Den Sturm meistern: Wie NIS2 und DORA die europäische Compliance neu definieren

Die NIS2-Richtlinie und die DORA-Verordnung der EU verändern die Compliance-Anforderungen an Cybersicherheit grundlegend: Sie verlangen strengeres Risikomanagement, verbindliche Vorfallsmeldungen und digitale operationale Resilienz. Dieser Leitfaden erläutert ihre Auswirkungen, zeigt die enge Ausrichtung an ISO 27001 und bietet CISOs sowie Führungskräften einen praktikablen, schrittweisen Weg zur Umsetzungsreife.

Einführung

Die europäische Compliance-Landschaft durchläuft ihre tiefgreifendste Veränderung seit einer Generation. Mit der Umsetzungsfrist der NIS2-Richtlinie im Oktober 2024 und der vollständigen Anwendbarkeit der Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) ab Januar 2025 ist die Zeit vorbei, in der Cybersicherheit als nachgelagerte IT-Funktion behandelt werden konnte. Diese beiden Rechtsakte stehen für einen Paradigmenwechsel: Cybersicherheit und operationale Resilienz rücken in das Zentrum der Unternehmensführung, und Leitungsorgane werden für Versäumnisse unmittelbar verantwortlich gemacht.

Für CISOs, Compliance-Verantwortliche und Geschäftsverantwortliche ist dies nicht einfach ein weiterer Anforderungskatalog, dem Kontrollen zugeordnet werden müssen. Es ist ein Auftrag zu einem von oben gesteuerten, risikobasierten und nachweislich resilienten Informationssicherheits-Risikoprofil. NIS2 erweitert den Geltungsbereich der Vorgängerregelung auf eine große Bandbreite „wesentlicher“ und „wichtiger“ Einrichtungen, während DORA strenge, harmonisierte Regeln für den gesamten EU-Finanzsektor und dessen kritische Technologieanbieter festlegt. Die Anforderungen sind höher, die Vorgaben konkreter und die Sanktionen bei Nichteinhaltung erheblich. Dieser Beitrag führt durch dieses neue Umfeld und nutzt ISO 27001 als praktische Grundlage, um Compliance mit NIS2 und DORA zu erreichen.

Was auf dem Spiel steht

Die Folgen einer Nichterfüllung von NIS2- und DORA-Verpflichtungen gehen weit über eine formale Verwarnung hinaus. Diese Regelungen führen erhebliche finanzielle Sanktionen, persönliche Haftung der Leitungsebene und das Risiko schwerwiegender Betriebsunterbrechungen ein. Das Verständnis der Tragweite dieser Risiken ist der erste Schritt, um einen belastbaren Business Case für Investitionen und organisatorische Veränderungen zu schaffen.

Insbesondere NIS2 erhöht die finanziellen Risiken deutlich. Wie unser umfassender Leitfaden Zenith Controls erläutert, sind die Sanktionen darauf ausgelegt, Aufmerksamkeit auf Ebene des Leitungsorgans zu erzeugen.

Für wesentliche Einrichtungen können Geldbußen bis zu 10 Mio. € oder 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres erreichen, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen beträgt die Höchstgeldbuße 7 Mio. € oder 1,4 % des gesamten weltweiten Jahresumsatzes.

Diese Beträge sind mit Sanktionen auf GDPR-Niveau vergleichbar und zeigen die Absicht der EU, Cybersicherheitsstandards konsequent durchzusetzen. Obwohl die Vorgaben auf EU-Ebene harmonisiert sind, können die konkreten Sanktionsstrukturen je nach Umsetzung von NIS2 in nationales Recht durch die Mitgliedstaaten leicht variieren. Das Risiko ist jedoch nicht nur finanzieller Natur. NIS2 führt die Möglichkeit zeitweiliger Verbote zur Ausübung von Leitungsfunktionen für Personen ein, die für Verstöße verantwortlich gemacht werden. Damit wird Cybersicherheit zu einer Frage persönlicher Rechenschaftspflicht für CEOs und Mitglieder des Leitungsorgans.

DORA erzeugt mit seinem Fokus auf den Finanzsektor eigenen Handlungsdruck. Das Hauptziel besteht darin, die Kontinuität kritischer Finanzdienstleistungen auch während einer erheblichen IKT-Störung sicherzustellen. Das Risiko ist hier systemisch. Ein Ausfall bei einem einzelnen Finanzunternehmen oder einem seiner kritischen IKT-Drittdienstleister kann Kaskadeneffekte in der gesamten europäischen Wirtschaft auslösen. Der Auftrag von DORA besteht darin, dies durch die Durchsetzung eines hohen Standards digitaler operationaler Resilienz zu verhindern. Die Kosten der Nichteinhaltung können nicht nur Geldbußen umfassen, sondern auch den Verlust von Betriebserlaubnissen und katastrophale Reputationsschäden in einem Sektor, der auf Vertrauen basiert.

Die operativen Auswirkungen sind ebenso anspruchsvoll. Beide Regelwerke schreiben strenge Fristen für die Vorfallsmeldung vor. NIS2 verlangt eine Erstmeldung an zuständige Behörden innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Vorfall; ein detaillierterer Bericht muss innerhalb von 72 Stunden folgen. Diese stark verkürzten Fristen setzen Incident-Response-Teams erheblich unter Druck und erfordern ausgereifte, eingeübte Prozesse, über die viele Organisationen derzeit nicht verfügen. Der Schwerpunkt liegt nicht mehr nur auf Eindämmung und Wiederherstellung, sondern auch auf schneller, transparenter Kommunikation mit Aufsichtsbehörden.

Wie ein guter Zielzustand aussieht

In dieser neuen Phase verschärfter Prüfung bedeutet „gut“ nicht mehr, Richtlinien in der Ablage zu haben oder eine punktuelle Zertifizierung zu erreichen. Es geht um einen Zustand kontinuierlicher, nachweisbarer operationaler Resilienz. Gemeint ist der Wechsel von einer reaktiven, primär auf Nachweispflichten ausgerichteten Haltung zu einer proaktiven, risikoinformierten Kultur, in der Cybersicherheit fest in die Organisation eingebettet ist. Eine Organisation, die sich erfolgreich im NIS2- und DORA-Umfeld bewegt, weist mehrere zentrale Merkmale auf; viele davon beruhen auf den Grundsätzen eines wirksam umgesetzten Informationssicherheits-Managementsystems (ISMS) nach ISO 27001.

Das Ziel ist ein Zustand, in dem die Organisation IKT-Störungen sicher standhalten, auf sie reagieren und sich von ihnen erholen kann, während sie ihre kritischen Assets und Services schützt. Dafür ist ein tiefes Verständnis der Geschäftsprozesse und der sie tragenden Technologien erforderlich. Wie Zenith Controls darlegt, besteht das Ziel dieser Regelwerke darin, eine robuste digitale Infrastruktur in der EU zu schaffen.

Das Hauptziel der NIS2-Richtlinie besteht darin, ein hohes gemeinsames Cybersicherheitsniveau in der Union zu erreichen. Sie soll die Resilienz und die Fähigkeiten zur Reaktion auf Vorfälle im öffentlichen und privaten Sektor verbessern.

Dieses „hohe gemeinsame Niveau“ erfordert ein umfassendes Sicherheitsprogramm, das Governance, Risikomanagement, Schutz von Assets, Incident Response und Lieferantensicherheit abdeckt. Eine reife Organisation kann die Verbindung von der Risikobereitschaft des Leitungsorgans bis hin zu konkreten technischen Maßnahmen eindeutig nachvollziehen. Die Geschäftsleitung genehmigt nicht nur das Budget, sondern beteiligt sich aktiv an Entscheidungen zum Risikomanagement, wie es sowohl NIS2 (Article 20) als auch DORA (Article 5) verlangen.

Dieser Zielzustand ist durch proaktive, informationsgestützte Sicherheit geprägt. Statt nur auf Warnmeldungen zu reagieren, erhebt und analysiert die Organisation aktiv Bedrohungsinformationen, um mögliche Angriffe vorherzusehen und zu mindern. Dies entspricht unmittelbar ISO/IEC 27002:2022 Maßnahme 5.7 (Bedrohungsinformationen), einer Praxis, die unter beiden neuen Regelwerken nun ausdrücklich erwartet wird.

Außerdem wird Resilienz getestet, nicht unterstellt. „Gut“ ist eine Organisation, die ihre Incident-Response- und Business-Continuity-Pläne regelmäßig in realistischen Szenarien überprüft. Für bestimmte Finanzunternehmen im Anwendungsbereich von DORA kann dies bis zu fortgeschrittenen bedrohungsorientierten Penetrationstests (Threat-Led Penetration Testing, TLPT) reichen, also einer anspruchsvollen Simulation realitätsnaher Angriffsszenarien. Nicht jede Organisation fällt darunter; für diejenigen, die erfasst sind, ist TLPT jedoch eine verbindliche Anforderung. Diese Testkultur stellt sicher, dass Pläne nicht nur theoretische Dokumente sind, sondern unter Druck funktionierende, umsetzbare Playbooks.

Bezug zu den Maßnahmenbereichen von ISO 27001:2022

Die Maßnahmen aus Anhang A von ISO 27001:2022 bilden, wie in ISO/IEC 27002:2022 näher erläutert, das Rückgrat eines modernen ISMS. Wie in Zenith Controls: The Cross-Compliance Guide hervorgehoben wird,

Maßnahmen wie A.5.7 (Bedrohungsinformationen), A.5.23 (Informationssicherheit bei der Nutzung von Cloud-Services) und A.5.29 (Lieferantenbeziehungen) werden in Umsetzungshinweisen zu NIS2 und DORA direkt referenziert. Das unterstreicht ihre zentrale Bedeutung für die regelwerksübergreifende regulatorische Compliance. Organisationen, die diese Maßnahmen vollständig umsetzen und nachweisen, sind gut positioniert, müssen jedoch weiterhin die spezifischen Vorgaben zu Meldepflichten, Governance und Resilienz erfüllen, die durch die neuen Regelwerke eingeführt wurden.

Der praktische Weg: Schritt-für-Schritt-Leitfaden

Die Compliance mit NIS2 und DORA kann wie eine gewaltige Aufgabe erscheinen, wird jedoch beherrschbar, wenn sie in zentrale Sicherheitsdomänen zerlegt wird. Durch die strukturierte Vorgehensweise eines an ISO 27001 ausgerichteten ISMS können Organisationen die erforderlichen Fähigkeiten systematisch aufbauen. Der folgende praktische Weg orientiert sich an etablierten Richtlinien und Best Practices.

1. Starke Governance und Rechenschaftspflicht etablieren

Beide Regelwerke verorten die Gesamtverantwortung beim „Leitungsorgan“. Cybersicherheit kann daher nicht mehr allein an die IT-Abteilung delegiert werden. Das Leitungsorgan muss das Rahmenwerk für das Management von Cybersicherheitsrisiken verstehen, überwachen und genehmigen.

Der erste Schritt besteht darin, diese Struktur zu formalisieren. Die Richtlinien Ihrer Organisation müssen diesen Top-down-Ansatz abbilden. Nach der P01S Information Security Policies Policy - SME, einem grundlegenden Dokument für jedes ISMS, erfordert das Richtlinienrahmenwerk selbst eine ausdrückliche Billigung durch die oberste Leitung.

Informationssicherheitsleitlinien müssen von der Geschäftsleitung genehmigt, veröffentlicht und an Mitarbeitende sowie relevante externe Parteien kommuniziert werden.

Das bedeutet, dass die Geschäftsleitung aktiv an der Festlegung der Ausrichtung beteiligt ist. Dies wird durch klare Rollendefinitionen zusätzlich gestützt. Die P02S Governance Roles & Responsibilities Policy - SME legt fest, dass „Verantwortlichkeiten für Informationssicherheit definiert und zugewiesen werden müssen“, damit keine Unklarheit darüber besteht, wer welchen Aspekt des Sicherheitsprogramms verantwortet. Für NIS2 und DORA muss dies eine benannte Person oder ein Gremium umfassen, das direkt an das Leitungsorgan über den Stand der Compliance berichtet.

Zentrale Maßnahmen:

• Einen Sponsor auf Ebene des Leitungsorgans für Cybersicherheit und Resilienz benennen.
• Regelmäßige Überprüfungen der ISMS-Leistung und der regulatorischen Compliance durch das Leitungsorgan einplanen.
• Entscheidungen, Maßnahmen und Nachweise der Aufsicht dokumentieren.

2. Ein umfassendes Risikomanagementrahmenwerk umsetzen

Risikobeurteilungsprozess neu bewerten und aktualisieren Wie im Implementierungsleitfaden zur Methodik der Risikobeurteilung dargestellt: „NIS2 und DORA verlangen dynamische, bedrohungsorientierte Risikobeurteilungen, die über statische jährliche Überprüfungen hinausgehen. Organisationen müssen Bedrohungsinformationen (A.5.7) integrieren und sicherstellen, dass Risikobeurteilungen als Reaktion auf Änderungen der Bedrohungslage oder des Geschäftsumfelds aktualisiert werden.“ Zenith Controls. NIS2 geht über generische Risikobeurteilung hinaus, indem in Article 21 konkrete Maßnahmen zum Risikomanagement vorgeschrieben werden, unter anderem Lieferkettensicherheit, Umgang mit Informationssicherheitsvorfällen, Aufrechterhaltung des Geschäftsbetriebs und der Einsatz von Kryptografie. Diese Anforderungen müssen nachweisbar umgesetzt und regelmäßig überprüft werden. Damit ist klar, dass es bei Compliance nicht nur um Dokumentation geht, sondern um belegbare operative Praktiken.

Zentrale Maßnahmen:

• Echtzeit-Bedrohungsinformationen in Risikobeurteilungen einbeziehen.
• Sicherstellen, dass Risikobeurteilungen Lieferkettenrisiken und Risiken aus IKT-Drittparteien ausdrücklich abdecken (A.5.29).
• Den Überprüfungs- und Aktualisierungsprozess dokumentieren und mit Nachweisen belegen.

Dieser Prozess muss kontinuierlich und iterativ sein, nicht eine jährliche Checklistenübung. Er umfasst alles von Lieferkettensicherheit bis zur Sensibilisierung der Mitarbeitenden.

3. Incident Response und Berichterstattung stärken

Die strengen Meldefristen von NIS2 (Erstmeldung innerhalb von 24 Stunden) und das detaillierte Klassifizierungs- und Meldeschema von DORA verlangen eine hochreife Vorfallmanagementfunktion. Dafür reicht ein SOC allein nicht aus; erforderlich ist ein klar definierter und eingeübter Plan.

Die P30S Incident Response Policy - SME liefert den Rahmen für diese Fähigkeit. Sie betont: „Die Organisation muss das Management von Informationssicherheitsvorfällen planen und vorbereiten, indem Prozesse, Rollen und Verantwortlichkeiten für das Management von Informationssicherheitsvorfällen definiert, eingerichtet und kommuniziert werden.“ Incident Response ist ein Schwerpunkt sowohl von NIS2 als auch von DORA. Die Richtlinie zum Management von Informationssicherheitsvorfällen (Abschnitt 4.2) legt fest:

Organisationen müssen Verfahren einführen, um Vorfälle innerhalb der nach geltenden Vorschriften erforderlichen Fristen zu erkennen, zu melden und darauf zu reagieren, und detaillierte Aufzeichnungen für Auditzwecke führen.

Wesentliche Umsetzungselemente sind:

• Eine klare Definition eines „erheblichen Vorfalls“, der die Meldefristen nach NIS2 und DORA auslöst.
• Vordefinierte Kommunikationskanäle und Vorlagen für Meldungen an Aufsichtsbehörden, CSIRTs und andere Interessenträger.
• Regelmäßige Übungen und Tabletop-Übungen, damit das Reaktionsteam den Plan unter Druck wirksam ausführen kann.
• Prozesse zur Nachbereitung von Vorfällen, um aus jedem Ereignis zu lernen und die Reaktionsfähigkeit kontinuierlich zu verbessern.

4. Lieferketten- und Drittparteienrisikomanagement stärken

Insbesondere DORA hebt das Management von IKT-Drittparteienrisiken von einer Due-Diligence-Aktivität zu einer Kerndisziplin operationaler Resilienz. Finanzunternehmen sind nun ausdrücklich für die Resilienz ihrer kritischen IKT-Anbieter verantwortlich. Auch NIS2 verlangt, dass Einrichtungen Risiken aus ihren Lieferantenbeziehungen adressieren.

Die Third-Party and Supplier Security Policy, Section 5.2 - SME verlangt:

Vor der Beauftragung muss jeder Lieferant auf potenzielle Risiken geprüft werden.

Sie beschreibt außerdem die erforderlichen Kontrollen und legt fest: „Die Anforderungen der Organisation an Informationssicherheit müssen mit Lieferanten vereinbart und dokumentiert werden.“ Für DORA und NIS2 geht dies weiter:

• Ein Register aller IKT-Drittdienstleister führen, mit eindeutiger Kennzeichnung der als „kritisch“ eingestuften Anbieter.
• Sicherstellen, dass Verträge spezifische Klauseln enthalten, die Sicherheitskontrollen, Auditrechte und Ausstiegsstrategien abdecken. DORA ist in diesem Punkt besonders detailliert.
• Regelmäßige Risikobeurteilungen kritischer Lieferanten durchführen, nicht nur beim Onboarding, sondern über den gesamten Lebenszyklus der Beziehung hinweg.
• Notfallpläne entwickeln für den Ausfall oder die Beendigung einer kritischen Lieferantenbeziehung, um die Servicekontinuität sicherzustellen.

5. Resilienz aufbauen und testen

Schließlich geht es bei beiden Regelwerken im Kern um Resilienz. Ihre Organisation muss in der Lage sein, kritische Tätigkeiten während und nach einem Cybersicherheitsvorfall aufrechtzuerhalten. Dafür ist ein umfassendes Business-Continuity-Managementprogramm (BCM) erforderlich.

Die Business Continuity and Disaster Recovery Policy - SME betont die Notwendigkeit, Sicherheit in die BCM-Planung einzubetten. Sie legt fest: „Die Organisation muss ihre Anforderungen an Informationssicherheit und an die Kontinuität des Informationssicherheitsmanagements in widrigen Situationen bestimmen.“ Das bedeutet, dass Ihre BCM- und Disaster-Recovery (DR)-Pläne mit Blick auf Cyberangriffe ausgelegt sein müssen. Zentrale Maßnahmen sind:

• Durchführung von Business Impact Analyses (BIAs) zur Identifizierung kritischer Prozesse und ihrer Wiederherstellungszeitziele (RTOs).
• Entwicklung und Dokumentation von BCM- und DR-Plänen, die klar, umsetzbar und zugänglich sind.
• Regelmäßige Tests dieser Pläne anhand realistischer Szenarien, einschließlich Simulationen von Cyberangriffen. Die DORA-Anforderung an bedrohungsorientierte Penetrationstests für bestimmte Einrichtungen bildet den höchsten Ausprägungsgrad dieser Praxis.

Durch die Umsetzung dieser Schritte und ihre Verankerung in einem an ISO 27001 ausgerichteten ISMS können Organisationen ein belastbares und wirksames Compliance-Programm aufbauen, das den hohen Anforderungen von NIS2 und DORA gerecht wird.

Zusammenhänge verstehen: Erkenntnisse zur regelwerksübergreifenden Compliance

Eine der effizientesten Vorgehensweisen für NIS2 und DORA besteht darin, ihre erhebliche Überschneidung mit bestehenden, weltweit anerkannten Standards zu nutzen, insbesondere mit dem ISO/IEC 27001- und 27002-Rahmenwerk. Werden diese neuen Regelwerke durch die Linse der ISO-Maßnahmen betrachtet, können Organisationen ihre bestehenden ISMS-Investitionen nutzen und Doppelarbeit vermeiden.

Zenith Controls stellt zentrale Querverweise bereit, die diese Verbindungen sichtbar machen und zeigen, wie eine einzelne Maßnahme aus ISO/IEC 27002:2022 Anforderungen mehrerer Regelwerke unterstützen kann.

Governance und Richtlinien (ISO/IEC 27002:2022 Maßnahme 5.1): Die Pflicht zur Aufsicht durch das Leitungsorgan ist ein Eckpfeiler sowohl von NIS2 als auch von DORA. Dies passt unmittelbar zu Maßnahme 5.1, die auf die Einrichtung klarer Informationssicherheitsleitlinien ausgerichtet ist. Wie Zenith Controls erläutert, ist diese Maßnahme grundlegend, um Führungsverantwortung nachzuweisen.

Diese Maßnahme unterstützt unmittelbar NIS2 Article 20, der Leitungsorgane für die Aufsicht über die Umsetzung von Maßnahmen zum Management von Cybersicherheitsrisiken verantwortlich macht. Sie ist außerdem auf DORA Article 5 ausgerichtet, der verlangt, dass das Leitungsorgan das Rahmenwerk für digitale operationale Resilienz definiert, genehmigt und überwacht.

Durch die Umsetzung eines robusten Richtlinienrahmenwerks, das von der Leitung genehmigt und regelmäßig überprüft wird, schaffen Sie den zentralen Nachweis, der zur Erfüllung dieser wesentlichen Governance-Artikel erforderlich ist.

Vorfallmanagement (ISO/IEC 27002:2022 Maßnahme 5.24): Die anspruchsvollen Anforderungen beider Regelwerke an die Vorfallsmeldung werden unmittelbar durch einen reifen Incident-Management-Plan adressiert. Maßnahme 5.24 (Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen) liefert dafür die Struktur. Die Ausrichtung ist ausdrücklich:

Diese Maßnahme ist wesentlich für die Einhaltung von NIS2 Article 21(2), der Maßnahmen zum Umgang mit Sicherheitsvorfällen verlangt, sowie von Article 23, der strenge Fristen für die Vorfallsmeldung festlegt. Sie ordnet sich außerdem dem in DORA Article 17 beschriebenen detaillierten Vorfallmanagementprozess zu, der die Klassifizierung und Meldung schwerwiegender IKT-bezogener Vorfälle umfasst.

Ein gut dokumentierter und getesteter Incident-Response-Plan auf Grundlage dieser Maßnahme ist nicht nur gute Praxis; er ist eine direkte Voraussetzung für die Compliance mit NIS2 und DORA.

IKT-Drittparteienrisiko (ISO/IEC 27002:2022 Maßnahme 5.19): Der starke Fokus von DORA auf die Lieferkette ist eines der prägenden Merkmale der Verordnung. Maßnahme 5.19 (Informationssicherheit in Lieferantenbeziehungen) stellt den Rahmen für das Management dieser Risiken bereit. Zenith Controls hebt diese kritische Verbindung hervor:

Diese Maßnahme ist grundlegend, um die umfangreichen Anforderungen in DORA Chapter V zum Management von IKT-Drittparteienrisiken zu erfüllen. Sie unterstützt außerdem NIS2 Article 21(2)(d), der von Einrichtungen verlangt, die Sicherheit ihrer Lieferketten einschließlich der Beziehungen zwischen jeder Einrichtung und ihren unmittelbaren Lieferanten sicherzustellen.

Die Umsetzung der in Maßnahme 5.19 beschriebenen Prozesse, etwa Lieferantenprüfung, vertragliche Vereinbarungen und laufende Überwachung, schafft genau die Fähigkeiten, die DORA und NIS2 verlangen.

Aufrechterhaltung des Geschäftsbetriebs (ISO/IEC 27002:2022 Maßnahme 5.30): Im Kern geht es bei DORA um Resilienz. Maßnahme 5.30 (IKT-Bereitschaft für die Aufrechterhaltung des Geschäftsbetriebs) ist das ISO-Äquivalent dieses Grundsatzes. Die Verbindung ist direkt und wirkungsvoll.

Diese Maßnahme ist der Eckpfeiler zur Erreichung des Kernziels von DORA: die Aufrechterhaltung des Geschäftsbetriebs und die Resilienz von IKT-Systemen sicherzustellen. Sie unterstützt unmittelbar die Anforderungen aus DORA Chapter III (Tests der digitalen operationalen Resilienz) und Chapter IV (Management von IKT-Drittparteienrisiken). Sie ist außerdem auf NIS2 Article 21(2)(e) ausgerichtet, der Richtlinien zur Aufrechterhaltung des Geschäftsbetriebs verlangt, etwa Backup-Management und Disaster Recovery.

Wenn Sie Ihr BCM-Programm an dieser Maßnahme ausrichten, schaffen Sie gleichzeitig die Grundlage für die Compliance mit DORA. Dies zeigt, dass ISO 27001 kein paralleler Weg ist, sondern ein direkter Befähiger zur Erfüllung der neuen regulatorischen Anforderungen in Europa.

Kurzüberblick: ISO 27001 Anhang A vs. NIS2 vs. DORA

Diese Ausrichtung zeigt, wie eine einzelne ISO-Maßnahme mehrere regulatorische Anforderungen unterstützen kann. Damit wird ISO 27001 zu einem direkten Befähiger für die Compliance mit NIS2 und DORA.

Vorbereitung auf Prüfungen: Was Auditoren fragen werden

Wenn Aufsichtsbehörden oder Auditoren anklopfen, suchen sie nach greifbaren Nachweisen für ein gelebtes Sicherheits- und Resilienzprogramm, nicht nur nach einem Satz von Dokumenten. Sie prüfen, ob Ihre Richtlinien umgesetzt sind, Ihre Kontrollen wirksam sind und Ihre Pläne getestet wurden. Wer diesen Fokus versteht, kann die richtigen Nachweise vorbereiten und sicherstellen, dass die Teams auf anspruchsvolle Fragen vorbereitet sind.

Die Hinweise aus Zenith Blueprint, einem Fahrplan für Auditoren, bieten wertvolle Einblicke in das, was zu erwarten ist. Auditoren gehen zentrale Domänen systematisch durch; auf jede davon müssen Sie vorbereitet sein.

Nachfolgend eine Checkliste dessen, was Auditoren anfordern und was sie auf Basis ihrer Methodik tun werden:

1. Governance und Verpflichtung der Leitung:

• Was angefordert wird: Protokolle von Sitzungen des Leitungsorgans, Geschäftsordnungen oder Mandate von Risikoausschüssen sowie freigegebene Fassungen der wichtigsten Informationssicherheitsleitlinien.
• Was geprüft wird: Wie in Zenith Blueprint unter „Phase 1, Step 3: Understand the Governance Framework“ beschrieben, werden Auditoren „überprüfen, dass das Leitungsorgan die ISMS-Richtlinie formal genehmigt hat und regelmäßig über das Risikoprofil der Organisation informiert wird“. Gesucht werden Nachweise aktiver Einbindung, nicht nur eine Unterschrift auf einem ein Jahr alten Dokument.

2. Drittparteienrisikomanagement:

• Was angefordert wird: Ein vollständiges Inventar der IKT-Lieferanten, Verträge mit kritischen Anbietern, Berichte zu Lieferantenrisikobeurteilungen und Nachweise der laufenden Überwachung.
• Was geprüft wird: In „Phase 4, Step 22: Assess Third-Party Risk Management“ liegt der Fokus des Auditors auf gebotener Sorgfalt und vertraglicher Belastbarkeit. Zenith Blueprint nennt die zentral erforderlichen Nachweise: „Verträge, Service Level Agreements (SLAs) und Auditberichte von Lieferanten.“ Auditoren prüfen diese Dokumente sorgfältig darauf, ob sie die von DORA geforderten spezifischen Klauseln enthalten, etwa Auditrechte und klare Sicherheitsverpflichtungen.

3. Incident-Response- und Business-Continuity-Pläne:

• Was angefordert wird: Ihr Incident-Response-Plan, Business-Continuity-Plan, Disaster-Recovery-Plan und vor allem die Ergebnisse Ihrer letzten Tests, Übungen und Simulationen.
• Was geprüft wird: Auditoren lesen Ihre Pläne nicht nur. Wie in „Phase 3, Step 15: Review Incident Response and Business Continuity Plans“ ausgeführt, liegt ihr Schwerpunkt auf „Tests und Validierung der Pläne“. Sie fordern Nachberichte aus Tabletop-Übungen, Ergebnisse von Penetrationstests (insbesondere TLPT-Berichte für DORA) sowie Nachweise, dass Feststellungen aus diesen Tests bis zur Behebung nachverfolgt wurden. Ein Plan, der nie getestet wurde, gilt aus Sicht eines Auditors als nicht existent.

4. Security Awareness und Schulung:

• Was angefordert wird: Schulungsunterlagen, Abschlussnachweise für unterschiedliche Mitarbeitergruppen einschließlich des Leitungsorgans sowie Ergebnisse aus Phishing-Simulationen.
• Was geprüft wird: In „Phase 2, Step 10: Evaluate Security Awareness and Training“ werden Auditoren „die Wirksamkeit des Schulungsprogramms anhand von Inhalt, Häufigkeit und Abschlussquoten bewerten“. Sie erwarten, dass Schulungen auf spezifische Rollen zugeschnitten sind und ihre Wirksamkeit gemessen wird.

Wer diese Nachweise im Voraus vorbereitet, verwandelt ein Audit von einer stressigen, reaktiven Aufholjagd in eine strukturierte Darstellung der Reife und der Resilienzverpflichtung der Organisation.

Häufige Fallstricke

Der Weg zur Compliance mit NIS2 und DORA ist klar, dennoch können mehrere häufige Fallstricke auch gut gemeinte Initiativen entgleisen lassen. Das Bewusstsein für diese Risiken ist der erste Schritt, sie zu vermeiden.

1. Die „Nur-IT“-Denkweise: NIS2 und DORA ausschließlich als Problem der IT- oder Cybersicherheitsabteilung zu behandeln, ist der häufigste Fehler. Es handelt sich um Regelwerke auf Unternehmensebene mit Fokus auf operationale Resilienz. Ohne Rückhalt und aktive Beteiligung des Leitungsorgans sowie der Verantwortlichen der Geschäftsbereiche wird jede Compliance-Initiative daran scheitern, die Kernanforderungen an Governance und Risikoverantwortung zu erfüllen.

2. Unterschätzung der Lieferkette: Viele Organisationen haben einen blinden Fleck, wenn es um das tatsächliche Ausmaß ihrer Abhängigkeit von IKT-Drittdienstleistern geht. Insbesondere DORA verlangt ein tiefes und vollständiges Verständnis dieses Ökosystems. Das bloße Versenden eines Sicherheitsfragebogens reicht nicht mehr aus. Werden nicht alle kritischen Lieferanten korrekt identifiziert und robuste Sicherheits- und Resilienzanforderungen vertraglich verankert, entsteht eine erhebliche Compliance-Lücke.

3. „Papierbasierte“ Resilienz: Detaillierte Incident-Response- und Business-Continuity-Pläne zu erstellen, die auf dem Papier überzeugend aussehen, aber nie in einem realistischen Szenario getestet wurden. Auditoren und Aufsichtsbehörden erkennen dies sofort. Resilienz wird durch Handeln nachgewiesen, nicht durch Dokumentation. Das Fehlen regelmäßiger, anspruchsvoller Tests ist ein klares Warnsignal dafür, dass die Organisation nicht auf eine reale Krise vorbereitet ist.

4. Ignorieren von Bedrohungsinformationen: Nur auf Bedrohungen zu reagieren, ist keine tragfähige Strategie. Sowohl NIS2 als auch DORA verlangen implizit und ausdrücklich einen proaktiveren, informationsgestützten Sicherheitsansatz. Organisationen, die keinen Prozess zur Erhebung, Analyse und Nutzung von Bedrohungsinformationen etablieren, werden Schwierigkeiten haben nachzuweisen, dass sie Risiken wirksam steuern, und bleiben Angreifern dauerhaft einen Schritt hinterher.

5. Compliance als Einmalprojekt behandeln: NIS2 und DORA sind keine Projekte mit Enddatum. Sie begründen fortlaufende Anforderungen an Überwachung, Berichterstattung und kontinuierliche Verbesserung. Organisationen, die dies als Wettlauf zur Frist verstehen und danach Ressourcen wieder zurückfahren, geraten schnell in die Nichteinhaltung und sind auf das nächste Audit oder, schlimmer noch, den nächsten Vorfall nicht vorbereitet.

Nächste Schritte

Der Weg zur Compliance mit NIS2 und DORA ist ein Marathon, kein Sprint. Er erfordert einen strategischen, strukturierten Ansatz auf Grundlage bewährter Rahmenwerke. Der wirksamste Weg besteht darin, die umfassenden Maßnahmen von ISO 27001 als Fundament zu nutzen.

1. Gap-Analyse durchführen: Beginnen Sie mit der Bewertung Ihres aktuellen Risikoprofils gegenüber den Anforderungen von NIS2, DORA und ISO 27001. Unser zentraler Leitfaden Zenith Controls bietet die detaillierte Zuordnung, die Sie benötigen, um zu verstehen, wo Ihre Kontrollen die Anforderungen erfüllen und wo Lücken bestehen.

2. Ihr ISMS aufbauen: Falls Sie noch keines haben, etablieren Sie ein formales Informationssicherheits-Managementsystem. Nutzen Sie unsere Sammlung von Richtlinienvorlagen, etwa das Full SME Pack - SME oder das Full Enterprise Pack, um die Entwicklung Ihres Governance-Rahmenwerks zu beschleunigen.

3. Auf Audits vorbereiten: Nehmen Sie von Anfang an die Perspektive eines Auditors ein. Nutzen Sie Zenith Blueprint, um zu verstehen, wie Ihr Programm geprüft wird, und um die Nachweisbasis aufzubauen, mit der Sie Compliance belastbar belegen können.

Fazit

Das Inkrafttreten der NIS2-Richtlinie und der DORA-Verordnung markiert einen Wendepunkt für Cybersicherheit und operationale Resilienz in Europa. Es handelt sich nicht lediglich um inkrementelle Aktualisierungen bestehender Regeln, sondern um eine grundlegende Neugestaltung regulatorischer Erwartungen: höhere Rechenschaftspflicht der Leitung, tiefere Prüfung der Lieferkette und ein nachweisbares Bekenntnis zur Resilienz.

Die Herausforderung ist erheblich, zugleich aber eine Chance. Sie bietet die Möglichkeit, über reine Checkbox-Compliance hinauszugehen und ein wirklich robustes Informationssicherheits-Risikoprofil aufzubauen, das nicht nur Aufsichtsbehörden überzeugt, sondern die Organisation auch vor der weiter wachsenden Gefahr von Störungen schützt. Durch den strukturierten, risikobasierten Ansatz von ISO 27001 können Organisationen ein einheitliches Programm aufbauen, das die Kernanforderungen beider Regelwerke effizient und wirksam adressiert. Der Weg dorthin erfordert Engagement, Investitionen und einen kulturellen Wandel von oben. Das Ergebnis ist jedoch eine Organisation, die nicht nur compliant ist, sondern angesichts moderner digitaler Bedrohungen tatsächlich resilient bleibt.