Logo der activeMind AG

CER und KRITIS, NIS2, DORA – welche Vorschriften gelten für wen?

Inhalt

Angesichts massiver Cyberattacken auf Unternehmen spielen Informationssicherheit, digitale und physische Resilienz eine immer wichtigere Rolle für die Unternehmensführung. EU und nationale Gesetzgeber reagieren darauf mit zahlreichen Vorschriften. Nahezu alle mittleren und großen Unternehmen sind betroffen. Doch welche Regeln gelten für wen und was ist dann zu tun? Ein Überblick!

Schutz kritischer Infrastrukturen – KRITIS

Im Mittelpunkt steht hier die Resilienz physischer Infrastrukturen in essenziellen Bereichen wie Energie, Wasser, Transport, Gesundheit, usw. Wer angesprochen ist und die gesetzlichen Vorgaben erfüllen muss, hängt von verschiedenen Faktoren ab.

Tipp: In unserem Ratgeber erfahren Sie, welche Unternehmen als kritische Anlage gelten und vom IT-Sicherheitsgesetz betroffen sind.

Wesentlich für KRITIS ist die EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie). In Deutschland wird die CER-Richtlinie künftig umgesetzt durch das KRITIS-Dachgesetz.

Tipp: Lesen Sie mehr über das KRITIS-Dachgesetz und seine Bedeutung für Unternehmen.

NIS2-Richtlinie

Die EU-Richtlinie NIS2 verpflichtet zur Etablierung robuster Sicherheits- und Governance-Strukturen für „wesentliche“ und „wichtige“ Einrichtungen. Der Kreis der Adressaten ist im Vergleich zur KRITIS-Regulierung also deutlich weiter.

Tipp: Nutzen Sie unseren interaktiven NIS2-Anwendungstest, um herauszufinden, ob die NIS2-Regelungen für Sie zutreffen.

Deutschland ist aktuell mit der Umsetzung in nationales Recht noch im Verzug, was zur Verunsicherung vieler Unternehmen beiträgt (siehe unser Beitrag zum NIS2-Umsetzungsgesetz).

Aber: Die wesentlichen Pflichten sind klar und werden sich auch nicht mehr ändern. Die NIS2-Richtlinie verpflichtet zu durchgängiger Überwachung, Absicherung und Testung der digitalen Resilienz – auch über die eigenen Systemgrenzen hinaus. Abwarten birgt erhebliche Risiken.

Tipp: So erreichen Sie Compliance mit der NIS2-Richtlinie in kürzester Zeit!

Digital Operational Resilience Act (DORA)

Der Digital Operational Resilience Act (DORA) gilt als EU-Verordnung unmittelbar und direkt. Eine nationale Umsetzung entfällt daher.

DORA macht Vorgaben für die digitale operationelle Resilienz im Finanzsektor, spricht also Banken, Versicherer, Zahlungsdienste, etc. an. Indirekt wird der Anwendungsbereich allerdings noch erheblich erweitert, da der Finanzsektor entsprechende Anforderungen an seine IT- und Cloud-Dienstleister stellen muss. Unternehmen, die entsprechende Dienstleistungen erbringen, müssen sich hierauf einstellen, um die betroffenen Kunden zu behalten.

Tipp: Wir helfen Ihnen, DORA-Compliance für Ihr Unternehmen zu erzielen!

Was droht bei Missachtung der Pflichten?

In der Praxis beobachten wir bei vielen Unternehmen eine gefährliche Zurückhaltung. Zögern aus Unsicherheit oder falscher Sparsamkeit kann aber fatale Folgen haben! Die Kernpflichten stehen bereits jeweils fest. Lediglich Details (z. B. zu Meldewegen, welche Vorfälle an welche zuständige Stelle zu melden sind) stehen noch aus.

Weitere Zurückhaltung bzw. das Warten auf nationale Gesetze oder gar das Wegducken bis erste Bußgelder verhängt werden, kann sehr unangenehme Folgen haben.

Unternehmen, die jetzt nicht handeln, riskieren:

  • empfindliche Bußgelder bei Verstößen,
  • persönliche Haftung der Geschäftsleitung,
  • Verlust der Vertretungsbefugnis für Führungskräfte,
  • Reputationsschäden und Kundenverluste,
  • Betriebsunterbrechungen durch mangelhafte Vorbereitung,
  • Verlust oder Verteuerung des Versicherungsschutzes,
  • Engpässe bei Beratern, Auditoren und Pen-Testern, je näher das Ende der Fristen rückt!

Was sollten Verantwortliche jetzt tun?

Jedes Unternehmen sollte SOFORT (!) eine Betroffenheitsanalyse durchführen. Das entsprechende Budget muss eingeplant und freigegeben werden.

Kurzfristig, innerhalb von wenigen Monaten:

  • Aufbau des notwendigen ISMS (Informationssicherheits-Managementsystem)
  • Umsetzung technischer und organisatorischer Maßnahmen
  • Lieferketten prüfen, Verträge aktualisieren
  • Planen und Buchen von Pen‑Tests / Threat-led Penetration Testing (TLPT)

Feinschliff nach zwölf bis 18 Monaten Projektlaufzeit:

  • Automatisierung von KPIs und Reporting
  • Nachjustierung, sobald letzte gesetzliche Details vorliegen

Tipp: So errichten Sie ein ISMS mittels spezialisierter Software.

Fazit

Verantwortlichen muss klar sein: Die wesentlichen Anforderungen aus CER, NIS2 und DORA liegen bereits offen auf dem Tisch! Unternehmen, die zügig starten, profitieren gleich mehrfach: Sie reduzieren Kostenrisiken, vermeiden nachteilige Rechtsfolgen und positionieren mit passender Compliance strategisch am Markt.

Sie wollen mehr Sicherheit?

Als externer Informationssicherheitsbeauftragter führen wir Ihr Unternehmen bis zur erfolgreichen Zertifizierung (z.B. ISO 27001 oder TISAX).
Mehr erfahren

Weiterlesen

  • Datensicherheit, Medizinischer Datenschutz

Bedeutung der BSI C5-Gleichwertigkeitsverordnung für Gesundheitsunternehmen

Bietet die C5-Gleichwertigkeitsverordnung echte Alternativen für Cloud-Anbieter im Gesundheitsbereich?
  • Datensicherheit

Neue Anforderungen für DORA-Informationsregister

Von den Aufsichtsbehörden vorgenommene Anpassungen am Informationsregister zwingen Finanzinstitute, die unter DORA fallen, erneut zum Handeln. Darauf kommt es jetzt an.
  • Datensicherheit, KRITIS

NIS2-Umsetzunggesetz ist vorerst gescheitert

Was bedeutet das vorläufige Scheitern des NIS-Umsetzungsgesetzes für von der NIS2-Richtlinie betroffene Unternehmen in Deutschland?
  • Datensicherheit

Passkey im Unternehmen einsetzen

Was ist Passkey, welche Vorteile bietet der Standard zur Authentifizierung und worauf sollten Unternehmen bei der Einführung von Passkey achten? Eine kompakte Einführung.
  • Datensicherheit, KRITIS

NIS2 vs. DORA: Unterschiede und verbreitete Missverständnisse

NIS2-Richtlinie und DORA-Verordnung sollen die digitale Resilienz von Unternehmen stärken. Beide Regelwerke haben jedoch verschiedene Ansätze, die betroffene Unternehmen unbedingt beachten sollten.
  • Aufsichtsbehörden, Betroffenenrechte, Datentransfer, KRITIS

Was kommt 2025 bei Datenschutz, Informationssicherheit und KI?

Experten von activeMind wagen ihre ganz persönliche Prognose zu den wichtigsten Themen bei Datenschutz, Informationssicherheit und KI im Jahr 2025.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.