Die neuen Regulierungen NIS2 und DORA stellen Unternehmen vor Compliance-Herausforderungen und bieten ihnen zugleich Chancen, ihre Informationssicherheit auf ein neues Niveau zu heben. Strategische Maßnahmen und gezielte Schulungskonzepte helfen, eine zukunftsfähige Sicherheitskultur zu etablieren.
NIS2 und DORA mögen zunächst wie zusätzliche Compliance-Hürden erscheinen, bieten jedoch eine Chance, Informationssicherheit als integralen Bestandteil der Unternehmensstrategie zu etablieren.
(Bild: Firefly / KI-generiert)
NIS2 und DORA: Neue Standards mit weitreichenden Auswirkungen
Mit der Einführung der NIS2-Richtlinie (Network Information Security Directive – im Folgenden NIS2) und der DORA-Verordnung (Digital Operational Resilience Act – im Folgenden DORA) beginnt eine neue Ära der Informationssicherheit in Europa. Beide Regularien sollen die Cybersicherheit und Resilienz im digitalen Binnenmarkt signifikant stärken. Während NIS2 den Schutz kritischer Infrastrukturen fokussiert, zielt DORA auf die Absicherung der digitalen Finanzsysteme ab. Beide Rechtsakte stellen hohe Anforderungen an IT- und Compliance-Abteilungen, die nicht nur technische, sondern auch organisatorische und personelle Maßnahmen erfordern.
Strategischer Wandel: Von der Compliance zur proaktiven Sicherheitsstrategie
Die erfolgreiche Implementierung von NIS2 und DORA erfordert mehr als die Erfüllung von Compliance-Anforderungen. Unternehmen sollten diese regulatorischen Vorgaben als Chance nutzen, ihre Informationssicherheitsstrategien grundlegend zu überdenken und zu optimieren. Es gilt, den Ausbau der Maßnahmen im Bereich Informationssicherheit nicht als Reaktion auf gesetzliche Vorgaben zu betrachten, sondern als integralen Bestandteil der Unternehmensstrategie zu verankern. Dies erfordert eine umfassende Überprüfung und Anpassung verschiedenster Prozesse im Unternehmen an die neuen Standards, insbesondere der IT-Infrastrukturen.
NIS2 fordert Unternehmen auf, robuste Maßnahmen zur Risikominderung zu implementieren und sicherzustellen, dass angemessen auf Sicherheitsvorfälle reagiert wird. Für DORA sind speziell im Finanzsektor erweiterte Anforderungen an die operationale Resilienz der eingesetzten Informations- und Kommunikationstechnologie (IKT) entscheidend. Hier müssen Unternehmen sicherstellen, dass ihre IKT-Systeme nicht nur widerstandsfähig gegenüber Störungen sind, sondern im Falle eines Ausfalls auch schnell wiederhergestellt werden können. Eine enge Abstimmung zwischen Sicherheitsverantwortlichen, IT-Abteilung, Risikomanagement und der Compliance-Funktion ist notwendig, um die neuen Vorschriften nahtlos zu integrieren.
Notwendige Maßnahmen: Von der Theorie zur Praxis
Zur Umsetzung von NIS2 und DORA sind gezielte Maßnahmen erforderlich. Ein zentraler Aspekt hierbei ist die Durchführung umfassender Risikoanalysen im Bereich der Informationssicherheit. Diese Analysen sollte nicht nur bestehende Schwächen aufdecken, sondern auch zukünftige Bedrohungsszenarien antizipieren. Auf Basis dieser Erkenntnisse können Unternehmen den Risiken entsprechende Maßnahmen und Prozesse einführen und so ihre Sicherheitsstrategien neu ausrichten.
Dies erfordert eine enge Zusammenarbeit zwischen Security- und IT-Abteilungen, Risikomanagement und den operativen Einheiten. Eine solche ganzheitliche Herangehensweise ermöglicht es Unternehmen, nicht nur die gesetzlichen Anforderungen zu erfüllen, sondern eine robuste Sicherheitskultur zu etablieren, die langfristig Bestand hat.
Die Rolle der Führungsebene: Informationssicherheit als Chefsache
Für eine erfolgreiche Umsetzung von NIS2 und DORA ist es entscheidend, dass die Informationssicherheit von höchster Managementebene gesteuert wird (Top-Down-Ansatz). Die Verantwortung für die Informationssicherheit darf nicht allein den IT-Abteilungen überlassen werden. Vielmehr muss die Führungsebene die strategische Ausrichtung vorgeben, die notwendigen Ressourcen bereitstellen und eine Unternehmenskultur fördern, in der Informationssicherheit als gemeinsame Aufgabe verstanden wird. Während die Sicherheitsverantwortlichen, beispielsweise Informationssicherheitsbeauftragte, in Zusammenarbeit mit der IT-Abteilung die Planung und Umsetzung der Sicherheitsstrategien übernehmen, sollte die Führungsebene regelmäßig über den Fortschritt informiert werden, um sicherzustellen, dass die strategischen Ziele mit den neuen Anforderungen übereinstimmen.
Strategien zur Vorbereitung
Eine effektive Vorbereitung der relevanten Abteilungen auf die neuen Anforderungen erfordert eine umfassende Strategie. Diese sollte sowohl kurzfristige Maßnahmen zur Sicherstellung der Compliance als auch langfristige Ziele zur kontinuierlichen Verbesserung der Informationssicherheitsstrategie umfassen.
Unternehmen sollten sicherstellen, dass sie über die technische Infrastruktur und notwendigen Prozesse verfügen, um den neuen Anforderungen gerecht zu werden. Dies umfasst nicht nur technische Maßnahmen wie die Implementierung modernster Sicherheitstechnologien, sondern auch die sorgfältige Erst- und regelmäßige Überprüfung von IKT-Dienstleistern (im Falle DORAs) bzw. der Lieferkette (im Falle von NIS2). Eine enge Zusammenarbeit mit externen Beratenden kann helfen, die Anforderungen von NIS2 und DORA erfolgreich umzusetzen und die Resilienz der informationssicherheitsrelevanten Prozesse und Infrastrukturen zu stärken.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
E-Learnings als Schlüssel zu einer resilienten IT-Sicherheit
Die Einhaltung von NIS2 und DORA sollte als Ausgangspunkt für eine proaktive und zukunftsorientierte Sicherheitsstrategie betrachtet werden. Um den neuen Anforderungen gerecht zu werden, müssen Geschäftsführung und Management sicherstellen, dass alle notwendigen Schritte eingeleitet werden, um die Compliance zu gewährleisten. Eine kontinuierliche Weiterbildung der Mitarbeitenden fördert das Verständnis für Sicherheitsanforderungen und stärkt das Bewusstsein für mögliche Bedrohungen.
E-Learnings bieten eine flexible, praxisnahe und zugleich tiefgehende Wissensvermittlung, die sich nahtlos in den Arbeitsalltag integrieren lässt. Dabei geht es nicht nur um die reine Wissensvermittlung, sondern auch um die nachhaltige Sensibilisierung für die Bedeutung einer robusten Sicherheitsstrategie. Microlearnings zu spezifischen Themen wie NIS2- und DORA-Compliance können hier wertvolle Dienste leisten. Kompakte Lerneinheiten ermöglichen es den Mitarbeitenden, sich schnell und effizient auf die neuen Anforderungen vorzubereiten. Denn nur wer die Risiken versteht, kann ihnen auch effektiv begegnen.
Unternehmen, die jetzt in die Weiterbildung ihrer Mitarbeitenden investieren, schaffen die Grundlage für eine dauerhafte Verbesserung ihrer digitalen Resilienz. Mitarbeiterschulungen sind mehr als nur ein Mittel zur Erfüllung gesetzlicher Vorgaben – sie sind ein strategischer Hebel, um eine Sicherheitskultur zu etablieren, die weit über den regulatorischen Rahmen hinausgeht. Indem Unternehmen ihre Informationssicherheitsstrategie kontinuierlich anpassen und optimieren, können sie nicht nur Compliance-Anforderungen erfüllen, sondern sich auch einen Wettbewerbsvorteil verschaffen.
NIS2 und DORA als Treiber einer neuen Sicherheitskultur
NIS2 und DORA mögen zunächst wie zusätzliche Compliance-Hürden erscheinen, bieten jedoch eine Chance, Informationssicherheit als integralen Bestandteil der Unternehmensstrategie zu etablieren. Beide Gesetzesakte markieren einen Wendepunkt, indem sie Unternehmen anregen, über die bloße Erfüllung von Mindestanforderungen hinauszugehen und eine umfassende Sicherheitskultur aufzubauen. Die Umsetzung erfordert technologische Anpassungen, eine Neuausrichtung interner Prozesse und eine enge Einbindung der Mitarbeitenden. E-Learnings spielen hierbei eine zentrale Rolle, indem sie Mitarbeitende effizient auf neue Anforderungen vorbereiten und eine nachhaltige Sicherheitskultur fördern. So lassen sich die vielfältigen Herausforderungen der digitalen Transformation erfolgreich meistern und die Entwicklung einer proaktiven Sicherheitskultur wird zum entscheidenden Erfolgsfaktor im digitalen Zeitalter.
Über den Autor: Dr. Jan Scharfenberg ist Rechtsanwalt für Regulatory Compliance und spezialisiert auf Informationssicherheitsrecht, IT- und Datenschutzaudits, Risikomanagement sowie Plattformregulierung. Zudem unterstützt er den E-Learning-Anbieter lawpilots bei der Entwicklung von Schulungskonzepten mit Fokus auf Informationssicherheit, wie zuletzt bei den Microlearnings zu NIS2 und DORA.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db7a77cd7ea6916c717964cf3d15be/0128896694v1.jpeg "Dr. Nils Kaufmann wird Vertriebsleiter bei indevis x Data-Sec. (Bild: indevis x Data-Sec)")
:quality(80)/p7i.vogel.de/wcms/cc/0e/cc0ee3afaddf3bb684a02ecb5ad68702/0128887963v2.jpeg "Kevin Kennedy, Vice President des Global Partner Ecosystem bei Red Hat (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/01/94/0194b228bbaada88271174c98bc8fa3d/0128877523v2.jpeg "Gos Hein van de Wouw, SVP EMEA Sales bei Extreme Networks (Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/43/c8/43c83a1afdfe56b99d294a05b4c747e4/0128876251v2.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/4d/0d/4d0d39e269de9de8f4e42006ec3bec1e/0128602505v2.jpeg "Die Führungsetage ist verantwortlich für das Risikomanagement. Sie muss die potenziellen Bedrohungen verstehen und geeignete Maßnahmen ergreifen, um Risiken zu minimieren und die Resilienz des Unternehmens zu stärken. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/80/d2/80d2f021fd7b857615cdc90ea6ec40ff/0128893725v1.jpeg "In dieser Folge von IT ImPuls sprechen Natalie Forell und Mihriban Dincel über das brisante Thema NIS2. (Bild: Carin Böhm )")
:quality(80)/p7i.vogel.de/wcms/b0/87/b08746321b6cfef57c5bff16ab6994e2/0128603799v2.jpeg "Künstliche Intelligenz verändert Arbeitsprozesse und Kompetenzanforderungen in immer mehr Berufsgruppen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/be/03/be03b4159ffcde7c26d822dc13537ee6/0128018541v1.jpeg "Enthalten KI-Modelle Sicherheitslücken, können sie durch Prompt-Injection-Angriffe dazu gebracht werden, versteckte Befehle auszuführen, Sicherheitsmechanismen zu umgehen und dabei unbemerkt persönliche Daten, gespeicherte Chats und andere sensible Informationen preiszugeben. (©Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/ed/4aedcc54c3302939b1296a75a80dcf02/0128867288v1.jpeg "Eine ganze Reihe neuer Gaming-Notebooks aus den Serien Raider, Stealth und Crosshair stellte MSI auf der CES in Las Vegas vor, teilweise mit Intels Panther-Lake-Prozessor. (Bild: MSI)")
:quality(80)/p7i.vogel.de/wcms/37/7f/377f9576a9914d8619e67ece12968cc2/0128602629v2.jpeg "Die Bedrohungslage verschärft sich weiter. MSP und Systemhäuser müssen 2026 laut Riedel verstärkt auf automatisierte und ganzheitliche Sicherheitslösungen setzen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/2d/b0/2db024a7c100b93fe4e2183a526c4b1d/0128646643v2.jpeg "2026: KI denkt mit, handelt selbstständig – und verändert, wie wir arbeiten. (Bild: Reply)")
:quality(80)/p7i.vogel.de/wcms/9f/dd/9fdd85894bed1e083d823c08adbf0840/0128747016v2.jpeg "Das Unternehmen XGIMI präsentiert mit MemoMind seine erste KI-Brille. (Bild: © XGIMI )")
:quality(80)/p7i.vogel.de/wcms/db/b7/dbb7f1a221f31e00281e92dac2fb4e5c/0128874056v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:quality(80)/p7i.vogel.de/wcms/14/a3/14a3efcff030b182d8774ef21539cafb/0128566028v2.jpeg "In München kamen am 11. Dezember fast 30 Mitglieder des deutschen Chapters der Women4Cyber zusammen. (Bild: Nicolas Armer)")
:fill(fff,0)/p7i.vogel.de/companies/60/cb/60cb1e784befc/securepoint-logo-800-400-max.jpeg "securepoint-logo-800-400-max (Securepoint)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/39/6639d5f16d7d9/bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent.png "bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent (bb-net gmbh)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/a0/5c/a05cfe3e617700d99328e49729937bc1/0125401080v1.jpeg "NIS2 und Dora sollen die Resilienz wichtiger IT-Systeme stärken. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0e/bb/0ebbc766c825a0e8c4aadad7532851e8/0126553832v2.jpeg "Ransomware stellt das Damoklesschwert über den Unternehmen dar. Gelenkt von den Hackern, war Ransomware schon immer ein fatales Mittel, um Unternehmen stillzulegen. (Bild: Canva / KI-generiert)")