BDO: Datenschutz und NIS-2-Richtlinie sind untrennbar verbunden

BDO AG, ein Prüfungs- und Beratungsunternehmen, hat am 18. Dezember 2025 darauf hingewiesen, dass die Umsetzung der deutschen NIS-2-Richtlinie Datenschutz und Cybersicherheit eng miteinander verknüpft. Diese rechtliche Entwicklung bringt für betroffene Unternehmen erheblich erweiterte Verpflichtungen mit sich.

Die Richtlinie verpflichtet Unternehmen, die als "besonders wichtige" oder "wichtige Einrichtungen" eingestuft werden, zu deutlich erweiterten Cybersicherheitsmaßnahmen. Gleichzeitig bleiben die Verpflichtungen zum Schutz personenbezogener Daten gemäß der EU-Datenschutz-Grundverordnung (DSGVO) bestehen. Laut BDO können Unternehmen, die NIS-2- und DSGVO-Anforderungen integriert betrachten und umsetzen, Doppelstrukturen vermeiden und eine robuste, effiziente Compliance-Architektur aufbauen.

Die NIS-2-Umsetzung in Deutschland erweitert die Anforderungen für "besonders wichtige" und "wichtige Einrichtungen" erheblich. Während der Fokus oft auf technischer Cybersicherheit liegt, wird die enge rechtliche und organisatorische Verzahnung zwischen NIS-2 und DSGVO häufig unterschätzt. Zahlreiche Pflichten gemäß dem deutschen IT-Sicherheitsgesetz (BSIG) überschneiden sich direkt mit den Vorgaben der DSGVO.

BDO zufolge ist eine isolierte NIS-2-Compliance ohne strukturiertes Informations- und IT-Sicherheitsmanagement schwer realisierbar. Umgekehrt bietet die Verknüpfung beider Regelwerke die Chance, bestehende DSGVO-, ISMS- (Informationssicherheitsmanagementsystem) und IT-Governance-Strukturen gezielt weiterzuentwickeln. Unternehmen sollten identifizieren, wie die NIS-2-Anforderungen – wie Risikomanagement, technische und organisatorische Maßnahmen sowie Lieferkettensicherheit – mit etablierten DSGVO-Praktiken zusammenhängen.