glossaryDefinedTermmaschinenlesbar

NIS2-Richtlinie: Definition und rechtliche Bedeutung (AI Act / Data Act)

MenschMarkdown öffnen

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist der unionsrechtliche Rahmen für ein hohes gemeinsames Cybersicherheitsniveau. Sie erfasst „wesentliche" und „wichtige" Einrichtungen in kritischen Sektoren (Energie, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Trinkwasser u. a.) und verpflichtet sie zu Risikomanagement-Maßnahmen (Art. 21), Meldepflichten bei erheblichen Vorfällen (Art. 23, frühwarnend 24 h, ausführlich 72 h) und Aufsicht. NIS2 überlagert den AI Act dort, wo KI in kritische Infrastrukturen eingebettet ist (Anhang III Nr. 2 AI Act) oder KI-Vorfälle auch NIS2-Vorfälle sind. Die nationalen Umsetzungen (in Deutschland NIS2UmsuCG) konkretisieren die Pflichten. Schnittstellen: Cybersecurity-Pflichten aus Art. 15 AI Act decken sich mit NIS2; Vorfallsmeldungen (Art. 73 AI Act ↔ Art. 23 NIS2) sind kumulativ.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
gegenstand

Gegenstand und Anwendungsbereich

NIS2 (RL (EU) 2022/2555) ersetzt die ursprüngliche NIS-Richtlinie und erweitert erheblich den Anwendungsbereich. Erfasst sind „wesentliche Einrichtungen" und „wichtige Einrichtungen" in Sektoren wie Energie, Transport, Banken, Finanzmarkt, Gesundheit, Trinkwasser, digitale Infrastruktur, IT-Dienstleister, öffentliche Verwaltung, Raumfahrt. Ausgenommen: reine Telekommunikation (hat eigene Regeln), kleinste/mikro Einrichtungen (mit Ausnahmen). Die Pflichten: geeignete/verhältnismäßige technische/organisatorische Maßnahmen (Art. 21), Meldepflichten bei erheblichen Vorfällen (Art. 23), Management-Verantwortung, Schulung. Mitgliedstaaten müssen die Umsetzung bis Mitte Oktober 2024 national geregelt haben (in DE: NIS2UmsuCG).

schnittstellen

Schnittstellen zum AI Act

Zwei zentrale Schnittstellen: (1) KI in kritischen Infrastrukturen — wer als „wesentliche Einrichtung" hochrisiko-KI nach Anhang III Nr. 2 AI Act einsetzt, unterliegt sowohl Art. 8–15 AI Act als auch den NIS2-Risikomanagement-Pflichten (Art. 21). Die Cybersecurity-Anforderungen nach Art. 15 AI Act überschneiden sich mit NIS2-Art. 21. (2) Vorfallsmeldungen — ein KI-Vorfall kann zugleich ein NIS2-Vorfall sein (z. B. Cyberangriff auf KI-System in Krankenhaus). NIS2-Meldepflicht (Art. 23: frühwarnend 24 h, ausführlich 72 h, Abschlussbericht 1 Monat) und AI-Act-Meldepflicht (Art. 73) sind kumulativ. Eine konsolidierte Vorfall-Matrix ist für Betreiber kritischer Dienste unverzichtbar.

dsgvo querschnitt

Drei-Regime-Querschnitt (NIS2 + DSGVO + AI Act)

In der Praxis treten NIS2, DSGVO und AI Act häufig gemeinsam auf: eine KI-gestützte, personenbezogene, kritische Dienstleistung (z. B. KI-Diagnose im Krankenhaus) unterliegt allen drei. Eine Datenschutzverletzung kann NIS2-Vorfall und AI-Act-Vorfall zugleich sein — drei Meldepflichten (Art. 33 DSGVO 72 h, Art. 23 NIS2 gestaffelt, Art. 73 AI Act). Aufsichtlich wirken drei verschiedene Behörden parallel (Datenschutz, Cybersicherheits-Aufsicht, AI-Marktüberwachung). Eine integrierte Governance mit übergreifender Vorfall-Compliance, gemeinsamer Risikobewertung und abgestimmter Dokumentation ist die einzige praktikable Lösung. Für DACH-Unternehmen kritischer Sektoren ist der Drei-Regime-Querschnitt der Standardfall.

Sources

Quellen

FAQ

Häufige Fragen

Wen erfasst NIS2?

„Wesentliche" und „wichtige" Einrichtungen in kritischen Sektoren (Energie, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Trinkwasser u. a.) — Risikomanagement (Art. 21), Meldepflichten (Art. 23).

Wie überlappt NIS2 mit dem AI Act?

KI in kritischen Infrastrukturen unterliegt beiden (Art. 8–15 AI Act + Art. 21 NIS2). Cybersecurity-Anforderungen (Art. 15 AI Act) überschneiden sich; Vorfallsmeldungen sind kumulativ (Art. 73 ↔ Art. 23).

Was gilt bei einem Vorfall in kritischer KI?

Drei Meldepflichten kumulativ: Art. 33 DSGVO (72 h), Art. 23 NIS2 (gestaffelt), Art. 73 AI Act. Eine konsolidierte Vorfall-Matrix und abgestimmte Governance sind unverzichtbar.

KI-Compliance umsetzen

Du willst EU AI Act und Data Act praktisch umsetzen?

Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.

Jetzt beraten lassen
Related