Es beginnt selten mit einem direkten Angriff auf das eigene Haus. Häufiger startet die Kettenreaktion einige Sprünge entfernt: ein „Minor Incident“ bei einem SaaS-Anbieter, eine Schwachstelle in einer File-Transfer-Lösung, ein überprivilegierter Account beim Managed Service Provider, ein Update, das im Build-Prozess eines Partners kompromittiert wurde. Für die Öffentlichkeit sind das zunächst nur Randnotizen. Für Betreiber kritischer oder wichtiger Dienste können es jedoch die Sekunden sein, in denen aus einem Fremdproblem eine eigene Meldepflicht wird. Spätestens mit NIS2 ist klar: Wer auf Lieferketten setzt (und wer tut das nicht?), trägt Verantwortung – und zwar nicht nur für die Prävention, sondern auch für die Meldung. Dieses „NIS2 im Nacken“-Gefühl ist kein Aktionismus, sondern Ausdruck einer Realität, in der Abhängigkeiten Teil des Kernbetriebs sind.

Dieser Beitrag erklärt, warum Lieferkettenereignisse unter NIS2 meldepflichtig werden können, wie sich Meldewege, Schwellen und Verantwortlichkeiten in der Praxis anfühlen, welche Governance-Bausteine jetzt zählen – und wie man den Spagat schafft zwischen Transparenz, Tempo und Verlässlichkeit. Nicht als trockene Gesetzeslektüre, sondern als Betriebsanleitung für den Ernstfall.

Es gibt Momente, in denen Regulierung nicht nur Regeln setzt, sondern eine ganze Organisation in den Spiegel schauen lässt. DORA und NIS2 sind genau solche Momente. Die eine Verordnung richtet sich mitten ins Herz der Finanzwelt und macht digitale Resilienz zur Chefsache. Die andere spannt den Bogen über große Teile der europäischen Wirtschaft und hebt Cybersicherheit auf ein neues, sektorübergreifendes Niveau. Zusammen erzeugen sie einen Druck, der weit über Checklisten hinausreicht: Governance wird zur Bewährungsprobe. Nicht mehr die Frage, ob Richtlinien existieren, sondern ob Steuerung messbar wirkt, entscheidet darüber, wie belastbar ein Unternehmen wirklich ist.

Der Doppeldruck: Zwei Wellen, ein Kernproblem

Viele Häuser erleben gerade zwei Wellen gleichzeitig. Von DORA her rollt die Erwartung, digitale Betriebsfähigkeit selbst unter Störung nachweislich zu sichern – mit Risikomanagement, Meldung, Tests und streng geführter Lieferkette. Von NIS2 her wächst der Anspruch, Cyberrisiken querschnittlich zu beherrschen – vom Vorstand über Technik bis hin zu Partnern und Dienstleistern. Auf den ersten Blick zwei Welten; in Wahrheit ein Kernproblem: Führung unter Unsicherheit. Wer beide Rahmen ernst nimmt, erkennt schnell: Governance ist nicht die Summe von Einzelanforderungen, sondern ein lebendes System, das Ziele, Risiken, Kontrollen, Daten und Entscheidungen miteinander verzahnt – und zwar so, dass man es jederzeit belegen kann.

Man hört es inzwischen auf fast jeder Konferenz und liest es in beinahe jeder Vorstandsvorlage: NIS2 und DORA sind gekommen, um zu bleiben. Zwei europäische Regelwerke, zwei unterschiedliche juristische Instrumente, ein gemeinsames Ziel: Europas digitale Widerstandskraft deutlich erhöhen. Auf den ersten Blick wirken beide wie Geschwister – beide verlangen strukturiertes Risikomanagement, Meldeprozesse, technische und organisatorische Schutzmaßnahmen, Verantwortlichkeit des Managements sowie einen klaren Blick auf die Lieferkette. Wer aber tiefer einsteigt, merkt schnell: Es sind keine Zwillinge, sondern eher zwei präzise Werkzeuge mit unterschiedlicher Klinge. NIS2 spannt den großen Bogen über viele Sektoren und Kategorien kritischer und wichtiger Einrichtungen; DORA wählt den chirurgischen Schnitt in das Betriebssystem der Finanzbranche und ihrer ICT-Dienstleister – inklusive Aufsicht über kritische Drittanbieter. Wer beides gleichzeitig erfüllen muss, steht vor der Aufgabe, Überschneidungen klug zu nutzen und Unterschiede bewusst zu adressieren. Genau darum geht es in diesem Beitrag: Was unterscheidet NIS2 und DORA, wo überlappen sie, und wie setzt man sie mit möglichst wenig Reibungsverlusten um?

Warum jetzt? Das gemeinsame „Warum“ hinter NIS2 und DORA

Beide Regelwerke sind Antworten auf eine Realität, die niemand mehr wegdiskutieren kann: Cyberangriffe sind zum Betriebsrisiko Nummer eins geworden, Lieferketten sind verwundbar, kritische Dienste hängen an digitaler Infrastruktur, die teils über Jahre zu wenig priorisiert wurde. Dazu kommt eine europäische Zielsetzung, Abhängigkeiten zu reduzieren und Mindeststandards hochzuziehen, damit ein Ausfall nicht zum Dominoeffekt wird. NIS2 setzt dabei in der Breite an und will, dass jeder kritische oder wichtige Player in Europa ein Mindestniveau erreicht – von Energie bis Gesundheit, von Verkehr bis Digitalinfrastruktur. DORA nimmt die Finanzbranche in den Fokus, weil operationale Resilienz dort unmittelbar systemrelevant ist: Ein stundenlanger Ausfall von Zahlungsverkehr, Börsenhandel oder Marktinfrastruktur ist weit mehr als eine Unannehmlichkeit.

Die neue NIS2-Richtlinie gilt als Meilenstein in der europäischen Cybersicherheitsgesetzgebung. Sie weitet den Anwendungsbereich deutlich aus, erhöht die Anforderungen und sieht spürbare Sanktionen vor. Für viele Unternehmen ist NIS2 jedoch nicht nur eine regulatorische Vorgabe, sondern auch eine ernsthafte organisatorische und technische Herausforderung. Denn zwischen dem Verständnis der Richtlinie und ihrer praktischen Umsetzung liegen oft Welten. Viele starten motiviert, geraten aber auf halber Strecke ins Stocken – nicht aus bösem Willen, sondern weil die Stolpersteine dort liegen, wo man sie zunächst gar nicht vermutet.

Dieser Beitrag zeigt die häufigsten Fallstricke, erklärt, warum sie gefährlich sind, und beschreibt konkrete Gegenmaßnahmen. Ziel ist, NIS2 nicht nur als Pflicht zu betrachten, sondern als Chance, die eigene Cyber-Resilienz nachhaltig zu stärken – mit klaren Verantwortlichkeiten, gelebten Prozessen und belastbaren Nachweisen.

Die EU verschärft ihre Anforderungen an die IT-Sicherheit – und zwar deutlich. Mit der NIS2-Richtlinie tritt ab Ende 2024 ein Regelwerk in Kraft, das für viele Unternehmen zum ersten Mal echte gesetzliche Pflichten im Bereich Cybersicherheit mit sich bringt. Die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 war ein erster Schritt in Richtung mehr Resilienz gegen Cyberangriffe, wurde jedoch in vielen Mitgliedstaaten zu zögerlich umgesetzt. Die Unterschiede zwischen den Ländern waren groß, und viele kritische Branchen blieben außen vor. NIS2 will genau das ändern: einheitliche Standards in ganz Europa schaffen, den Anwendungsbereich massiv erweitern und bei Verstößen spürbare Konsequenzen durchsetzen.

Für Unternehmen bedeutet das: Wer bisher dachte, nicht zu den „klassischen“ Betreibern kritischer Infrastrukturen zu gehören, könnte jetzt überraschend feststellen, dass er doch betroffen ist. Der Geltungsbereich wurde so ausgeweitet, dass nicht nur Stromversorger oder Krankenhäuser, sondern auch IT-Dienstleister, Logistikunternehmen, Lebensmittelproduzenten oder Betreiber von Online-Plattformen in den Fokus rücken. Die Umsetzungsfrist läuft am 17. Oktober 2024 ab – wer bis dahin nicht vorbereitet ist, riskiert Bußgelder, Aufsichtsmaßnahmen und Reputationsschäden. Gleichzeitig eröffnet NIS2 die Chance, Sicherheit strukturiert auf ein neues Niveau zu heben – mit messbarem Nutzen für Betrieb, Kundenvertrauen und Krisenfestigkeit.