Aktuelles

IT-Compliance 2025: Warum NIS-2 & DORA keine Randthemen mehr sind

„Security by Design ist kein Wunschdenken mehr – sondern Pflicht.“

Die EU macht Ernst: Mit der NIS-2-Richtlinie und dem DORA-Gesetz rollt auf Unternehmen in Deutschland ein massives Regulierungs-Update zu. Und zwar nicht irgendwann, sondern jetzt.

Was ist NIS-2?

Die EU-NIS-2-Richtlinie (Network and Information Security) verpflichtet tausende Unternehmen, nicht nur aus der kritischen Infrastruktur, deutlich höhere IT-Sicherheitsstandards umzusetzen.

Neu:

  • Gilt ab 2025 auch für mittelgroße Unternehmen (ab 50 Mitarbeitende) in sensiblen Branchen
  • Erfordert technische & organisatorische Maßnahmen zur Cyberabwehr (z. B. Backup-, Patch- und Risiko-Management)
  • Verlangt Vorfallmeldungen binnen 24 Stunden
  • Verstöße können mit Millionenbußgeldern geahndet werden

Was ist DORA?

DORA – der Digital Operational Resilience Act – betrifft vor allem den Finanzsektor, darunter:

  • Banken, Versicherungen, FinTechs,
  • aber auch IT-Dienstleister, welche diese Branche bedienen.

Ziel: Alle Beteiligten müssen ihre digitale Resilienz so gestalten, dass kein IT-Ausfall die Finanzstabilität gefährdet. Und das schließt explizit Cloud-Anbieter, externe Dienstleister und Softwarelieferanten ein.

Warum das jetzt wichtig ist:

  • Viele Unternehmen unterschätzen, dass sie mittelbar betroffen sind – z. B. als IT-Zulieferer eines KRITIS-Betreibers.
  • Es reicht nicht, ein paar ISO-Zertifikate vorzulegen – gefragt ist gelebte Sicherheit.
  • Wer nicht vorbereitet ist, riskiert im Ernstfall Reputationsverlust, Haftung oder Marktverbot.

Was jetzt zu tun ist:

  1. Relevanz prüfen: Fällt mein Unternehmen unter NIS-2 oder DORA? Oder ein Kunde von mir?
  2. Gap-Analyse starten: Wo klaffen Lücken bei IT-Risiko-Management, Monitoring, Business Continuity?
  3. Maßnahmen priorisieren: Incident Response, Zugriffskontrollen, regelmäßige Audits
  4. Dokumentation & Awareness stärken: „Was nicht dokumentiert ist, existiert regulatorisch nicht.“
  5. Lieferkette einbinden: Denn DORA fragt auch: Wie sicher sind die Dritten, mit denen Du arbeitest?

Fazit:

IT-Sicherheit ist nicht länger nur Technik – sie ist juristische Verpflichtung und Führungsaufgabe.

NIS-2 und DORA zwingen Unternehmen, ihre IT-Strategie neu zu denken: weg vom „Absichern bei Gelegenheit“, hin zum strukturierten, resilienten Sicherheitsmanagement.

Weitere Beiträge

An den Anfang scrollen