DSGVO & NIS2

Rechtliche Vorgaben sicher erfüllen

DSGVO (Datenschutz-Grundverordnung)

Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 in der gesamten EU verbindlich und gilt für alle Unternehmen, die personenbezogene Daten verarbeiten – also praktisch jedes Unternehmen. Sie verpflichtet dazu, Daten von Kunden, Partnern und Mitarbeitern wirksam zu schützen und jederzeit nachweisen zu können, dass geeignete technische und organisatorische Maßnahmen getroffen wurden.

Die Anforderungen gehen dabei weit über reine Bürokratie hinaus. Unternehmen müssen gewährleisten, dass IT-Systeme, Netzwerke und Anwendungen so abgesichert sind, dass unbefugte Zugriffe, Datenverluste oder Manipulationen verhindert werden. Wer diese Pflichten vernachlässigt, riskiert nicht nur Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, sondern auch schwerwiegende Folgen für Image und Vertrauen.

Ein Penetrationstest ist ein effektives Instrument, um diese Anforderungen zu erfüllen: Er zeigt, wo Schwachstellen und Fehlkonfigurationen in Ihren Systemen bestehen, bewertet die Risiken und liefert konkrete Handlungsempfehlungen. Damit können Sie nachweisen, dass Sie aktiv Maßnahmen zum Schutz personenbezogener Daten ergreifen und Ihre IT-Sicherheit kontinuierlich überprüfen.

ARTIKEL 32 DSGVO – Sicherheit der Verarbeitung

Das Original

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Die Erklärung

Artikel 32 der Datenschutz-Grundverordnung verpflichtet Unternehmen dazu, personenbezogene Daten mit einem dem Risiko angemessenen Schutzniveau zu verarbeiten. Das bedeutet: Je sensibler die Daten und je höher das Risiko eines Angriffs, desto umfassender müssen die technischen und organisatorischen Schutzmaßnahmen sein.

Dabei berücksichtigt die DSGVO ausdrücklich den Stand der Technik sowie die Kosten der Umsetzung. Das heißt: Von jedem Unternehmen wird erwartet, dass es moderne und angemessene Maßnahmen einsetzt – jedoch immer im Verhältnis zum Risiko. Ein kleines Handwerksunternehmen muss also nicht denselben Aufwand betreiben wie ein internationaler Konzern, aber beide müssen nachweisen können, dass ihre Maßnahmen geeignet sind.

Konkret fordert Artikel 32 unter anderem:

  • die Fähigkeit, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten dauerhaft sicherzustellen,

  • Mechanismen zur schnellen Wiederherstellung von Daten und Systemen nach einem technischen oder physischen Vorfall,

  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit eingesetzter Sicherheitsmaßnahmen.

Genau hier kommt der Penetrationstest ins Spiel:
Ein Pentest ist ein praxisnahes Verfahren, um die eigenen Schutzmaßnahmen unter realistischen Bedingungen auf die Probe zu stellen. Er zeigt nicht nur, ob Sicherheitslücken vorhanden sind, sondern auch, wie schnell diese ausgenutzt werden könnten und ob Abwehrmechanismen greifen.

Damit liefern Sie nicht nur den Nachweis gegenüber Aufsichtsbehörden, dass Sie Ihre Pflichten ernst nehmen, sondern schaffen auch Vertrauen bei Kunden und Geschäftspartnern. Sie zeigen aktiv: Wir kontrollieren unsere IT-Sicherheit nicht nur auf dem Papier, sondern testen sie regelmäßig unter realen Bedingungen.

NIS2 (Network and Information Security Directive)

Die neue EU-Richtlinie NIS2 (Network and Information Security Directive) ist seit Januar 2023 in Kraft und muss bis Oktober 2024 von allen Mitgliedstaaten in nationales Recht umgesetzt werden. Sie verpflichtet Unternehmen in vielen Branchen, ein deutlich höheres Niveau an Cybersicherheit einzuhalten.

Betroffen sind nicht nur große Konzerne, sondern auch viele kleine und mittlere Unternehmen aus kritischen und wichtigen Sektoren wie Energie, Transport, Finanzwesen, Gesundheit, Abfall- und Wasserwirtschaft, Post- und Kurierdienste, Lebensmittelproduktion sowie digitale Dienste. Damit reicht NIS2 deutlich weiter als die bisherige NIS-Richtlinie.

Die Richtlinie fordert unter anderem:

  • technische und organisatorische Sicherheitsmaßnahmen, die dem Risiko angemessen sind,

  • regelmäßige Risikoanalysen und Sicherheitsüberprüfungen,

  • Prozesse zur Vorfallserkennung und -bewältigung,

  • Meldepflichten bei Sicherheitsvorfällen gegenüber den Behörden (meist innerhalb von 24 Stunden),

  • Nachweise über kontinuierliche Sicherheitskontrollen wie Penetrationstests oder Security Audits.

Verstöße gegen NIS2 können empfindliche Bußgelder nach sich ziehen, ähnlich wie bei der DSGVO – bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Ein Pentest ist ein zentrales Werkzeug, um den Anforderungen von NIS2 gerecht zu werden. Er überprüft die Wirksamkeit der vorhandenen Sicherheitsmaßnahmen, deckt Schwachstellen auf und liefert einen nachvollziehbaren Nachweis, dass Ihr Unternehmen seine Pflichten erfüllt.

So wird NIS2 nicht nur zur regulatorischen Pflicht, sondern auch zur Chance, die eigene IT-Sicherheit auf ein höheres, professionelles Niveau zu heben – und das Vertrauen von Kunden, Partnern und Behörden langfristig zu stärken.

ARTIKEL 21 NIS2 – Cybersecurity Risk‑Management‑Maßnahmen

Die Erklärung

Der Originaltext von Artikel 21 NIS2 ist sehr umfangreich, deshalb verzichten wir hier auf die vollständige Wiedergabe. Wenn Sie ihn im Detail nachlesen möchten, finden Sie ihn direkt hier.
 

Inhaltlich verpflichtet Artikel 21 Unternehmen dazu, ein angemessenes Risikomanagement für Netz- und Informationssysteme einzurichten. Das bedeutet: Jedes Unternehmen, das unter NIS2 fällt, muss technische und organisatorische Maßnahmen treffen, die geeignet sind, Bedrohungen für die IT-Sicherheit zu erkennen, abzuwehren und ihre Folgen zu minimieren.

Zu den geforderten Mindestmaßnahmen gehören unter anderem:

  • regelmäßige Risikobewertungen und Schwachstellenmanagement,

  • Notfall- und Krisenpläne, um im Ernstfall schnell reagieren zu können,

  • Sicherheitsmaßnahmen in der Lieferkette,

  • Sicherheitsüberprüfungen von Zugängen und Identitäten (z. B. Multi-Faktor-Authentifizierung),

  • Verschlüsselung und Datensicherung,

  • Sensibilisierung und Schulung der Mitarbeiter.

Ein zentraler Bestandteil ist außerdem die Pflicht, die Wirksamkeit dieser Maßnahmen regelmäßig zu überprüfen und zu bewerten. Genau hier kommen Penetrationstests ins Spiel: Sie liefern einen praxisnahen Nachweis, ob die Schutzmaßnahmen tatsächlich greifen, und erfüllen damit direkt die Anforderungen aus Artikel 21.