Wer digitale Produkte in Europa verkaufen will, kennt das Spiel mit der CE-Kennzeichnung: technische Unterlagen zusammenstellen, Konformität erklären, Label aufkleben, fertig. Zumindest war es lange so. Mit dem Cyber Resilience Act (CRA) beginnt eine neue Ära. Das CE-Zeichen bleibt, doch sein Inhalt wandelt sich grundlegend. Neben elektrischer Sicherheit, EMV und Produkthaftung rückt nun Cybersicherheit in den Mittelpunkt – nicht als freiwillige Beigabe, sondern als zwingende Marktzutrittsbedingung.

Dieser Text erklärt – ohne Angst, aber ohne Beschönigung – was das praktisch bedeutet. Er richtet sich an Produktmanager, CTOs, Compliance-Verantwortliche, Gründerinnen und Gründer, Einkäufer und Integratoren. Er erzählt, wie man vom ersten Architekturentwurf bis zur letzten Seriennummer CE-fähig bleibt, warum die Dokumentation plötzlich strategisch wird, wieso Vulnerability-Handling und Meldepflichten zu einem neuen „Betriebssystem“ für Hersteller werden – und an welchen Stellen Unternehmen erfahrungsgemäß stolpern. Alles in flüssigem Text, mit punktuellen Einschüben dort, wo es das Verständnis erleichtert.

ITIL ist die Abkürzung für "Information Technology Infrastructure Library" und stellt eine Bibliothek mit einer Sammlung von Best-Practices zum Servicemanagement in der IT dar. Die erste Ausgabe der ITIL Bibliothek stammt aus dem Jahre 1989. Nach unterschiedlichen, jedoch nicht offiziell bestätigten Quellen, wird die Entwicklung dieser Bibliothek der britischen Premierministerin Margaret Thatcher zugeordnet. Sie soll, ausgelöst durch den Falklandkrieg, im britischen Unterhaus die Effizienz und die Effektivität der gelieferten IT-Leistungen in englischen Behörden angezweifelt haben. Als Ergebnis dieser Anfrage wurde von der Central Computer and Telecommunications Agency (CCTA) die erste Version des Leitfadens entwickelt.

Bis Mitte der 90er Jahre hat sich ITIL zu einem de facto Standard für IT-Service Management in England entwickelt. Da er in der ersten Fassung aus über 34 Dokumenten mit jeweils 26 separaten Modulen bestand, war das als ITIL (v1) benannte Rahmenwerk außerhalb von England kaum bekannt.  Zwischen den Jahren 1999 und 2004 wurde diese umfangreiche Sammlung überarbeitet und in elf Büchern zusammengefasst als ITIL Version 2 veröffentlicht. Kern dieses Best-Practice Rahmens waren die Prozesse Service-Support und Service-Delivery, also die Einteilung in geschäftsnahe und techniknahe/IT-betriebsnahe Prozesse.

COBIT 2019 hat die Governance-Welt geordnet wie kaum ein anderes Rahmenwerk: modular, prinzipienorientiert, mit klarem Blick auf Unternehmensziele und mit einem Werkzeugkasten, der vom Vorstandsbeschluss bis zum operativen Ticket durchdekliniert ist. Doch der eigentliche Test beginnt nicht im Handbuch, sondern im Alltag. Erst dort zeigt sich, ob ein Framework bewegt, was es verspricht: Entscheidungen besser machen, Risiken beherrschbar halten, Innovation ermöglichen – und all das so, dass man es später belegen kann. Der Praxistest der letzten Jahre liefert eine klare Erkenntnis: 2019 war ein Startsignal, kein Endpunkt. Wer heute auf COBIT setzt, nutzt es nicht als Checkliste, sondern als Betriebssystem für Steuerung – ein Kompass, der Organisationen befähigt, in Bewegung zu bleiben, ohne die Richtung zu verlieren.

Vom Kapitel zur Kette: Was COBIT 2019 wirklich verändert

Der größte Fortschritt von COBIT 2019 liegt nicht in einem neuen Prozessnamen, sondern in der Kohärenz. Governance wird als System verstanden, in dem Ziele, Entscheidungen, Maßnahmen, Metriken und Nachweise eine Kette bilden. Diese Kette ist keine Theorie: Sie beginnt bei der Goals Cascade (Unternehmensziele → I&T-bezogene Ziele → Governance- und Management-Objectives) und führt über Governance-Komponenten (Prozesse, Organisationsstrukturen, Prinzipien/Policies/Prozeduren, Informationen, Kultur/Ethik/Verhalten, Services/Applikationen/Infrastruktur, Menschen/Kompetenzen) bis hin zum Performance Management (Fähigkeitsniveaus, Messkriterien, Zielwerte). In der Praxis bedeutet das: Man steuert nicht mehr „die IT“, sondern die Wirkung von Information & Technology auf das Geschäft – und man tut es so, dass man es jeden Tag sehen und jeden Monat beweisen kann.

COBIT war schon immer mehr als nur ein Framework für IT-Kontrollen. Seit den frühen Versionen in den 1990er-Jahren bis hin zur Neuausrichtung mit COBIT 2019 hat sich gezeigt: Wer Informationen und Technologie wirksam steuern will, braucht einen klaren Ordnungsrahmen, der Strategie, Risiko und operatives Handeln zusammenführt. Doch so reif COBIT 2019 auch ist – die Welt steht nicht still. Cloud-Ökosysteme, KI-getriebene Produkte, geopolitische Spannungen, verschärfte Regulierung und der Fokus auf digitale Resilienz verschieben den Maßstab. Aus dieser Dynamik speist sich der Gedanke COBIT Next: nicht als einzelne Version mit Stichtag, sondern als nächste Evolutionsstufe einer Governance-Logik, die Orientierung statt Überforderung bietet.

Was COBIT Next meint – und was nicht

COBIT Next ist keine neue Checkliste. Es ist die konsequente Weiterentwicklung von COBIT 2019 hin zu einem Kompass, der Organisationen befähigt, Governance als lebenden Prozess zu betreiben. Die Fragen dahinter sind handfest: Wohin entwickelt sich Governance nach 2019? Welche Antworten braucht ein Unternehmen, wenn sich Geschäftsmodelle in Monaten drehen, regulatorische Erwartungen sich verdichten und Technologiezyklen im Wochenrhythmus laufen? Und vor allem: Wie entsteht Mehrwert aus Governance – nicht nur formale Compliance?

Es gibt Wörter, die klingen nach Papier, nach Formularen, nach Pflicht. „Governance“ gehört für viele in diese Kategorie. Wer jemals in einer Sitzung gesessen hat, in der Richtlinien gegeneinander abgewogen, Rollen diskutiert und Berichtslinien umgehängt wurden, weiß, wie schnell der Blick auf das Wesentliche verloren gehen kann: Was soll all das bewirken? Wozu dient der Aufwand jenseits von Auditoren, Aufsichtsbehörden und Checklisten? Genau hier hat sich COBIT in den letzten Jahren spürbar verändert. Aus einem Rahmenwerk, das Kontrollen sortiert, ist ein Kompass geworden, der Organisationen hilft, in einer zunehmend unübersichtlichen Landschaft die Richtung zu halten – dahin, wo Strategie, Technologie und Verantwortlichkeit sich nicht widersprechen, sondern sich gegenseitig verstärken.

Warum ein Kompass nötig ist

Die digitale Realität ist schneller als jeder Redaktionsschluss. Produkte werden in Wochenzyklen verändert, Services in der Cloud binnen Minuten bereitgestellt, Sicherheitslücken in Stunden ausgenutzt. Gleichzeitig nimmt die Dichte an Vorgaben stetig zu: Informationssicherheit, Datenschutz, Resilienz, Lieferkettensteuerung, Nachhaltigkeit, branchenbezogene IT-Anforderungen – jedes Themenfeld bringt eigene Begriffe, Rollen und Nachweispflichten mit. Wer versucht, diese Welten nebeneinander zu „managen“, gerät in eine Paradoxie: Je mehr kontrolliert wird, desto weniger wird gesteuert. Ein Kompass hilft, Prioritäten zu setzen, Widersprüche aufzulösen und alles, was wirklich wichtig ist, auf einen gemeinsamen Nenner zu bringen: Wirksamkeit. COBIT definiert genau dafür die Bausteine eines Governance-Systems, das nicht am Papier, sondern am Betrieb gemessen wird.