Integrierter Notfallplan für IT-Sicherheit (NIS-2), Datenschutz (DSGVO) und KI – der Plan, der alles verbindet

Man mag es kaum glauben – aber NIS-2 nimmt wirklich Gestalt an. Der Bundestag hat das neue NIS-2-Umsetzungsgesetz verabschiedet. Aus der Theorie wird Praxis, und auch ich habe mittlerweile immer mehr Anfragen zum Thema auf dem Tisch. Was mit diesen Anfragen immer wieder verbunden ist: die Anforderungen an ein Incident-Response-Management. Und ein wichtiger Bestandteil davon ist – genau – ein dokumentierter und funktionierender Notfallplan.

Ich denke mir oft: Gut, dass wir heute (endlich) daran denken. Aber mein zweiter Gedanke ist fast immer: Schon wieder ein Notfallplan?

Haben wir nicht längst einen im Datenschutz? Oder in der IT-Sicherheit? Und wäre es nicht endlich an der Zeit, das themenübergreifend zu betrachten - als integrierten Notfallplan, der alles zusammenführt?

Denn aus einem IT-Sicherheitsvorfall kann schnell ein meldepflichtiger Datenschutzvorfall werden. Und wenn KI-Systeme eingesetzt werden, können auch dort Fehler oder fehlentscheidungen sicherheitsrelevant werden. Die Grenzen verschwimmen - die Anforderungen aber nicht.

Viele Unternehmen haben bereits mehrere Notfallpläne:

• einen für Datenschutz,
• einen für IT-Sicherheit,
• einen Krisenplan für die Geschäftsleitung –
• und manchmal noch einen für Kommunikation oder Lieferanten.

Das Ergebnis: mehrere verschiedene Dokumente, mit unterschiedlichen Ansprechpartnern und unterschiedlichen Aktualisierungsständen. Im Ernstfall führt das zu Chaos: Niemand weiß genau, welche Version gilt, und während eine Abteilung schon meldet, wartet die andere noch auf Freigabe. Ein integrierter Notfallplan löst dieses Problem.
 

Es gibt eine zentrale Struktur, einheitliche Zuständigkeiten und klare Abläufe - egal, ob der Auslöser ein IT-Vorfall, ein Datenschutzverstoß oder ein KI-Fehler ist. Das macht es nicht nur leichter, Notfälle zu bewältigen, sondern auch, regelmäßige Übungen durchzuführen und den Notfallplan aktuell zu halten. Denn anstatt mehrere Dokumente zu überarbeiten, aktualisiert man einfach einen Plan, der für alle Bereiche gilt.

Ein integrierter Notfallplan bringt alle relevanten Bereiche in einem einzigen Dokument zusammen. Er sorgt dafür, dass im Ernstfall nicht drei verschiedene Pläne geöffnet werden müssen, sondern jeder genau weiß, was zu tun ist – unabhängig davon, ob es sich um einen Datenschutz-, IT-Sicherheits- oder KI-Vorfall handelt.

Ein solcher integrierter Notfallplan:

• definiert klare Zuständigkeiten und Ansprechpartner über alle Bereiche hinweg
  (z.B. IT, DSB, ISB, KI-Verantwortliche, Geschäftsleitung)
• beschreibt eindeutig, was ein Vorfall überhaupt ist
  (z.B. technische Störungen, Datenpannen, Fehlfunktionen von KI-Systemen)
• legt fest, wie sich Mitarbeitende verhalten sollen
  – von der ersten Meldung über das Sichern von Beweisdaten bis hin zu Kommunikationsregeln
• bündelt alle relevanten Meldefristen
  • 72 Stunden nach DSGVO,
  • 24 Stunden nach NIS-2,
  • 2 bis 15 Tage nach KI-Act
• schafft klare Kommunikations- und Eskalationswege,
  sodass sofort ersichtlich ist, wer wann informiert werden muss

Damit wird der Notfallplan zu einer echten Sicherheits- und Compliance-Brücke zwischen Datenschutz, IT-Sicherheit und KI-Compliance. Er sorgt für Orientierung, reduziert Unsicherheiten und ermöglicht es dem Unternehmen, im Ernstfall ruhig, schnell und rechtssicher zu handeln.

Ein Notfallplan nützt wenig, wenn ihn niemand kennt. Es ist wie bei der Feuerwehr: Reine Theorie bringt nichts. Die Mitarbeitenden müssen wissen, was sie wann tun sollen – und das geht nur,
wenn Abläufe regelmäßig geübt und besprochen werden. Mit einem integrierten Notfallplan wird das deutlich einfacher: Man übt einheitlich, mit einem Dokument, einer Struktur und klaren Zuständigkeiten. So wissen im Ernstfall alle, was zu tun ist – und handeln ruhig, sicher und koordiniert.

Ein Notfallplan ist kein Dokument für den Ordner. Er ist ein Werkzeug - und im Ernstfall Gold wert. Wer ihn integriert denkt, regelmäßig übt und auch offline verfügbar hält, handelt nicht nur gesetzeskonform, sondern schützt aktiv das Unternehmen - wenn es wirklich darauf ankommt.