-
» Herausragend «
Mit der NIS-2-Richtlinie, der DORA-Verordnung und dem Cyber Resilience Act hat die Europäische Union ein umfassendes Regelwerk geschaffen, das ein einheitliches Cybersicherheitsniveau gewährleisten soll. Hintergrund ist die steigende Zahl von Angriffen, die kritische Infrastrukturen, Lieferketten und ganze Wirtschaftszweige bedrohen. Ziel des Gesetzgebers ist es, Verbindlichkeit, Durchsetzungsfähigkeit und Managementverantwortung sicherzustellen. Unternehmen aller Größen sind verpflichtet, ihre IT-Systeme, Prozesse und Lieferketten auf ein höheres Sicherheitsniveau zu bringen.
Die NIS-2-Richtlinie ersetzt die erste NIS-Richtlinie aus dem Jahr 2016 und erweitert den Anwendungsbereich erheblich. Betroffen sind nun 18 Sektoren, darunter Energie, Transport, Banken, Gesundheitswesen, öffentliche Verwaltung, Postdienste, Abfallwirtschaft und Hersteller kritischer Produkte. Einrichtungen werden in „wesentliche“ und „wichtige“ unterteilt, wobei beide Kategorien Mindestanforderungen erfüllen müssen.
Zu den zentralen Verpflichtungen zählen der Aufbau eines umfassenden Risikomanagementsystems, das technische, organisatorische und prozessuale Maßnahmen vereint, strikte Meldepflichten für Sicherheitsvorfälle innerhalb von 24 Stunden mit abschließender Dokumentation nach einem Monat, eine ausdrückliche Managementhaftung mit Bußgeldern bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes sowie die Pflicht zur Sicherung der Lieferketten, die auch vertragliche Anpassungen und Auditmöglichkeiten umfasst.
Während NIS-2 sektorenübergreifend wirkt, richtet sich die DORA-Verordnung gezielt an den Finanzsektor. Sie soll die digitale Resilienz von Banken, Versicherungen, Wertpapierfirmen und weiteren Finanzakteuren stärken.
Zentrale Elemente sind die Einrichtung eines IKT-Risikomanagements, das eng mit der Unternehmensstrategie verzahnt sein muss, die Einführung einheitlicher Meldepflichten für schwerwiegende Zwischenfälle mit klaren Kriterien und abgestuften Prozessen sowie die Pflicht zu regelmäßigen Tests. Besonders bedeutsam ist die Einführung der Threat-Led Penetration Tests, bei denen realistische Angriffsszenarien unter Aufsicht durchgeführt werden.
Ein wesentlicher Fortschritt ist die Regulierung von IKT-Drittanbietern. Kritische Dienstleister wie Cloud-Anbieter unterliegen künftig direkter Aufsicht, die bis zu vertraglichen Eingriffen durch Behörden reichen kann. Damit wird eine Lücke geschlossen, die bislang erhebliche Risiken für die Stabilität des Finanzsystems darstellte.
Der Cyber Resilience Act ergänzt die beiden anderen Instrumente, indem er die Produktsicherheit digitaler Güter reguliert. Hersteller und Händler sind verpflichtet, Sicherheitsaspekte während des gesamten Lebenszyklus eines Produkts zu berücksichtigen. Vorgeschrieben sind Sicherheits-Updates und transparente Dokumentation. Bußgelder orientieren sich an den Maßstäben der DSGVO.
Besonders relevant ist die Verknüpfung mit dem Binnenmarkt: Nur Produkte, die die Anforderungen erfüllen, dürfen künftig in der EU vertrieben werden. Cybersicherheit wird damit zu einem zentralen Kriterium des Marktzugangs.
Die drei Rechtsakte sind nicht isoliert zu betrachten, sondern bilden ein komplexes Zusammenspiel. Unternehmen sehen sich mit parallelen Pflichten konfrontiert, die harmonisiert werden müssen, um Doppelregulierungen und Widersprüche zu vermeiden. Besonders deutlich wird dies bei der Überschneidung von DSGVO, NIS-2 und DORA, da Datenschutz- und Cybersicherheitsverstöße häufig ineinandergreifen. Notwendig sind Compliance-Strukturen, die beide Bereiche integrieren.
Allen drei Regelwerken gemeinsam ist die Stärkung der Rolle des Managements. Cybersicherheit wird zur Pflichtaufgabe der Unternehmensführung. Vorstände und Geschäftsführer müssen Risiken kennen, Strategien genehmigen und deren Umsetzung überwachen. Sie sind verpflichtet, Cyberkompetenz aufzubauen, Schulungen zu absolvieren und sich persönlich einzubringen. IT-Sicherheit darf nicht länger isoliert in der Technikabteilung verbleiben, sondern muss in die Gesamtstrategie integriert werden.
Ein weiterer Aspekt ist die Verbindung zu ESG-Reporting. Investoren und Aufsichtsbehörden erwarten zunehmend, dass Unternehmen ihre Maßnahmen zur digitalen Resilienz offenlegen. Cybersicherheit wird damit ein Faktor für Good Governance und hat direkten Einfluss auf die Unternehmensbewertung.
Für die Praxis ergeben sich daraus erhebliche Anpassungspflichten. Notwendig sind interdisziplinäre Cybersecurity-Komitees, die Recht, IT, Compliance und Management vereinen, die Entwicklung und Erprobung von Incident-Response-Plänen mit technischen und kommunikativen Elementen, regelmäßige Schulungen auf allen Ebenen, die Integration von Cybersicherheit in bestehende Compliance-Systeme – etwa in Verbindung mit Geldwäsche- und Sanktionsprävention – sowie eine kontinuierliche Überprüfung der Lieferkette, um Risiken durch externe Partner zu minimieren.
NIS-2, DORA und der Cyber Resilience Act markieren einen Wendepunkt der europäischen Cyberregulierung. Unternehmen müssen ihre Sicherheitsarchitektur professionalisieren und strukturell neu verankern. Cybersicherheit ist keine Randfrage mehr, sondern eine zentrale Compliance-Pflicht mit unmittelbaren rechtlichen und wirtschaftlichen Konsequenzen. Wer die Anforderungen ernst nimmt, stärkt Rechtssicherheit und Vertrauen bei Investoren, Kunden und Behörden. Wer sie ignoriert, riskiert Bußgelder, persönliche Haftung und nachhaltige Reputationsschäden.