NIS2 zeigt Zähne: Was die Richtlinie für KI-Datenverarbeitung bedeutet

NIS2 in 30 Sekunden

Die NIS2-Richtlinie ((EU) 2022/2555) ersetzt die ursprüngliche NIS-Richtlinie und gilt für zwei Stufen von Organisationen in 18 Sektoren: wesentliche Einrichtungen (Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung, Weltraum) und wichtige Einrichtungen (Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Herstellung von Medizinprodukten und Elektronik, digitale Anbieter, Forschung). Die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit für die Umsetzung. Mehrere haben diese Frist gerissen. Deutschland verabschiedete das NIS2UmsuCG erst Anfang 2025, mit dem BSI als zentraler Meldestelle und Aufsichtsbehörde. Frankreich setzte über die loi de résilience um. Spanien schaffte es per Real Decreto-ley fristgerecht. Belgien, die Niederlande, Polen und Irland gehörten zu den Nachzüglern. Die Kommission leitete im November 2024 Vertragsverletzungsverfahren ein.

Eine späte nationale Umsetzung schützt nicht: Die Richtlinie selbst ist seit Oktober 2024 bindend, und die Aufsichtsbehörden schreiben bereits ihre Vollzugshandbücher. KI-getriebene Datenabflüsse fallen vollständig unter die neuen Meldepflichten, und die meisten Sicherheitsteams haben sie noch nicht modelliert.

Wer wirklich betroffen ist

Zwei Schwellen zählen. Die Größenregel: Jede Organisation mit mehr als 50 Beschäftigten oder mehr als 10 Mio. € Jahresumsatz in einem abgedeckten Sektor ist standardmäßig im Geltungsbereich. Damit ist der gesamte gehobene Mittelstand erfasst, der NIS bisher nur bei KRITIS verortet hatte. Die sektorale Pflichtregel: Bestimmte Digitalanbieter sind unabhängig von der Größe erfasst. Jeder DNS-Anbieter, jede TLD-Registry, jeder Cloud-Anbieter, jeder Rechenzentrumsbetreiber, jedes CDN, jeder MSP und jeder MSSP fällt unter NIS2 — egal wie klein. Ein 12-köpfiger MSP in Köln ist betroffen. Eine kleine Cybersecurity-Beratung in München auch.

Wer KI-Tools für einen erfassten Kunden im Rahmen eines Managed-Services-Vertrags betreibt, erbt Meldepflichten für Vorfälle in diesem Perimeter. Viele KI-Integratoren erfahren das erst im Ernstfall.

Der Meldezeitplan, der alle auf dem falschen Fuß erwischt

NIS2 führt eine dreistufige Uhr für jeden erheblichen Sicherheitsvorfall ein. Wer eine Stufe verpasst, ist exponiert.

Die 24-Stunden-Uhr beginnt in dem Moment, in dem die Organisation Kenntnis vom Vorfall erlangt, nicht in dem Moment, in dem er passiert. Die Unterscheidung wiegt schwer, wenn der Vorfall ein Vertriebsmitarbeiter ist, der freitags um 23:14 Uhr eine Kundenliste in ChatGPT einfügt. Erkennt Ihre DLP ihn am Montag um 09:00 Uhr, startet Ihre 24-Stunden-Uhr um 09:00 Uhr. Haben Sie keine DLP und erfahren es drei Wochen später durch eine Kundenbeschwerde, erwarten Sie unangenehme Fragen zum Reifegrad Ihrer Detektion.

Was als erheblicher Sicherheitsvorfall bei KI-Datenverarbeitung gilt

Die Richtlinie definiert den erheblichen Sicherheitsvorfall über die Auswirkung, nicht über den Mechanismus. Erheblich ist ein Vorfall, wenn er eine schwere Betriebsstörung, finanziellen Verlust oder einen erheblichen materiellen oder immateriellen Schaden für andere Personen verursacht hat oder verursachen kann. Bei KI-Leaks überschreiten drei Muster zuverlässig die Schwelle:

• Personenbezogene Daten von mehr als 100 Personen, die die Kontrolle der Organisation verlassen — eine in Claude eingefügte Kunden-CSV, ein an einen Drittanbieter-Summarizer übergebenes Support-Transkript. Dies löst parallel die 72-Stunden-Meldung nach Art. 33 DSGVO an die zuständige Aufsichtsbehörde (BfDI oder Landesdatenschutzbeauftragte) aus.
• Vertrauliche Geschäftsdaten mit operativen oder finanziellen Auswirkungen — Preismodelle, M&A-Unterlagen, Quellcode produktiver Systeme, Vorstandsprotokolle — die den Perimeter über ein KI-Werkzeug verlassen, ob freigegeben oder nicht.
• Zugangsdaten, die weitere Kompromittierungen ermöglichen — API-Schlüssel, JWTs, Datenbankverbindungszeichenketten, private Schlüssel, OAuth-Token — exfiltriert in einen LLM-Prompt, dessen Anbieter-Logs nun außerhalb Ihrer Reichweite liegen.

Ein konkretes Beispiel: Eine Mitarbeiterin der Finanzabteilung fügt 500 Kundendatensätze in ChatGPT ein, um sich einen Bericht umformatieren zu lassen. Das ist ein erheblicher Sicherheitsvorfall nach NIS2, eine Verletzung des Schutzes personenbezogener Daten nach DSGVO und sehr wahrscheinlich eine Vertragsverletzung gegenüber den betroffenen Kunden. Drei Regime, ein einziges Einfügen.

Welche Nachweise die Aufsicht verlangen wird

Die CSIRTs nähern sich einem standardisierten Beweispaket für KI-bezogene Vorfälle an. Rechnen Sie damit, Folgendes vorlegen zu müssen:

1. Zeitstempel des Prompts und der Detektion, mit Zeitzone.
2. Nutzeridentität und Authentifizierungskontext (SSO-Sitzung, Gerät, Geolokalisierung).
3. Zielwerkzeug — war es ChatGPT, Claude, Gemini, Copilot, Perplexity, Mistral, DeepSeek oder ein nicht genehmigtes Schatten-Tool?
4. Geschwärzte Vorschau des abgeflossenen Inhalts — üblicherweise die ersten 200 Zeichen mit maskierten PII, gerade genug zur Charakterisierung des Datentyps.
5. Datenklassifizierung — credit_card, IBAN, Steuer-ID, api_key, password, JWT, source_code usw.
6. Ergriffene Maßnahme — blockiert, anonymisiert, nur überwacht.
7. Umfangbewertung — wie viele Datensätze, welche Betroffenen, welcher Drittverarbeiter hält die Daten nun.
8. Eindämmung — Zugangsdaten rotiert, Kunden benachrichtigt, Auftragsverarbeiter zur Löschung kontaktiert.

Das Vorfalls-Log von Zeuslock wurde gegen genau diese Liste entworfen. Jedes Ereignis in der Operator-Konsole auf app.zeuslock.ai erfasst diese Felder standardmäßig und exportiert sich als eine einzige CSV-Datei, die eins zu eins auf die CSIRT-Vorlage abbildet. Wenn die Aufsicht zur 72-Stunden-Marke Nachweise verlangt, sollten Sie sie nicht von Grund auf neu schreiben.

Wer den Bericht einreicht und wie der Ablauf läuft

NIS2 benennt keine einzelne Rolle, aber die Praxis konvergiert auf eine Triade: Der CISO verantwortet den technischen Bericht, der Datenschutzbeauftragte bearbeitet die parallele DSGVO-Meldung, wenn personenbezogene Daten betroffen sind, und die Rechtsabteilung prüft die Haftungsexposition vor dem Einreichen. Im Hintergrund geht der Bericht an das nationale CSIRT.

• Deutschland: BSI empfängt Meldungen über das Meldeportal unter dem nun durch NIS2UmsuCG erweiterten IT-SiG-Rahmen. CERT-Bund agiert operativ.
• Frankreich: ANSSI betreibt CERT-FR; die Meldung läuft über das Portal MonServiceSécurisé.
• Spanien: INCIBE-CERT für nicht-kritische Sektoren, CCN-CERT für die öffentliche Verwaltung.
• Niederlande, Belgien, Italien: NCSC-NL, CCB CERT.be, CSIRT Italia.
• Das Vereinigte Königreich ist nach dem Brexit außerhalb des Geltungsbereichs, betreibt aber unter den NIS Regulations 2018 ein paralleles Regime mit NCSC und ICO.

Hat der Vorfall grenzüberschreitende Auswirkungen — eine deutsche Organisation verliert Daten französischer Einwohner an ein in den USA gehostetes LLM — informiert das federführende CSIRT die Schwesterbehörden über das EU-CyCLONe-Netzwerk. Sie melden einmal, an Ihr federführendes CSIRT, müssen aber mit Rückfragen aus anderen Mitgliedstaaten rechnen.

Sanktionen und persönliche Haftung

Die Schlagzeilenzahlen sind leicht zu finden, aber wert, wiederholt zu werden, denn sie sind deutlich gestiegen:

Die größere Änderung steckt in Artikel 32. Erstmals auf EU-Ebene begründet NIS2 ausdrücklich die persönliche Haftung der Leitungsorgane. Geschäftsführung und leitende Angestellte können persönlich für Versäumnisse bei der Umsetzung von Cyberrisikomanagement-Maßnahmen haftbar gemacht werden. Mitgliedstaaten können Führungskräfte von Leitungsfunktionen suspendieren und individuelle Bußgelder verhängen. Deshalb fragt Ihre Geschäftsleitung in jeder Quartalsrunde plötzlich nach KI-Datenabflüssen. Das ist keine Paranoia. Sie liest die Richtlinie.

Was Sie dieses Quartal tun sollten

Wenn Sie nichts anderes tun, dann diese drei Dinge vor Abschluss des nächsten Quartals.

1. Inventarisieren Sie Ihre KI-Oberfläche. Listen Sie jedes KI-Werkzeug auf, das in der Organisation genutzt wird, genehmigt und Schatten-IT. ChatGPT, Claude, Gemini, Copilot, Cursor, Aider, Claude Code, Copilot CLI, DeepSeek, interne RAG-Pipelines, MCP-verbundene Agenten. Eine Browser-Erweiterung von Zeuslock plus ein Desktop-Agent plus die Zeuslock-CLI für Entwickler-Terminals fördern in zwei Wochen Telemetrie rund 95 % davon zutage. Was Sie nicht sehen, können Sie nicht melden.
2. Bauen Sie eine Incident-Pipeline, die innerhalb von 24 Stunden auslöst. Detektion → Triage → CSIRT-Meldung muss ein einziger Workflow mit benanntem Verantwortlichen und Stellvertretung sein. Webhook der DLP an Slack und PagerDuty mit HMAC-Verifikation, erhebliche Vorfälle in einen dedizierten Kanal routen und die BSI-Vorlage aus dem Vorfalls-Log vorausfüllen. Den Pfad end-to-end üben. Wenn Ihr erster Trockenlauf 36 Stunden dauert, haben Sie ein 24-Stunden-Problem.
3. Spielen Sie ein Tabletop zu einem Prompt-Leak. Einmal pro Quartal ein Szenario, in dem ein Sales Engineer freitags um 22:30 Uhr eine Kundentabelle mit 2.000 Zeilen in Gemini einfügt. Recht, Datenschutzbeauftragter, CISO und ein Kommunikationsverantwortlicher am Tisch. Entwerfen Sie die BSI-Frühwarnung. Entwerfen Sie die DSGVO-Meldung nach Art. 33. Entwerfen Sie die Kundenbenachrichtigung. Stoppen Sie die Zeit. Das erste Mal im Ernstfall sollte nicht das tatsächliche Ereignis sein.

NIS2 wird nicht sanft durchgesetzt. Die erste Welle von Sanktionen trifft bereits in Deutschland und den Niederlanden Organisationen, die unter dem Vorgängerregime Meldepflichten verletzten. Nehmen Sie die 24-Stunden-Uhr ernst, gestalten Sie Ihre KI-Datenverarbeitung um sie herum und halten Sie ein Beweispaket bereit, das Sie der Aufsicht am Morgen danach um 09:00 Uhr ohne Bauchschmerzen übergeben würden.