NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert

Die unabhängigen Datenschutzaufsichtsbehörden der Länder sprechen sich für deutliche Entlastung der Verantwortlichen bei Erfüllung der NIS-2-Meldepflichten aus

[datensicherheit.de, 06.07.2025] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat am 4. Juli 2025 eine Meldung der unabhängigen Datenschutzaufsichtsbehörden der Länder veröffentlicht: Diese sprechen sich demnach für eine deutliche Entlastung der Verantwortlichen bei der Erfüllung der Meldepflichten der neuen NIS-2-Richtlinie in Deutschland aus.

Vereinheitlichung der Meldungen nach neuer NIS-2-Richtlinie und DSGVO

So soll es Betreibern Kritischer Infrastrukturen (KRITIS) ermöglicht werden, mit demselben Prozess sowohl Meldungen nach der neuen NIS-2-Richtlinie als auch nach der Datenschutz-Grundverordnung (DSGVO) einzureichen: Einen Vorschlag für eine entsprechende Gesetzesänderung haben die unabhängigen Datenschutzaufsichtsbehörden der Länder im Rahmen der Länder- und Verbändebeteiligung an das Bundesministerium des Innern (BMI) gesandt.

Meike Kamp, die BlnBDI, kommentiert: „Wenn von einem IT-Sicherheitsvorfall auch personenbezogene Daten betroffen sind, muss dies in der Regel auch den Datenschutzaufsichtsbehörden gemeldet werden. Statt Meldungen doppelt einreichen zu müssen, sollten Unternehmen alle Meldungen in einem Schritt erledigen können.“ Diese Vereinheitlichung würde Bürokratie abbauen, Unternehmen spürbar entlasten und die behördlichen Verfahren beschleunigen.

BSI soll zentrale Meldestelle für Sicherheitsvorfälle nach NIS-2-Richtlinie werden

Zentrale Meldestelle für Sicherheitsvorfälle nach der NIS-2-Richtlinie soll in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden. Die Datenschutzaufsichtsbehörden der Länder schlagen daher vor, dass sie gemeinsam mit dem BSI ein einheitliches digitales Verfahren für Meldungen von Vorfällen entwickeln.

Dieses Verfahren soll sowohl Meldungen nach der NIS-2-Richtlinie als auch nach der DSGVO ermöglichen, soweit ein Sicherheitsvorfall zugleich eine Datenpanne begründet. Dieses würde dann zudem den von den deutschen und europäischen Datenschutzaufsichtsbehörden bereits eingeschlagenen Weg zur Vereinheitlichung des Meldeprozesses nach Art. 33 DSGVO unterstützen.

Hintergrund zu den Meldepflichten nach NIS-2 und DSGVO

Nach der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) müssen bestimmte KRITIS-Unternehmen Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Bereitstellung ihrer Dienste haben, unverzüglich melden.

Eine Datenpanne liegt vor, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt. Die DSGVO verpflichtet verantwortliche Stellen grundsätzlich dazu, eine Datenpanne innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde zu melden und unter Umständen auch die betroffenen Personen über den Vorfall zu informieren.

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit, 04.07.2025
Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung

Bundesministerium des Innern, 24.07.2024
Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung / IT-Sicherheitsvorgaben und Meldepflichten für IT-Sicherheitsvorfälle werden auf mehr Unternehmen in mehr Sektoren ausgeweitet. Die IT-Sicherheit der Bundesverwaltung wird gestärkt.

OpenKRITIS
Meldepflichten

datensicherheit.de, 11.07.2025
NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter / Mit der NIS-2-Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union EU geschaffen werden

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie