BDO: Tietosuoja ja NIS2-direktiivi ovat erottamattomat

BDO AG, taloushallinnon ja neuvonantopalveluiden yritys, korosti 18. joulukuuta 2025, että Saksan NIS2-direktiivin täytäntöönpanon myötä tietosuoja ja kyberturvallisuus ovat nyt tiiviisti sidoksissa toisiinsa.

Tämä oikeudellinen kehitys vaatii yrityksiä, jotka luokitellaan "erityisen tärkeiksi" tai "tärkeiksi laitoksiksi", toteuttamaan merkittävästi laajempia kyberturvallisuustoimenpiteitä. Samalla henkilötietojen suojaa koskevat EU:n yleisen tietosuoja-asetuksen (GDPR) vaatimukset pysyvät voimassa. BDO:n mukaan yritysten, jotka tarkastelevat ja toteuttavat NIS2- ja GDPR-vaatimuksia integroidulla tavalla, on mahdollista välttää päällekkäisiä prosesseja ja luoda vankka, tehokas vaatimustenmukaisuusarkkitehtuuri.

NIS2-direktiivin Saksan täytäntöönpano laajentaa merkittävästi vaatimuksia "erityisen tärkeille" ja "tärkeille laitoksille". Vaikka tekninen kyberturvallisuus saa usein huomiota, NIS2:n ja GDPR:n välistä tiivistä oikeudellista ja organisatorista yhteyttä aliarvioidaan usein. Monet Saksan lain (BSIG) mukaiset velvoitteet menevät päällekkäin GDPR:n vaatimusten kanssa.

BDO:n mukaan erillinen NIS2-yhteensopivuus on vaikeasti saavutettavissa ilman jäsenneltyä tieto- ja tietoturvallisuuden hallintaa. Toisaalta molempien sääntelykehysten yhdistäminen tarjoaa mahdollisuuden kehittää olemassa olevia GDPR-, tietoturvallisuusjohtamisjärjestelmiä (ISMS) ja IT-hallintorakenteita kohdennetusti. Yritysten tulee tunnistaa, miten NIS2:n vaatimukset, kuten riskienhallinta, tekniset ja organisatoriset toimenpiteet sekä toimitusketjun turvallisuus, linkittyvät olemassa oleviin GDPR-käytäntöihin.