Welche Rechtsgrundlage greift, wenn personenbezogene Daten verarbeitet werden zur Umsetzung von gesetzlichen Pflichten, bevor die entsprechenden Gesetze gelten? Müssen zur Erfüllung gesetzlicher Pflichte technische und organisatorische Maßnahmen ergriffen werden, werde diese typischerweise zeitlich vor dem Anwendungsbeginn der gesetzlichen Regelung implementiert, damit die gesetzliche Pflicht von Anfang erfüllt wird. Das gilt insbesondere bei Pflichten der Cyber- und IT-Sicherheit. Die Maßnahmen zur Erfüllung der DORA können nicht erst am Tag des Anwendungsbeginns erstmals gestartet werden. Dasselbe gilt für die Umsetzung der Pflichten aus der NIS-2-Richtlinie. Der Podcast geht der Frage nach, welche Rechtsgrundlagen anzuwenden sind und greift Besonderheiten der Umsetzung der NIS-2-Richtlinie auf.