Angesichts zunehmend komplexer Cybersecurity-Bedrohungen ist es unerlässlich, zentrale EU-Regulierungen zu verstehen und sich frühzeitig darauf vorzubereiten.
Dieser Artikel beleuchtet den Digital Operational Resilience Act (DORA) sowie die NIS-2-Richtlinie und analysiert deren Anforderungen, die betroffenen Sektoren sowie die Auswirkungen auf Organisationen, die Compliance sicherstellen und ihre operative Sicherheit gewährleisten wollen.
DORA und NIS2 verstehen: Die regulatorische Landschaft
DORA ist speziell auf den Finanzsektor ausgerichtet und verfolgt das Ziel, dessen Widerstandsfähigkeit gegenüber IKT-Störungen zu stärken. Der Schwerpunkt liegt auf einem umfassenden Risikomanagement, strukturierten Meldeprozessen für Vorfälle sowie der Überwachung von IKT-Drittanbietern. Finanzunternehmen wie Banken, Versicherungen und Investmentgesellschaften müssen strenge Anforderungen an ihre IKT-Resilienz erfüllen.
NIS2 hingegen verfolgt einen breiteren Ansatz und erfasst verschiedene kritische Sektoren, darunter Energie, Verkehr, öffentliche Gesundheit und digitale Infrastrukturen. Ziel ist es, die Sicherheit von Netz- und Informationssystemen zu erhöhen und sicherzustellen, dass diese essenziellen Bereiche Cybervorfällen standhalten und angemessen darauf reagieren können.
Zentrale Anforderungen und Unterschiede
Zentrale Anforderungen von DORA:
- IKT-Risikomanagement:
Unternehmen müssen ein robustes System zur Identifizierung und Minderung von Risiken implementieren, einschließlich regelmäßiger Sicherheitstests und Audits. - Meldung von Vorfällen:
Die fristgerechte Meldung erheblicher IKT-Vorfälle an die zuständigen Behörden ist verpflichtend. - Überwachung von Drittparteirisiken:
Organisationen müssen Risiken durch IKT-Drittanbieter steuern und sicherstellen, dass Verträge strenge Sicherheitsklauseln enthalten. - Resilienztests:
Finanzinstitute sind verpflichtet, Tests – einschließlich bedrohungsorientierter Penetrationstests – durchzuführen, um ihre Abwehrmechanismen zu bewerten und zu stärken.
Zentrale Anforderungen von NIS2:
- Sektoraler Anwendungsbereich:
NIS2 gilt für wesentliche und wichtige Einrichtungen in Bereichen wie öffentlicher Verwaltung, Gesundheitswesen, Energie und digitalen Diensten. - Sicherheit der Lieferkette:
Ein besonderer Schwerpunkt liegt auf der Bewertung und Absicherung von Drittanbietern und Partnern innerhalb der Lieferkette. - Verantwortung der Unternehmensleitung:
Bei Nichteinhaltung drohen rechtliche Konsequenzen für Führungskräfte, was die aktive Einbindung des Managements in die Überwachung von Cybersecurity-Maßnahmen erforderlich macht.
NIS 2
Sanktionen und Compliance-Herausforderungen
Bußgelder und Konsequenzen:
- NIS2:
Nicht konforme wesentliche Einrichtungen können mit Geldbußen von bis zu 10 Millionen Euro oder 2 % ihres weltweiten Jahresumsatzes belegt werden. Für wichtige Einrichtungen können Bußgelder von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes verhängt werden. - DORA:
Während die konkrete Ausgestaltung der Sanktionen den nationalen Behörden überlassen bleibt, sieht DORA vor, dass Geldbußen für kritische IKT-Drittanbieter bis zu 1 % ihres durchschnittlichen täglichen weltweiten Umsatzes betragen können.
Ihr Ansprechpartner
Natalia Petrova-Korudzhiyski
Senior Business Consultant • BU Security & Safety
Ihr Ansprechpartner
Ayhan Mehmed
Lead Business Consultant • BU Security & Safety
Herausforderungen für Organisationen
- Finanzieller Aufwand:
Die Einhaltung von DORA und NIS2 erfordert erhebliche Investitionen in Cybersecurity-Technologien, Prozesse und Schulungen. - Komplexität der Umsetzung:
Unternehmen müssen bestehende Frameworks und Strukturen an die neuen regulatorischen Anforderungen anpassen, was umfassende Audits und organisatorische Anpassungen notwendig macht. - Fachkräftemangel:
Die steigende Nachfrage nach qualifizierten Cybersecurity-Experten erhöht den Druck auf Unternehmen, insbesondere in Branchen, die durch NIS2 erstmals erfasst werden.
Strategische Schritte zur Compliance
- Durchführung einer umfassenden Gap-Analyse:
Bewerten Sie bestehende Cybersecurity-Strukturen und -Prozesse, um Verbesserungsbedarf zu identifizieren. Dieser grundlegende Schritt ermöglicht es, Maßnahmen gezielt an die spezifischen Anforderungen von DORA und NIS2 anzupassen. - Stärkung der Incident-Response-Prozesse:
Definieren Sie klare Rollen, Kommunikationswege und Eskalationsverfahren. Regelmäßige Simulationen und Übungen erhöhen die Reaktionsfähigkeit und Vorbereitung der Teams. - Sicherung der Lieferkette:
Führen Sie gründliche Prüfungen von Drittanbietern durch und stellen Sie sicher, dass vertraglich verbindliche Sicherheitsstandards eingehalten werden. - Investition in Schulung und Sensibilisierung:
Fördern Sie eine Cybersecurity-Kultur im Unternehmen durch kontinuierliche Schulungen und Awareness-Maßnahmen für Mitarbeitende auf allen Ebenen.
Ausblick
DORA und NIS2 stehen gemeinsam für das klare Bekenntnis der EU, das Cybersecurity-Niveau branchenübergreifend deutlich anzuheben. Auch wenn der Weg zur vollständigen Compliance anspruchsvoll erscheint, ermöglicht die Einhaltung dieser Vorgaben nicht nur die Vermeidung erheblicher Bußgelder, sondern stärkt zugleich die Resilienz von Organisationen und das Vertrauen von Kunden und Geschäftspartnern.
Jetzt ist der richtige Zeitpunkt zu handeln. Durch proaktive Maßnahmen können sich Unternehmen als Vorreiter in den Bereichen Cybersecurity und operative Kontinuität positionieren.
Bleiben Sie dran für weitere Einblicke in die sich wandelnde regulatorische Landschaft in den kommenden Episoden von „The Cybersecurity Compass“.