NIS2-Richtlinie: Definition und rechtliche Bedeutung (AI Act / Data Act)
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist der unionsrechtliche Rahmen für ein hohes gemeinsames Cybersicherheitsniveau. Sie erfasst „wesentliche" und „wichtige" Einrichtungen in kritischen Sektoren (Energie, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Trinkwasser u. a.) und verpflichtet sie zu Risikomanagement-Maßnahmen (Art. 21), Meldepflichten bei erheblichen Vorfällen (Art. 23, frühwarnend 24 h, ausführlich 72 h) und Aufsicht. NIS2 überlagert den AI Act dort, wo KI in kritische Infrastrukturen eingebettet ist (Anhang III Nr. 2 AI Act) oder KI-Vorfälle auch NIS2-Vorfälle sind. Die nationalen Umsetzungen (in Deutschland NIS2UmsuCG) konkretisieren die Pflichten. Schnittstellen: Cybersecurity-Pflichten aus Art. 15 AI Act decken sich mit NIS2; Vorfallsmeldungen (Art. 73 AI Act ↔ Art. 23 NIS2) sind kumulativ.
Steve Baka
Gegenstand und Anwendungsbereich
NIS2 (RL (EU) 2022/2555) ersetzt die ursprüngliche NIS-Richtlinie und erweitert erheblich den Anwendungsbereich. Erfasst sind „wesentliche Einrichtungen" und „wichtige Einrichtungen" in Sektoren wie Energie, Transport, Banken, Finanzmarkt, Gesundheit, Trinkwasser, digitale Infrastruktur, IT-Dienstleister, öffentliche Verwaltung, Raumfahrt. Ausgenommen: reine Telekommunikation (hat eigene Regeln), kleinste/mikro Einrichtungen (mit Ausnahmen). Die Pflichten: geeignete/verhältnismäßige technische/organisatorische Maßnahmen (Art. 21), Meldepflichten bei erheblichen Vorfällen (Art. 23), Management-Verantwortung, Schulung. Mitgliedstaaten müssen die Umsetzung bis Mitte Oktober 2024 national geregelt haben (in DE: NIS2UmsuCG).
Schnittstellen zum AI Act
Zwei zentrale Schnittstellen: (1) KI in kritischen Infrastrukturen — wer als „wesentliche Einrichtung" hochrisiko-KI nach Anhang III Nr. 2 AI Act einsetzt, unterliegt sowohl Art. 8–15 AI Act als auch den NIS2-Risikomanagement-Pflichten (Art. 21). Die Cybersecurity-Anforderungen nach Art. 15 AI Act überschneiden sich mit NIS2-Art. 21. (2) Vorfallsmeldungen — ein KI-Vorfall kann zugleich ein NIS2-Vorfall sein (z. B. Cyberangriff auf KI-System in Krankenhaus). NIS2-Meldepflicht (Art. 23: frühwarnend 24 h, ausführlich 72 h, Abschlussbericht 1 Monat) und AI-Act-Meldepflicht (Art. 73) sind kumulativ. Eine konsolidierte Vorfall-Matrix ist für Betreiber kritischer Dienste unverzichtbar.
Drei-Regime-Querschnitt (NIS2 + DSGVO + AI Act)
In der Praxis treten NIS2, DSGVO und AI Act häufig gemeinsam auf: eine KI-gestützte, personenbezogene, kritische Dienstleistung (z. B. KI-Diagnose im Krankenhaus) unterliegt allen drei. Eine Datenschutzverletzung kann NIS2-Vorfall und AI-Act-Vorfall zugleich sein — drei Meldepflichten (Art. 33 DSGVO 72 h, Art. 23 NIS2 gestaffelt, Art. 73 AI Act). Aufsichtlich wirken drei verschiedene Behörden parallel (Datenschutz, Cybersicherheits-Aufsicht, AI-Marktüberwachung). Eine integrierte Governance mit übergreifender Vorfall-Compliance, gemeinsamer Risikobewertung und abgestimmter Dokumentation ist die einzige praktikable Lösung. Für DACH-Unternehmen kritischer Sektoren ist der Drei-Regime-Querschnitt der Standardfall.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.
Digital Services Act (VO (EU) 2022/2065) — EUR-LexAmtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.
Data Governance Act (VO (EU) 2022/868) — EUR-LexAmtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.
Vorschlag AI Liability Directive (COM(2022)496)Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland.
Häufige Fragen
Wen erfasst NIS2?
„Wesentliche" und „wichtige" Einrichtungen in kritischen Sektoren (Energie, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Trinkwasser u. a.) — Risikomanagement (Art. 21), Meldepflichten (Art. 23).
Wie überlappt NIS2 mit dem AI Act?
KI in kritischen Infrastrukturen unterliegt beiden (Art. 8–15 AI Act + Art. 21 NIS2). Cybersecurity-Anforderungen (Art. 15 AI Act) überschneiden sich; Vorfallsmeldungen sind kumulativ (Art. 73 ↔ Art. 23).
Was gilt bei einem Vorfall in kritischer KI?
Drei Meldepflichten kumulativ: Art. 33 DSGVO (72 h), Art. 23 NIS2 (gestaffelt), Art. 73 AI Act. Eine konsolidierte Vorfall-Matrix und abgestimmte Governance sind unverzichtbar.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.