NIS2, EU AI Act und CRA erhöhen den Regulierungsdruck massiv. Dadurch wird Compliance für Unternehmen zur Daueraufgabe. Managed Service Provider, die ihre Services entsprechend erweitern, sichern sich entscheidende Wettbewerbsvorteile.
Managed Service Provider können durch Compliance-Services ihre Rolle vom operativen Dienstleister zum strategischen Partner entwickeln.
(Bild: Canva / KI-generiert)
Regulatorische Vorgaben im IT-Umfeld nehmen derzeit spürbar an Tempo und Umfang zu. Für viele Unternehmen stellt sich nicht mehr die Frage, ob sie handeln müssen, sondern wie sich neue Anforderungen dauerhaft in den laufenden Betrieb integrieren lassen.
Konkret adressieren die neuen Regelwerke unterschiedliche, aber eng miteinander verknüpfte Bereiche des IT-Betriebs:
Autor: Toni Trpkovsk, Vice President Managed Services bei Avenga
(Bild: Avenga)
Die NIS2-Richtlinie verschärft die Anforderungen an IT-Sicherheit, Meldepflichten und Risikomanagement für eine deutlich größere Zahl von Unternehmen als bisher.
Der EU AI Act regelt erstmals den Einsatz künstlicher Intelligenz entlang von Risikoklassen und verlangt Transparenz, Dokumentation und Kontrolle über KI-Systeme hinweg.
Der Cyber Resilience Act (CRA) wiederum setzt verbindliche Sicherheitsanforderungen für Software- und Hardwareprodukte über ihren gesamten Lebenszyklus hinweg.
Gemeinsam führen diese Vorgaben dazu, dass IT-Sicherheit, Governance und Compliance nicht mehr isoliert betrachtet werden können, sondern als integrierter Bestandteil des laufenden IT-Betriebs verstanden werden müssen. Angesichts der zunehmenden komplexen Vorschriften erweitern viele Unternehmen die Rolle von Managed Service Provider (MSP) über den reinen Betrieb hinaus und beziehen strukturierte Unterstützung bei Compliance und Kontrollimplementierung mit ein.
Regulatorik als Daueraufgabe
Regulatorische Anforderungen entwickeln sich kontinuierlich weiter. Gemäß NIS2, dem EU-KI-Gesetz und der CRA können Security by Design, Risikomanagement und Lebenszyklusdokumentation periodischen Compliance-Maßnahmen mehr sein, sondern müssen in die täglichen Betriebsprozesse integriert werden.
Unternehmen erwarten von ihren IT-Dienstleistern dabei zunehmend strategische Unterstützung – nicht nur beim Betrieb von Systemen, sondern auch bei der Umsetzung regulatorischer Anforderungen. Für Managed Services bedeutet das: Compliance darf kein nachgelagerter Prüfprozess sein, sondern muss in Services, Architektur und Betriebsmodelle integriert werden. Dazu gehört es auch, regulatorische Entwicklungen frühzeitig zu beobachten, Anforderungen zu bewerten und in konkrete Maßnahmen zu übersetzen – etwa in Governance-Module, Risiko-Assessments oder technische Kontrollmechanismen.
MSP als Integrator von Betrieb und Compliance
Die Rolle des Managed Service Providers entwickelt sich vom rein operativen Unterstützer weiter zum Integrationspartner, der den Infrastrukturbetrieb mit Governance-, Risiko- und Compliance-Anforderungen in Einklang bringt, während die Verantwortung letztendlich beim regulierten Unternehmen verbleibt.. Um die steigenden Erwartungen zu erfüllen, können strukturierte „Compliance-as-a-Service“-Modelle hilfreich sein. Diese beginnen in der Regel mit einer Gap-Analyse und geht in die kontinuierliche Umsetzung regulatorischer Anforderungen über. Dazu zählen Monitoring und Protokollierung sicherheitsrelevanter Ereignisse, Identitäts- und Zugriffsmanagement, Backup- und Wiederherstellungsstrategien sowie eine revisionssichere Dokumentation.
Die Grundlage bilden internationale Standards wie ISO 27001 oder das NIST-Cybersecurity-Framework, ergänzt um neue Normen wie ISO 42001 für KI-Managementsysteme. Solche Rahmenwerke ermöglichen es, regulatorische Anforderungen aus unterschiedlichen EU-Verordnungen in ein integriertes Betriebsmodell zu überführen. Entscheidend ist dabei Transparenz: Nur wenn Datenflüsse, Zuständigkeiten und Kontrollmechanismen klar definiert sind, lassen sich Compliance-Nachweise belastbar führen.
Auswirkungen auf Infrastruktur und Datenflüsse
Mit NIS2 und dem EU AI Act steigen vor allem die Anforderungen an Dokumentation und Nachvollziehbarkeit. Unternehmen müssen in der Lage sein, Sicherheitsereignisse, Systemzustände und KI-Entscheidungsprozesse nachvollziehbar zu protokollieren. Das betrifft nicht nur klassische IT-Systeme, sondern auch Cloud-Dienste, KI-Module und externe Schnittstellen.
Für die Infrastruktur bedeutet das: zentrale Inventare für Systeme und Anwendungen, konsistente Logging- und Monitoring-Konzepte sowie klar definierte Verantwortlichkeiten zwischen Kunde und Dienstleister. Gerade in hybriden IT-Umgebungen ist eine enge Abstimmung notwendig, um sicherzustellen, dass alle relevanten Daten für Audits und Berichte verfügbar sind.
Mit der zunehmenden Regulierung steigt auch die Verantwortung auf Management-Ebene. Compliance kann nicht mehr vollständig an externe Dienstleister delegiert werden. Stattdessen entstehen neue Formen der Zusammenarbeit: gemeinsame Risiko-Workshops, abgestimmte Incident-Response-Prozesse und regelmäßige Schulungen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ein gut aufgestellter MSP unterstützt nicht nur beim Betrieb, sondern auch bei der Weiterentwicklung von Governance-Strukturen und internen Kontrollmechanismen. Ziel ist ein integriertes Modell, in dem IT-Betrieb, Security und Compliance eng verzahnt sind.
Richtig umgesetzt, kann Regulierung sogar zum Wettbewerbsvorteil werden. Unternehmen, die Compliance strukturiert in ihre IT-Betriebsmodelle integrieren, profitieren von höherer Resilienz, besserer Audit-Fähigkeit und mehr Vertrauen bei Kunden und Partnern. Managed Services helfen dabei, diese Anforderungen planbar umzusetzen und interne Teams zu entlasten.
Die Vielzahl neuer Regelwerke stellt IT-Abteilungen vor große Herausforderungen. Gleichzeitig entsteht dadurch die Chance, Betriebsmodelle neu zu denken. Managed Service Provider können bei dieser Transformation eine zentrale Rolle spielen, sofern sie über fundierte technische Kenntnisse, strukturierte Governance-Fähigkeiten sowie regulatorische Kompetenz verfügen und innerhalb eines klar definierter Verantwortungsrahmens zusammen mit ihren Kunden agieren.
:quality(80)/p7i.vogel.de/wcms/60/a1/60a166b3b7868d9b0d362ec359b8abb3/0130072512v2.jpeg "In Deutschland fehlen immer noch über 100.000 Fachkräfte in der IT, doch setzen nur wenige Unternehmen auf Maßnahmen, um mehr Frauen für IT-Jobs zu begeistern. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/39/18395f3882e23a90a5df6aad288b8133/0129680689v2.jpeg "Die Aussicht auf kurzfristig wieder sinkende Speicherpreise ist nur eine Fata Morgana. Da sind sich alle unsere Ansprechpartner im IT-Channel einig. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/af/7e/af7e2841e3378f8b6a9a98510b9aad14/0129262578v6.jpeg "Wenn auf der Karriereleiter die unteren Sprossen fehlen, wird der Berufseinstieg schwierig. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6c/10/6c10fbbcf1482e50fbf75c7a140ec6d6/0130150191v1.jpeg "Dino DiMarino ist Chief Revenue Officer bei Tenable. (Bild: Tenable)")
:quality(80)/p7i.vogel.de/wcms/72/98/7298d169d25954db7ff3f4425c71e6cc/0130133006v2.jpeg "Christian Milde ist neuer Commercial Director bei Exclusive Networks Deutschland. (Bild: Exclusive Networks )")
:quality(80)/p7i.vogel.de/wcms/ef/aa/efaa246b307bc7d8c9db50edb7f403d1/0130111844v2.jpeg "André Holhozinskyj hat am 1. Februar 2026 die Rolle des Chief Executive Officer der Cloudflight Group übernommen. Doris Lippert wird ab April 2026 neue Geschäftsführerin für Cloudflight Österreich. (Bild: Foto Doris Lippert: Schwanzer Andreas; Foto André Holhozinskyj: SNaumann Fotografie, bearbeitet mit Canva)")
:quality(80)/p7i.vogel.de/wcms/ec/fe/ecfe55643e34c4df7711e2f74c38c205/0130019950v1.jpeg "Bei MRM gibt es einen neuen Vertriebsleiter. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4d/d6/4dd6f1a6017b39b9cb4c7a24944bb8a4/0128624921v1.jpeg "Nicht nur in Sachen Datenmanagement wird Digitale Souveränität immer wichtiger. Auch bei den Herstellern von Soft- und Hardware achten Unternehmen zunehmend auf Souveränität oder greifen zu Open Source. (Bild: © Nazuro - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/66/46/6646472f5567cf2e4f4a2512dcace164/0130123102v2.jpeg "Multi-Cloud-Strategien bilden die Brücken in Zeiten steigender geopolitischer Risiken. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/40/79/4079a262813114dfa91f841aa24cd1c3/0130129745v1.jpeg "In Deutschland wird es besser mit der Nutzung von KI am Arbeitsplatz. (Bild: © Nokkz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/bf/71bfc900f9b6101673790a33c0084c66/0128253082v1.jpeg "ALE stellt mit dem OmniAccess Stellar AP1501 einen Wi-Fi-7-Access-Point für Innenbereiche mit 2,5-GbE und WPA3 vor. (Bild: ALE)")
:quality(80)/p7i.vogel.de/wcms/90/b7/90b70fc04702cabf25d3cf5fef6713a4/0130003230v2.jpeg "Managed Service Provider können durch Compliance-Services ihre Rolle vom operativen Dienstleister zum strategischen Partner entwickeln. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/62/7d/627d667b0e6a590336910a857cb9d1e4/0130124220v2.jpeg "KI-Agenten sollen AWS-Partnern beim Vertrieb unter die Arme greifen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1e/11/1e115eb296f27a63a054aabe55b58324/0127890433v1.jpeg "Nvidias CEO Jensen Huang ist zuversichtlich, dass sich die Investitionen in KI auszahlen. (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/dc/25/dc252cbeb62601964bba4655658ce7ec/0130037327v2.jpeg "Während Security-Token oft aus Asien oder der USA kommen, setzt Swissbit bereits seit 2001 auf eine deutsche Fertigung in Berlin. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4a/23/4a230470ca5845e12d86aff78ad15bde/0130079068v3.jpeg "noris network Kundenkongress 2026 (Bild: Fortinet)")
:quality(80)/p7i.vogel.de/wcms/bd/d0/bdd06946a0828bfeed40fb5c40467761/0129431489v2.jpeg "(Bild: ebm-papst )")
:quality(80)/p7i.vogel.de/wcms/0e/b1/0eb141c5d1b080d4e820e7400a881e98/0129921108v1.jpeg "(Bild: Arrow)")
:quality(80)/p7i.vogel.de/wcms/8c/ac/8cac0d49b638941e9caf74512f129a57/0129417828v1.jpeg "Die Freiwillige Feuerwehr Freindorf hat sich für die Kommunikations- und Sicherheits-
lösung AGFEO für ihren Relaunch entschieden. (Bild: AGFEO)")
:quality(80)/p7i.vogel.de/wcms/2a/cb/2acb88a496ed471e2fc8a7aeab010d63/0129940952v1.jpeg "Diskussionsrunde zu Digitaler Souveränität: Dr. Alexander Schellong, Dr Constanze Kurz, Dr. Fabian Mehring, Claudia Plattner, Marc-Julain Siewert und Moderatorin Carmen Hentschel (Bild: Marie Pietruschka/Ftapi)")
:quality(80)/p7i.vogel.de/wcms/4c/37/4c37426226cd459c6764e7640c40f225/0129726556v1.jpeg "Die Hannover Messe findet dieses Jahr vom 20. bis 24. April statt, erstmals ist das Thema „Rüstung“ dort vertreten. (Bild: Hannover Messe)")
:quality(80)/p7i.vogel.de/wcms/39/13/39139c4bd5f8770d4b6331f74880ae6a/0129590998v2.jpeg "Auch in diesem Jahr wird es auf dem Cloudfest volle Hallen geben. (Bild: by Rene Lamb Fotodesign)")
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/e6/68e65d6a3bdb7/1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers.png "1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers (www.mike-bergmann.com/hd-snt25)")
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/14/2d/142d3e084dcf9944495b0eab74b0063c/0126574325v2.jpeg "Es wird Zeit für den Endspurt in Richtung CRA. Sind Sie bereit? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/da/e6/dae6c1036176c04dadf4a23159f0c2b1/0128271242v2.jpeg "Was sind die wichtigsten Entwicklungen für die Compliance in Unternehmen im Jahr 2026? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0e/bb/0ebbc766c825a0e8c4aadad7532851e8/0126553832v2.jpeg "Ransomware stellt das Damoklesschwert über den Unternehmen dar. Gelenkt von den Hackern, war Ransomware schon immer ein fatales Mittel, um Unternehmen stillzulegen. (Bild: Canva / KI-generiert)")