Es beginnt selten mit einem direkten Angriff auf das eigene Haus. Häufiger startet die Kettenreaktion einige Sprünge entfernt: ein „Minor Incident“ bei einem SaaS-Anbieter, eine Schwachstelle in einer File-Transfer-Lösung, ein überprivilegierter Account beim Managed Service Provider, ein Update, das im Build-Prozess eines Partners kompromittiert wurde. Für die Öffentlichkeit sind das zunächst nur Randnotizen. Für Betreiber kritischer oder wichtiger Dienste können es jedoch die Sekunden sein, in denen aus einem Fremdproblem eine eigene Meldepflicht wird. Spätestens mit NIS2 ist klar: Wer auf Lieferketten setzt (und wer tut das nicht?), trägt Verantwortung – und zwar nicht nur für die Prävention, sondern auch für die Meldung. Dieses „NIS2 im Nacken“-Gefühl ist kein Aktionismus, sondern Ausdruck einer Realität, in der Abhängigkeiten Teil des Kernbetriebs sind.

Dieser Beitrag erklärt, warum Lieferkettenereignisse unter NIS2 meldepflichtig werden können, wie sich Meldewege, Schwellen und Verantwortlichkeiten in der Praxis anfühlen, welche Governance-Bausteine jetzt zählen – und wie man den Spagat schafft zwischen Transparenz, Tempo und Verlässlichkeit. Nicht als trockene Gesetzeslektüre, sondern als Betriebsanleitung für den Ernstfall.

Bis gestern haben Sie Features priorisiert, als ginge es um die Frage „Was bringt den nächsten großen Kunden, was begeistert die Presse, was macht den Vertrieb glücklich?“. Ab morgen steht eine andere Frage im Raum: „Welche dieser Funktionen können wir überhaupt noch verantworten, ohne gegen den Cyber Resilience Act (CRA) zu verstoßen – und wer haftet, wenn wir es trotzdem tun?“ Das mag dramatisch klingen, ist aber nüchtern betrachtet die neue Realität für alle, die Produkte mit digitalen Komponenten bauen, betreiben oder vertreiben. Der CRA dreht die Blickrichtung von außen nach innen: Weg von der Feature-Show, hin zur belastbaren Fähigkeit, ein Produkt über seinen gesamten Lebenszyklus sicher zu halten. Und genau deshalb sprengt er klassische Roadmap-Rituale – nicht aus Bosheit, sondern aus Notwendigkeit.

Was sich verändert, ist nicht nur eine Liste von Pflichten, sondern die Logik, nach der Sie Entscheidungen treffen. Der CRA macht Sicherheit zu einer Marktzulassungsbedingung und verknüpft sie mit nachweisbarer Sorgfalt. Wo bislang „Security“ ein Arbeitspaket im Projektplan war, wird sie zur architektonischen Grundannahme und zur Managementaufgabe, an der sich Budgets, Zeitpläne, Vertragswerke und sogar Marketingclaims ausrichten müssen. Wer Roadmaps weiterhin wie Wunschzettel behandelt, produziert in Zukunft nicht Innovationen, sondern Haftungsrisiken.

Es gibt Regulierungstexte, die man einmal liest, abnickt und dann in den Schrank stellt. Und es gibt Gesetze wie den Cyber Resilience Act (CRA): Er verändert, wie Produkte mit digitalen Funktionen in Europa entwickelt, gebaut, ausgeliefert, gepflegt und aus dem Verkehr gezogen werden. Der CRA ist kein weiteres „nice to have“ in Sachen IT-Security, sondern die neue Grundlinie, an der sich künftig jedes „Produkt mit digitalen Elementen“ messen lassen muss – vom smarten Heizkörperthermostat über Routers, Türschlösser, Kameras, Medizingeräte-Software bis hin zu industriellen Steuerungen, Entwicklungswerkzeugen, Passwortmanagern oder Betriebssystemen.

Der CRA ist seit Ende 2024 im EU-Amtsblatt veröffentlicht und in Kraft; die Pflichten greifen gestaffelt: Die Melde- und Vulnerability-Management-Pflichten gelten 21 Monate nach Inkrafttreten, die übrigen Pflichten nach 36 Monaten – also spätestens Ende 2027 muss das Regelwerk in der Breite erfüllt sein. Wer ab dann Produkte in der EU „in Verkehr bringt“ (Hersteller), importiert (Importeure) oder weiterverkauft (Händler), bewegt sich nur noch innerhalb dieses neuen Spielraums. Das gilt auch für Unternehmen außerhalb der EU, die ihre Soft- oder Hardware hier vermarkten: Sie benötigen einen in der EU ansässigen Bevollmächtigten und unterliegen denselben Regeln.

Viele Unternehmen betrachten regulatorische Vorgaben zunächst als zusätzliche Belastung. Neue Gesetze bringen neue Pflichten, mehr Dokumentation, strengere Kontrollen – und das alles kostet Zeit, Geld und Nerven. Auch beim Digital Operational Resilience Act (DORA) war die erste Reaktion in manchen Vorständen und IT-Abteilungen verhalten. „Schon wieder eine EU-Verordnung, die uns Arbeit macht“, lautete der Tenor. Doch wer DORA nur als Pflichtübung versteht, übersieht das Potenzial, das in dieser Verordnung steckt. Richtig umgesetzt, kann DORA nicht nur helfen, Risiken zu reduzieren und Compliance sicherzustellen, sondern auch zu einem echten Wettbewerbsvorteil werden. Resilienz ist in einer digitalisierten Wirtschaft nicht nur eine Frage der Sicherheit – sie ist ein entscheidender Faktor für Vertrauen, Reputation und langfristigen Erfolg.

Von Mindeststandards zu Marktvorteilen: Die fünf Säulen als Wachstumshebel

Das beginnt mit einem Blick auf die Grundidee hinter DORA. Die Verordnung will nicht einfach nur Mindeststandards für die IT-Sicherheit festlegen, sondern die gesamte digitale Widerstandsfähigkeit von Finanzunternehmen und ihren Dienstleistern stärken. Das umfasst IKT-Risikomanagement, Incident Reporting, Resilienztests, Management von Drittparteien und den Informationsaustausch im Sektor. Wer diese fünf Säulen konsequent umsetzt, ist nicht nur gesetzeskonform, sondern auch deutlich robuster gegenüber Cyberangriffen, Systemausfällen oder Lieferkettenstörungen. Diese Robustheit ist kein Selbstzweck – sie sorgt dafür, dass das Unternehmen in Krisensituationen handlungsfähig bleibt, Kundenbeziehungen stabil hält und Schäden minimiert. Genau hier entstehen handfeste Vorteile: niedrigere Ausfallzeiten, schnellere Wiederanläufe, bessere Konditionen in Ausschreibungen, höhere Abschlussquoten im Vertrieb und ein spürbar geringeres Reputationsrisiko.

Seit Jahren diskutieren Politik, Wirtschaft und IT-Sicherheits-Expert:innen über die Frage, wie man die digitale Widerstandsfähigkeit (Resilienz) von Finanzunternehmen in Europa einheitlich, verbindlich und zukunftsfähig gestalten kann. Cyberangriffe, Systemausfälle und Abhängigkeiten von kritischen Dienstleistern sind längst nicht mehr theoretische Risiken, sondern harte Realität. Mit dem Digital Operational Resilience Act – kurz DORA – hat die Europäische Union nun ein Regelwerk geschaffen, das genau hier ansetzt: einheitliche, verbindliche und umfassende Anforderungen an den Umgang mit IKT-Risiken in der Finanzbranche. Das Ziel ist klar: Finanzunternehmen sollen in der Lage sein, auch unter extremen digitalen Störungen weiter handlungsfähig zu bleiben. Doch was heißt das konkret? Und warum betrifft es so viele Unternehmen viel direkter, als manche denken?

Dieser Beitrag erklärt DORA verständlich und praxisnah: von Geltungsbereich und Kernanforderungen über Governance und Testkonzepte bis hin zu konkreten Umsetzungsschritten, KPIs und typischen Fallstricken. Er richtet sich an Praktiker:innen, die in kurzer Zeit einen klaren Umsetzungsplan brauchen – und an Führungskräfte, die wissen wollen, wofür sie Verantwortung tragen.