DSGVO und NIS-2: Was Unternehmen zur Softwaresicherheit wissen müssen

Zwei Regelwerke, ein Ziel

Wenn es um die Sicherheit von Software geht, tauchen in Deutschland und der EU zwei Begriffe besonders häufig auf: die Datenschutz-Grundverordnung (DSGVO) und die NIS-2-Richtlinie. Beide verfolgen letztlich dasselbe Ziel, nämlich dass mit Daten und IT-Systemen verantwortungsvoll umgegangen wird. Sie tun das aber aus unterschiedlichen Blickwinkeln.

Dieser Beitrag gibt einen praktischen Überblick, kein juristisches Gutachten. Im Zweifel und bei konkreten Pflichten solltest du eine Rechtsberatung hinzuziehen. Ziel hier ist, dass du als Verantwortlicher die richtigen Fragen stellen kannst.

DSGVO: die Grundlagen für Individualsoftware

Die DSGVO regelt, wie personenbezogene Daten verarbeitet werden dürfen. Sobald deine Software Daten über identifizierbare Personen verarbeitet, bist du im Anwendungsbereich. Drei Punkte sind dabei für eigene Software besonders relevant:

• Datenminimierung — erheben und speichern solltest du nur das, was du wirklich brauchst. Jedes Feld, das du nicht erfasst, ist ein Feld, das du nicht schützen und nicht löschen musst.
• Auftragsverarbeitung — sobald ein Dienstleister Daten in deinem Auftrag verarbeitet, etwa ein Hoster oder ein E-Mail-Versender, braucht es einen Auftragsverarbeitungsvertrag (AV-Vertrag), der Pflichten und Grenzen regelt.
• Hosting in der EU — ein Standort innerhalb der EU vermeidet einen großen Teil der Komplexität rund um Datenübermittlungen in Drittländer. Es ist oft der einfachste Weg, auf der sicheren Seite zu sein.

Gute Software unterstützt diese Prinzipien von sich aus: klare Löschkonzepte, getrennte Zugriffsrechte und sparsame Datenmodelle sind kein nachträgliches Anhängsel, sondern Teil eines sauberen Entwurfs.

NIS-2: ein deutlich breiterer Geltungsbereich

NIS-2 ist die überarbeitete EU-Richtlinie zur Cybersicherheit. Der wichtigste Unterschied zur Vorgängerregelung ist der erweiterte Geltungsbereich. Es sind nicht mehr nur klassische Betreiber kritischer Infrastruktur betroffen, sondern deutlich mehr Unternehmen, auch im Mittelstand, in einer ganzen Reihe von Sektoren.

Für betroffene Unternehmen bringt NIS-2 vor allem zwei Arten von Pflichten mit sich:

1. Sicherheitsmaßnahmen — ein angemessenes Risikomanagement für die IT, von Zugriffskontrolle über Verschlüsselung bis zu Notfallplänen.
2. Meldepflichten — erhebliche Sicherheitsvorfälle müssen innerhalb festgelegter Fristen an die zuständigen Stellen gemeldet werden.

Ob und in welchem Umfang dein Unternehmen betroffen ist, hängt von Branche und Größe ab. Diese Einordnung ist genau der Punkt, an dem sich eine fachliche Prüfung lohnt. Selbst wenn du nicht direkt unter NIS-2 fällst, bist du als Zulieferer womöglich indirekt gefordert, weil deine Kunden Nachweise verlangen.

Praktische Sicherheitshygiene

Unabhängig davon, welches Regelwerk auf dich zutrifft, gibt es eine Handvoll Maßnahmen, die fast jede Anwendung sicherer machen. Sie sind weniger spektakulär als ihr Name vermuten lässt, aber sie wirken:

• Updates — Abhängigkeiten und Systeme aktuell halten, damit bekannte Lücken nicht offen stehen.
• Least Privilege — jeder Zugang erhält nur die Rechte, die er wirklich braucht. Ein kompromittiertes Konto richtet so weniger Schaden an.
• Backups — regelmäßige und getestete Sicherungen, idealerweise auch außerhalb des produktiven Systems.
• Logging — nachvollziehbare Protokolle, damit du im Ernstfall erkennst, was passiert ist, und Meldepflichten überhaupt erfüllen kannst.

Diese vier Punkte sind keine Kür, sondern das Fundament. Wer sie konsequent umsetzt, deckt einen großen Teil dessen ab, was sowohl DSGVO als auch NIS-2 im Kern verlangen. Wichtig ist dabei, dass die Maßnahmen nicht nur einmal eingerichtet, sondern dauerhaft gelebt werden. Ein Backup, das seit Monaten nicht getestet wurde, oder Protokolle, die niemand ansieht, geben nur ein trügerisches Gefühl von Sicherheit.

Genauso hilfreich ist es, früh festzulegen, wer im Ernstfall was tut. Ein kurzer, schriftlich festgehaltener Ablaufplan für Sicherheitsvorfälle spart im akuten Moment wertvolle Zeit und sorgt dafür, dass Meldefristen eingehalten werden, statt in der Hektik unterzugehen.

Sicherheit ist ein Prozess

Der wichtigste Gedanke zum Schluss: Softwaresicherheit ist kein Zustand, den man einmal erreicht und dann abhakt. Sie ist ein laufender Prozess aus Updates, Überprüfung und Anpassung. Genau hier greifen Wartung und Sicherheit ineinander, denn ohne regelmäßige Pflege bleibt jede Maßnahme nur eine Momentaufnahme.

Noch einmal als Hinweis: Das ist eine praktische Orientierung, keine Rechtsberatung. Wenn du wissen möchtest, wie deine Software in Bezug auf diese Anforderungen aufgestellt ist, melde dich gern. Wir schauen gemeinsam, wo dein System solide steht und wo es sinnvoll ist, nachzubessern.