Zum Hauptinhalt springen
Kontakt
Welche Folgen hat die digitale Transformation für den Menschen? Laden Sie unsere Studie herunter
NIS2 und DORA: Kritische Regulierungen, die du nicht ignorieren darfst
In sozialen Netzwerken teilen

NIS2 und DORA: Kritische Regulierungen, die du nicht ignorieren darfst

Effie Bagourdi
Effie Bagourdi
Published on 18. November 2024
9 Min. Lesezeit
Effizientes Ticket-Management: Mitarbeitende arbeiten an Lösungen im Service Desk
Effie Bagourdi
Effie Bagourdi
Published on 18. November 2024
9 Min. Lesezeit
Die EU hat es sich zur Aufgabe gemacht, die digitale Resilienz zu stärken, um Unternehmen und Verbrauchende vor dem zunehmenden Risiko durch Cyberbedrohungen zu schützen. Teil dieser Bemühungen ist die Einführung von NIS2 (Network and Information Security Directive 2) und DORA (Digital Operational Resilience Act). Dabei handelt es sich um kritische Regulierungen für Unternehmen mit Sitz in der EU sowie für Firmen außerhalb der EU (wie Organisationen im Vereinigten Königreich), die den EU-Markt bedienen.
Idealerweise erfüllst du bereits die NIS2-Standards (die bereits in Kraft getreten sind), doch die Frist für die DORA-Compliance rückt immer näher. Um sicherzustellen, dass du bereit bist, werfen wir einen Blick darauf, warum Compliance weit über die rechtliche Verpflichtung hinaus wichtig ist, was du tun musst, um die Anforderungen zu erfüllen, und wie effektives IT-Service-Management (ITSM) dabei helfen kann.

Was du über NIS2 und DORA wissen musst

Was ist NIS2?

NIS2 erweitert den Geltungsbereich der ursprünglichen NIS-Richtlinie, um Sicherheitsstandards zu verschärfen und ein einheitliches Cybersicherheitsniveau in der gesamten EU zu schaffen. Sie verpflichtet Anbieter digitaler Dienste in „wesentlichen“ Sektoren (wie Gesundheitswesen, Energie, Verkehr, Finanzen und digitale Infrastruktur) sowie „wichtigen“ Sektoren (wie Postdienste und Abfallwirtschaft), robuste Maßnahmen zum Schutz kritischer Dienste zu ergreifen. Diese Maßnahmen betreffen die Reaktion auf Vorfälle, das Risikomanagement, die Sicherheit der Lieferkette und den Informationsaustausch.

Was ist DORA?

DORA konzentriert sich spezifisch auf den Finanzsektor. Die Verordnung verpflichtet Banken, Investmentfirmen, Zahlungsdienstleister und andere Finanzinstitute dazu, sicherzustellen, dass sie IT-gestützten Bedrohungen standhalten, darauf reagieren und sich davon erholen können. Zu den Maßnahmen gehören Cybersicherheit, Kontinuitätspläne und Reaktionsstrategien. Ein großer Schwerpunkt liegt auf dem Drittpartei-Risikomanagement – also der Sicherstellung, dass auch externe IT-Dienstleister dieselben hohen Standards erfüllen.

Wann treten NIS2 und DORA in Kraft?

NIS2 wurde 2022 von der EU verabschiedet. Bis Oktober 2024 mussten alle Mitgliedstaaten die Richtlinie in nationales Recht umsetzen (in Deutschland durch das NIS2-Umsetzungsgesetz) – sie ist also bereits in Kraft. DORA wurde ebenfalls 2022 verabschiedet und tritt am 17. Januar 2025 vollständig in Kraft. Bis zu diesem Datum müssen Finanzinstitute compliant sein.

Warum sind NIS2 und DORA so wichtig?

Die Priorisierung dieser Regulierungen ist kein „Nice-to-have“, sondern essenziell. Wenn du ein EU-Unternehmen bist oder ein Nicht-EU-Unternehmen, das Kunden in der EU bedient, gelten höchstwahrscheinlich einige dieser Vorschriften für deine Organisation.
Bei Compliance geht es nicht nur darum, Bußgelder zu vermeiden – obwohl Verstöße zu erheblichen Strafen und Betriebsbeschränkungen führen können. Es gibt viele weitere Gründe, sich an die Regeln zu halten:
  • Cybersicherheitsrisiken minimieren: Schütze dein Unternehmen vor Ransomware, Datenschutzverletzungen und Angriffen auf die Lieferkette.
  • Vertrauen bei Kunden und Stakeholdern aufbauen: Zeige dein Engagement für Sicherheit und Zuverlässigkeit.
  • Operative Resilienz stärken: Werde widerstandsfähiger gegen Störungen und Instabilitäten in der Lieferkette.
  • Wettbewerbsfähig bleiben: Compliance kann ein Differenzierungsmerkmal sein, das neue Partnerschaften ermöglicht.
  • Interne Prozesse optimieren: Implementiere Best Practices vom Service-Management bis zur Governance.
  • EU-weite Standards einhalten: Reduziere die Komplexität bei grenzüberschreitenden Aktivitäten.

So stellst du Compliance sicher

Der strategische Ansatz für Cybersicherheit und Risikomanagement hilft dir, deine Verpflichtungen zu erfüllen.

Für die NIS2-Compliance:

  1. Einstufung prüfen: Kläre, ob deine Organisation als „wesentlich“ oder „wichtig“ gilt.
  2. Risikomanagement-Framework: Implementiere Systeme zur Bedrohungserkennung und Vorfallsreaktion.
  3. Strukturierte Incident Response: Etabliere klare Rollen und Berichtsverfahren, die die engen NIS2-Zeitvorgaben einhalten.
  4. Lieferkettensicherheit: Überprüfe die Sicherheitspraktiken deiner Lieferanten.
  5. Schulungen: Trainiere dein Team im Bereich Bedrohungsbewusstsein.
  6. Informationsaustausch: Arbeite mit Branchenkollegen und Behörden zusammen, um Bedrohungsinformationen zu teilen.

Für die DORA-Compliance:

  1. Strategie für digitale Resilienz: Identifiziere IT-Risiken und erstelle Wiederherstellungspläne.
  2. Drittpartei-Risikomanagement: Überwache externe IT-Anbieter und setze DORA-Standards vertraglich durch.
  3. Überwachungssysteme: Etabliere Systeme zur rechtzeitigen Erkennung von Cybervorfällen.
  4. Resilienz-Tests: Führe Penetrationstests und Disaster-Recovery-Übungen durch.
  5. Verantwortlichkeiten klären: Benenne ein Team oder eine Person für die DORA-Compliance mit klaren Aufsichtsprozessen.
  6. Spezifisches Training: Schulung zu Risiken wie Phishing, Ransomware und Social Engineering.

Wie Service-Management die Compliance erleichtert

ITSM-Praktiken und -Tools (wie ITIL4) helfen dabei, einen systematischen Ansatz für den IT-Betrieb aufzubauen. Das macht es deutlich einfacher, die von den Regulierungen geforderten Sicherheits- und Berichtsstandards umzusetzen.
Ein Beispiel: Incident Management Sowohl NIS2 als auch DORA haben strikte Meldepflichten. ITSM-Frameworks helfen dir dabei:
  • Prozesse für das Vorfallsmanagement klar zu definieren.
  • Behörden fristgerecht gemäß den Vorschriften zu benachrichtigen.
  • Automatisierte Warnmeldungen bei Dienststörungen zu erhalten.
  • Wiederherstellungszeiten präzise vorherzusagen.

ITIL-Schulungspakete für moderne Unternehmen

Befähige deine Teams und lerne, wie du Incident-Management-Prozesse korrekt aufsetzt. Unsere ITIL-Schulungspakete sind ein zentraler Bestandteil deiner Strategie für die DORA- und NIS2-Compliance.
Mehr erfahren
Risikomanagement
Während NIS2 einen starken Schwerpunkt auf das Risikomanagement legt, fordert DORA eine umfassende digitale Resilienz. ITSM unterstützt dein Unternehmen dabei, regelmäßige Risikobewertungen durchzuführen und Frameworks für das Schwachstellenmanagement zu implementieren. So agierst du proaktiv und kannst potenzielle Sicherheitslücken identifizieren und schließen, bevor sie zu Compliance-Problemen werden.
Change Management
Sowohl NIS2 als auch DORA definieren zahlreiche Sicherheits- und Resilienz-Anforderungen, die durch Änderungen an IT-Services beeinflusst werden können. ITSM-Frameworks beinhalten Praktiken für das Change Management sowie lückenloses Tracking. So wird sichergestellt, dass Software-Updates oder Infrastruktur-Verbesserungen dokumentiert, getestet und kontrolliert implementiert werden. Dies minimiert das Risiko von Schwachstellen und Betriebsstörungen. Regulierungsbehörden können zudem ITSM-Tools nutzen, um Änderungen abzufragen, die zu Problemen geführt haben.
Governance und Rechenschaftspflicht
ITSM hilft dir dabei, eine klare Governance-Struktur für die Zuweisung und Nachverfolgung von Rollen und Verantwortlichkeiten zu entwickeln. Auf diese Weise werden alle Compliance-bezogenen Aufgaben effektiv übernommen, überprüft und auditiert. Dies unterstützt dich dabei, die in NIS2 und DORA verankerten Standards für Governance und Rechenschaftspflicht zu erfüllen. Zudem kannst du gegenüber den Aufsichtsbehörden nachweisen, dass die Kontrolle fest in deinem täglichen Betrieb und deiner Unternehmenskultur verankert ist.
Drittpartei-Management
Die NIS2- und DORA-Regulierungen gelten auch für deine Lieferkette. Daher benötigst du Prozesse zur Bewertung und Überwachung deiner IT-Dienstleister, um deren Compliance sicherzustellen. ITSM-Frameworks fördern das systematische Management dieser Drittparteien und helfen dir dabei, verbundene Risiken kontinuierlich zu überwachen und zu bewerten.
Mitarbeiterbewusstsein und Training
Die Förderung einer „Security-First“-Kultur ist für die Compliance unerlässlich. Erfreulicherweise setzen ITSM-Frameworks auf Personalschulungen und Wissensaustausch, um alle Beteiligten über Best Practices und Protokolle zur Sicherheit auf dem Laufenden zu halten. Dies dient dazu, die Einhaltung der Vorschriften in deinem gesamten Unternehmen zu standardisieren.
Bist du compliant?
Die Einhaltung neuer Regulierungen (und die Aufrechterhaltung der Compliance bei bestehenden) ist keine leichte Aufgabe. Doch mit einem effektiven Service-Management an deiner Seite steigen deine Erfolgschancen erheblich. Unsere ITSM- und ESM-Pakete unterstützen Unternehmen wie deines dabei, High-Velocity Service-Management-Lösungen und -Praktiken erfolgreich zu implementieren.
Mehr erfahren
Verfasst von
Effie Bagourdi
Effie Bagourdi
Head of Service Management Practice
With 15 year's experience in IT and service management, Effie is an ITIL4 professional with a track record in highly regulated industries such as banking. Leading our service management practice, Effie is passionate about leveraging AI to elevate customer experience.
ITSM