahmen" – einen prinzipienbasierten Standard, der am Risiko ausgerichtet ist. NIS2 Art. 21 legt 10 erforderliche Maßnahmenkategorien fest:

  1. Risikoanalyse und Sicherheitskonzepte für Informationssysteme
  2. Bewältigung von Sicherheitsvorfällen
  3. Aufrechterhaltung des Betriebs und Krisenmanagement (Business Continuity)
  4. Sicherheit der Lieferkette (Sicherheit in Lieferanten- und Dienstleisterbeziehungen)
  5. Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen – einschließlich Umgang mit Schwachstellen und deren Offenlegung
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen
  7. Grundlegende Cyberhygiene und Cybersicherheitsschulungen
  8. Konzepte für den Einsatz von Kryptographie und Verschlüsselung
  9. Personalsicherheit, Zugriffskontrollkonzepte und Asset-Management
  10. Einsatz von Multi-Faktor-Authentifizierung und sicherer Kommunikation

Ein Sicherheitsprogramm, das NIS2 Art. 21 vollständig erfüllt, genügt weitgehend auch den Anforderungen des DSGVO Art. 32 für dieselben Systeme – die NIS2-Anforderungen sind konkreter und anspruchsvoller. DSGVO Art. 32 erfasst jedoch auch die spezifische Sicherheit personenbezogener Daten, einschließlich Pseudonymisierung, fortlaufender Tests der Vertraulichkeit sowie Verfahren zur Wiederherstellung der Verfügbarkeit nach Vorfällen. Diese Anforderungen werden durch NIS2 nicht vollständig abgedeckt.

Möglichkeiten zur kombinierten Compliance

Wo beide Regelwerke gelten, können folgende Bereiche gemeinsam adressiert werden:

  • Verfahren zur Reaktion auf Sicherheitsvorfälle – ein einziges Playbook mit DSGVO-Meldeanhang (Datenschutzbehörde, 72 h) und NIS2-Meldeanhang (CSIRT, 24 h/72 h/1 Monat)
  • Sicherheitsdokumentation – eine einheitliche Bibliothek für Informationssicherheitsrichtlinien, die sowohl auf Art. 32 DSGVO als auch auf Art. 21 NIS2 verweist
  • Lieferantenrisikomanagement – die DSGVO verlangt Auftragsverarbeitungsverträge mit Auftragsverarbeitern (Art. 28); NIS2 verlangt Maßnahmen zur Lieferkettensicherheit (Art. 21(3)(d)). Eine einheitliche Lieferantensicherheitsbewertung deckt beide Anforderungen ab
  • Schulungen – Cyberhygiene-Schulungen (NIS2 Art. 21(2)(g)) kombiniert mit DSGVO-Datenschutzschulungen für Mitarbeitende
  • Audit und Überprüfung – jährliche Überprüfungen der Sicherheitswirksamkeit erfüllen die NIS2-Anforderung nach Konzepten und Verfahren zur Wirksamkeitsbewertung und liefern zugleich Nachweise für die laufende Überprüfung gemäß DSGVO Art. 32

Praktische Übersicht: Was gilt und was hat Priorität

| Unternehmenstyp | DSGVO | NIS2 | Prioritäre Maßnahmen | |-----------------|-------|------|----------------------| | SaaS-Startup, < 50 Mitarbeitende, keine besonderen Kategorien personenbezogener Daten | Ja | Wahrscheinlich noch nicht | DSGVO: Verzeichnis von Verarbeitungstätigkeiten, Rechtsgrundlagen, Datenschutzerklärung, Sicherheitsüberprüfung Art. 32 | | Cloud-Infrastrukturanbieter, 100 Mitarbeitende | Ja | Ja (Anhang II) | Beide: Art.-21-Maßnahmen umsetzen; dualen Meldeablauf aufbauen; Registrierung bei Datenschutzbehörde und CSIRT | | Zahlungsabwickler, > 250 Mitarbeitende | Ja | Möglicherweise (Finanzsektor – NIS2/DORA-Überschneidung prüfen) | DSGVO + DORA-Anwendbarkeit prüfen; bei DORA-Geltung ist DORA lex specialis für IKT-Risiken | | Anbieter von IT-Systemen im Gesundheitswesen, 75 Mitarbeitende | Ja | Ja (bei Gesundheitssektor, wesentliche Einrichtung) | Beide: Lieferkettensicherheit Art. 21 priorisieren; DSGVO-DSFA für Gesundheitsdaten; Verantwortlichkeit des Leitungsorgans nach NIS2 |


Zuletzt aktualisiert: April 2026.

Häufig gestellte Fragen

Kann ein einzelner Vorfall sowohl NIS2- als auch DSGVO-Meldepflichten auslösen?

Ja, und dies ist bei Technologieunternehmen häufig der Fall. Ein Ransomware-Angriff, der Systeme verschlüsselt und personenbezogene Daten abschöpft, löst NIS2 Artikel 23 aus (Frühwarnung an das nationale CSIRT innerhalb von 24 Stunden, Vorfallsmeldung innerhalb von 72 Stunden) und DSGVO Artikel 33 (Meldung an die Datenschutzbehörde innerhalb von 72 Stunden, sofern die Datenpanne ein Risiko für betroffene Personen darstellt). Beide Fristen beginnen mit dem Zeitpunkt der Kenntnisnahme zu laufen. Die Meldungen gehen an unterschiedliche Behörden – das nationale CSIRT oder die zuständige NIS-Behörde für NIS2 und die nationale Datenschutzbehörde für DSGVO – und müssen parallel mit unterschiedlichen inhaltlichen Anforderungen erstellt werden.

Genügt die NIS2-Sicherheitsdokumentation den Anforderungen des DSGVO Artikel 32?

Ein Sicherheitsprogramm, das die zehn Maßnahmenkategorien des NIS2 Artikel 21 vollständig umsetzt, wird den Anforderungen des DSGVO Artikel 32 für dieselben Systeme weitgehend gerecht, da NIS2 konkreter und anspruchsvoller ist. DSGVO Artikel 32 konzentriert sich jedoch spezifisch auf den Schutz personenbezogener Daten – er verlangt Pseudonymisierung, wo angemessen, laufende Tests der Vertraulichkeit, Integrität und Verfügbarkeit von Verarbeitungssystemen sowie Verfahren zur Wiederherstellung des Zugangs zu personenbezogenen Daten nach einem Vorfall. Diese datenschutzspezifischen Anforderungen werden durch NIS2 nicht vollständig abgedeckt und müssen in der DSGVO-Sicherheitsdokumentation gesondert behandelt werden.

Haben NIS2 und DSGVO dieselben Bußgeldschwellen?

Nein. DSGVO-Bußgelder können bei den schwerwiegendsten Verstößen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. NIS2-Bußgelder sind niedriger: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wichtige Einrichtungen und bis zu 7 Millionen Euro oder 1,4 % für wesentliche Einrichtungen. Auch die Durchsetzungsansätze unterscheiden sich: DSGVO-Bußgelder werden von Datenschutzbehörden auf Grundlage von Untersuchungen zu Datenschutzverstößen verhängt, während NIS2-Sanktionen von den nationalen NIS-Behörden ausgesprochen werden und Anordnungen zur Umsetzung konkreter Sicherheitsmaßnahmen, vorübergehende Verbote von Leitungsfunktionen sowie die öffentliche Bekanntmachung von Verstößen umfassen können.

Quellen

Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Key takeaways: NIS2 vs. DSGVO für Technologieunternehmen: Wesentliche Unterschiede und Überschneidungen

This article covers: Der grundlegende Unterschied, Wer ist von beiden betroffen?, Vergleich: DSGVO vs. NIS2-Richtlinie.

  • Der grundlegende Unterschied
  • Wer ist von beiden betroffen?
  • Vergleich: DSGVO vs. NIS2-Richtlinie
  • Meldepflichten bei Sicherheitsvorfällen: Parallele Verfahren
  • Sicherheitsmaßnahmen: NIS2 Art. 21 geht weiter als DSGVO Art. 32
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.