Die digitale Infrastruktur vieler Unternehmen steht 2026 unter erhöhtem regulatorischen Druck. Mit dem Digital Operational Resilience Act (DORA) und der aktualisierten Netz- und Informationssicherheitsrichtlinie NIS-2 hat die EU zwei Regelwerke geschaffen, die den Betrieb von IT-Systemen grundlegend neu definieren. Für IT-Entscheider und Systemkaufleute bedeutet dies: konkrete Pflichten, klare Fristen und operative Konsequenzen bei Nichterfüllung.
Was DORA und NIS-2 im Kern fordern
DORA gilt seit dem 17. Januar 2025 verbindlich für Finanzunternehmen und deren IKT-Drittdienstleister in der EU. Die Verordnung verpflichtet die Betroffenen, ein IKT-Risikomanagement aufzubauen, das Cyberangriffe, Systemausfälle und Drittanbieterrisiken systematisch erfasst. Dazu gehören die Protokollierung und Klassifizierung von IKT-Vorfällen, regelmäßige Resilienztests einschließlich TLPT (Threat-Led Penetration Testing bei systemrelevanten Instituten) sowie vertragliche Mindestanforderungen gegenüber Cloud-Anbietern und weiteren IKT-Dienstleistern.
NIS-2, in Deutschland mittels des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) transponiert, greift breiter. Insgesamt erfasst sie etwa 29.000 Unternehmen, die sich auf 18 Sektoren erstrecken: Energie, Gesundheit, Logistik und digitale Infrastruktur. Mittlere und große Unternehmen mit mindestens 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz können hiervon betroffen sein. Bei nachgewiesenen Verstößen haften die Geschäftsführungen persönlich.
Wer die DORA und NIS-2 Umsetzung in der IT strukturiert angeht, wird schnell erkennen, dass beide Regelwerke sich in den zentralen Punkten überschneiden, insbesondere in den Bereichen Incident Management und Umgang mit Zulieferern.
Drittanbieter-Risikomanagement als operativer Schwerpunkt
Entscheidendes Element beider Regelwerke ist die Absicherung der Lieferkette. DORA verpflichtet in Art. 28 ff. die Finanzunternehmen, alle wesentlichen IKT-Drittdienstleister einem strukturierten Verfahren zur Risikobewertung zu unterziehen. Dazu gehören Vertragsklauseln zu Zugriffsrechten, Auditrechten, Kündigungsmöglichkeiten im Falle von Systemausfällen sowie dokumentierte Exit-Strategien. NIS-2 schreibt in Art. 21 ebenfalls ausdrücklich ein Risikomanagement für direkte Zulieferer und Dienstleister vor. Laut einer Erhebung der Europäischen Agentur für Cybersicherheit (ENISA) sind mittlerweile 17 Prozent aller schwerwiegenden Cybervorfälle mit Lieferketten verbunden. Dies erklärt ihre steigende regulatorische Relevanz.
Konkret bedeutet das für IT-Systemkaufleute: Sie müssen die Lieferantenverträge auf ihre Konformität prüfen, Sicherheitsanforderungen schriftlich festhalten und entsprechende Prüfrechte vereinbaren. Einmalige Audits sind nicht ausreichend, stattdessen ist eine fortlaufende Überwachung der Beziehungen zu den Lieferanten erforderlich.
Meldepflichten, Fristen und Sanktionen
Beide Regelwerke setzen klare Meldefristen für IT-Sicherheitsvorfälle fest. DORA verlangt bei schwerwiegenden IKT-Vorfällen eine Erstmeldung innerhalb von vier Stunden nach der Klassifizierung, einen Zwischenbericht nach 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Die jeweilige nationale Aufsichtsbehörde ist zuständig, wobei in Deutschland die BaFin für den Finanzsektor verantwortlich ist.
Das NIS-2-Regelwerk folgt einem ähnlichen Muster: Eine Frühwarnung muss innerhalb von 24 Stunden erfolgen, gefolgt von einer Folgemeldung nach 72 Stunden. Unternehmen, die diesen Verpflichtungen nicht nachkommen, drohen Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent ihres weltweiten Jahresumsatzes bei bedeutenden Einrichtungen.
Die Entscheidung, ob ein Vorfall meldepflichtig ist, erfordert klar definierte interne Entscheidungsprozesse. Wer diese erst nach einem Vorfall etabliert, handelt nicht nur zeitverzögert, sondern setzt sich auch dem Vorwurf organisatorischer Mängel aus.
Qualifikationslücken im Team gezielt schließen
Die Implementierung regulatorischer Anforderungen dieser Dimension kann nicht alleine von externen Beratern gestemmt werden. Insbesondere in den IT-Abteilungen der mittleren Unternehmen wird häufig nur wenig oder gar kein spezialisiertes Wissen zu Prüfanforderungen, zu Kontrollrahmenwerken wie ISO 27001 oder TIBER-EU und zur rechtssicheren Dokumentation von Maßnahmen vorgehalten.
Zertifizierte Schulungen sind ein wirkungsvoller Weg, dieses Wissen intern zu entwickeln und nachhaltig zu verfestigen. So lassen sich Compliance-Kosten perspektivisch reduzieren und die Abhängigkeit von einmaligen Beratungsmandaten vermindern. Entscheider, die konkret handeln wollen, sollten sich die Seminarangebote zu diesen Regelwerken einmal näher ansehen.