Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Kraft. Für viele
Datenschutzbeauftragte trifft damit ein vertrautes Regime auf ein neues.
Art. 33 DSGVO und § 32 BSIG laufen ab dem Moment der Kenntniserlangung vom
Sicherheitsvorfall parallel, mit unterschiedlichen Fristen, Adressaten und
Inhaltspflichten. Wer den Erstreflex nicht eingeübt hat, verliert in den
ersten Stunden Substanz. Der Beitrag zeigt am Beispiel zweier aktueller
Schwachstellen, wie ein 72-Stunden-Ablaufplan aussieht, der beide Regime
sauber bedient. Eine gemeinsame Meldeplattform fordert die
Datenschutzkonferenz seit Juli 2025, ist Stand Mai 2026 aber nicht
implementiert.