NIS-2, DORA und CRA: Der regulatorische Dreiklang für IT-Sicherheit (Teil 2)

Bevor Verantwortliche in Aktionismus verfallen, sollten sie sich einen Überblick verschaffen und klären: Welche Regelwerke betreffen das Unternehmen konkret? Eine systematische Gap-Analyse zeigt, wo sie bereits gut aufgestellt sind, und wo Handlungsbedarf besteht.

Für NIS-2:

• Prüfung der Sektorzugehörigkeit und Unternehmensgröße
• Bewertung bestehender Cybersecurity-Maßnahmen
• Analyse der Governance-Strukturen

Für DORA:

• Bewertung bestehender Cybersecurity-Maßnahmen
• Analyse der Governance-Strukturen
• Drittanbieter-Abhängigkeiten kartieren
• Verträge mit Dienstleistern evaluieren und ggf. Ergänzungsverträge abschließen – hier macht die Aufsicht bereits erheblichen Druck

Für CRA:

• Produktportfolio auf digitale Elemente prüfen
• Entwicklungsprozesse auf Security-by-Design bewerten
• Vulnerability-Management-Prozesse etablieren
• Als Händler oder Importeur: Lieferanten evaluieren; wie wahrscheinlich ist, dass sie den CRA erfüllen können?

NIS-2 und DORA fordern eine starke Verankerung der Cybersecurity in der Unternehmensführung. Das bedeutet konkret:

• Board-Level Commitment: Die Geschäftsführung trägt explizite Verantwortung für Cybersecurity
• Klare Rollen und Verantwortlichkeiten: für alle sicherheitsrelevanten Prozesse
• Regelmäßige Berichterstattung: KPIs und Metriken für das Management

Der risikobasierte Ansatz steht im Zentrum aller drei Regelwerke. Unternehmen müssen ein strukturiertes Risikomanagement etablieren:

1. Identifikation: Systematische Erfassung aller Cyberrisiken (für das Unternehmen oder das Produkt)
2. Bewertung: Quantitative und qualitative Bewertungsmethoden
3. Behandlung: Gezielte Maßnahmen zur Risikominimierung
4. Monitoring: Kontinuierliche Überwachung der Risikolage

Strukturierte Meldepflichten erfordern professionelle Incident-Response-Prozesse.

Auch wenn das Unternehmen nicht direkt von den Regelwerken erfasst wird, kann es indirekt betroffen sein. Warum? Weil Kunden Compliance-Anforderungen an das Unternehmen weiterreichen werden. Auch als Behörde ist eine Betroffenheit möglich, denn die Bundesbehörden fallen unter NIS-2 und sie dürfen keinen unsicheren Zugriff auf ihre Systeme zulassen. Ein Beispiel dafür ist etwa die Kraftfahrzeugzulassung (i-Kfz).

NIS-2-Unternehmen werden verstärkt ihre Lieferanten auf Cybersecurity-Standards prüfen. Als IT-Dienstleister oder Technologielieferant sollten sich Unternehmen auf entsprechende Audits und Zertifizierungsanforderungen einstellen.

DORA-regulierte Finanzunternehmen müssen ihre kritischen IT-Drittdienstleister besonders streng überwachen. Wenn das Unternehmen Services für Banken, Versicherungen oder andere Finanzdienstleister anbietet, wird es automatisch in deren Compliance-Orbit gezogen. Hier sind auf Druck der Aufsichtsbehörde (BaFin) bereits erhebliche Anstrengungen zu beobachten.

CRA-betroffene Hersteller werden ihre Softwarekomponenten und Hardware-Zulieferer genauer unter die Lupe nehmen. Security-by-Design wird zur Anforderung an die gesamte Wertschöpfungskette. Eine besondere Herausforderung sind insbesondere in der eigenen Software verwendete open Source-Bibliotheken. Auch deren Sicherheit muss bis in die letzte Abhängigkeit sichergestellt sein.

Statt passiv auf Kundenanforderungen zu warten, können Unternehmen die regulatorischen Entwicklungen als Chance nutzen. Unternehmen, die frühzeitig hohe Cybersecurity-Standards implementieren, positionieren sich als vertrauensvolle Partner, die ihren Kunden durch passende Zertifizierungen viel Arbeit ersparen.

Bei der Umsetzung der regulatorischen Anforderungen werden Unternehmen wahrscheinlich externe Dienstleister einbinden. Dabei sind zusätzliche rechtliche Aspekte zu beachten.

DSGVO-Compliance in der Cloud

Die Datenschutz-Grundverordnung (DSGVO) bleibt parallel zu NIS-2, DORA und CRA relevant. Bei der Auswahl von Cloud-Diensten und externen IT-Dienstleistern ist zu beachten, dass es klare Regelungen für die Datenverarbeitung braucht, der Datenschutz als integraler Bestandteil der Systemarchitektur zu berücksichtigen ist und für Anbieter außerhalb der EU besondere Vorkehrungen erforderlich machen.

Cloud Act: Das transatlantische Dilemma

Der US-amerikanische Cloud Act ermöglicht US-Behörden den Zugriff auf Daten, die von US-Unternehmen verarbeitet werden – unabhängig vom Speicherort. Für regulierte Unternehmen kann dies problematisch werden. Dazu zählen potenzielle Konflikte zwischen US-Recht und EU-Regulierung, die schwierige Vereinbarkeit mit strengen Meldepflichten und das Bewerten alternativer Architekturen (europäische Cloud-Anbieter oder Hybrid-Modelle). Als Unternehmen muss man am Ende die Vertrauensfrage stellen: Wie sehr vertraut man darauf, dass US-Unternehmen sich im Zweifel für europäisches Recht entscheiden?

1. Bewertung der Lieferanten erweitern: potenzielle Dienstleister nicht nur technisch, sondern auch regulatorisch bewerten
2. Vertragliche Garantien: Klare Regelungen für Compliance und Datenschutz vereinbaren
3. Multi-Vendor-Strategien: Abhängigkeiten durch diversifizierte Anbieterstrukturen reduzieren
4. Exit-Strategien: Pläne für den Fall, dass Dienstleister die Anforderungen nicht mehr erfüllen

Statt jedes Regelwerk isoliert zu betrachten, braucht es eine integrierte Compliance-Strategie. Daher empfiehlt es sich, gemeinsame Fundamente zu schaffen. Dazu gehört ein einheitliches Risikomanagement als zentrales System für alle regulatorischen Anforderungen, harmonisierte Governance-Strukturen, die mehrere Regelwerke erfüllen und integrierte Monitoring-Systeme, die verschiedene Compliance-Bereiche abdecken.

Internationale Standards wie ISO 27001, NIST Cybersecurity Framework oder das BSI IT-Grundschutz-Kompendium können als gemeinsame Basis dienen.

Die regulatorische Landschaft mag komplex erscheinen, aber sie bietet auch Chancen. Unternehmen, die Cybersecurity als Mittel begreifen, sich strategisch besser zu positionieren , werden nicht nur compliant, sondern auch wettbewerbsfähiger.

Ganz unabhängig von regulatorischen Vorgaben: Viele Versicherungen verlangen bereits von ihren Versicherungsnehmern Maßnahmen zum Schutz vor Cyberangriffen. Beschäftigt man sich mit dem Thema ist klar, warum sie das tun. Schutzmaßnahmen verringern die auftretenden Schäden, und damit die Auszahlungssummen der Versicherungen, selbst wenn sie nicht in allen Fällen vor allen Schäden schützen. Und Versicherungen möchten die Auszahlungssummen gerne klein halten. Es geht am Ende oft gar nicht um Compliance, sondern es geht um Eigeninteresse wie etwa den Schutz des Unternehmens und der Arbeitsplätze. Der regulatorische Rahmen weist lediglich den Weg dahin.

Echte Cybersecurity-Resilienz entsteht nicht durch Regelwerke, sondern durch Menschen. Verantwortliche sollten im Unternehmen Awareness-Programme etablieren und regelmäßige Schulungen für alle Mitarbeitenden durchführen: Das Ziel ist, die Belegschaft für Cyberbedrohungen zu sensibilisieren. Darüber hinaus sollten sie regelmäßig Incident-Simulationen durchführen und den Ernstfall unter realistischen Bedingungen durchspielen. Dabei lassen sich die definierten Notfall-Prozesse prüfen und gegebenenfalls anpassen. Darüber hinaus sollten sie aber auch technische Maßnahmen einführen, und etwa den viel zitierten „Klick auf die E-Mail mit der Schadsoftware“ auch technisch unterbinden.

NIS-2, DORA und CRA sind nur der Anfang. Die europäische Regulierungslandschaft wird sich weiter entwickeln. Themen wie KI-Governance, quantensichere Verschlüsselung oder Extended Reality bringen neue Herausforderungen, die auch eine regulatorische Antwort erforderlich machen. Erkennbar sind auch bereits deutlich erweiterte Regelungen und Anforderungen für den Schutz von Kindern.

Die digitale Zukunft gehört den Unternehmen, die Sicherheit nicht als Kostenfaktor, sondern als Grundlage für nachhaltiges Wachstum verstehen. Unternehmen sollten die regulatorischen Anforderungen als Katalysator für eine robuste, resiliente und zukunftsfähige IT-Landschaft und verbesserte Sicherheit im ganzen Unternehmen nutzen. Denn am Ende des Tages geht es nicht nur um Compliance – es geht um Vertrauen. Und das ist unbezahlbar.