Die NIS2-Richtlinie ist beschlossen, die Frist zur nationalen Umsetzung läuft – und für viele Unternehmen stellt sich jetzt die Frage: Wie fange ich an? Die Umsetzung ist mehr als ein paar technische Anpassungen. Sie verlangt ein strukturiertes Vorgehen, das rechtliche Anforderungen, organisatorische Prozesse und technische Maßnahmen sauber miteinander verbindet. Wer unvorbereitet startet, verzettelt sich leicht in Detailfragen, investiert zu früh in falsche Tools oder lässt kritische Lücken beim Incident-Handling, in der Lieferkette oder im Reporting. Gleichzeitig wächst der Druck: Sobald die Vorgaben im nationalen Recht scharf geschaltet sind, drohen Bußgelder, aufsichtsrechtliche Prüfungen und – wichtiger als alles andere – echte Sicherheitsrisiken bei unzureichender Resilienz.

Der rote Faden dieses Beitrags ist ein praktikabler 5-Schritte-Plan. Er beantwortet die drei Kernfragen „Bin ich betroffen?“, „Wo stehe ich?“ und „Wie komme ich planvoll in den Soll-Zustand?“ – und zwar mit der nötigen Tiefe, ohne in Bürokratismus abzurutschen. Ergänzend finden Sie konkrete Artefakte, Verantwortlichkeiten, Zeitpläne, Kennzahlen und Stolpersteine aus der Praxis, damit NIS2 nicht zum Großprojekt ohne Ende, sondern zum belastbaren Betriebszustand wird.

Die Digitalisierung der Finanzwelt hat in den letzten Jahren einen klaren Trend hervorgebracht: Immer mehr Leistungen werden an externe Partner ausgelagert. Cloud-Computing, spezialisierte IT-Dienstleister, externe Rechenzentren, Software-as-a-Service-Lösungen oder Managed Security Services – kaum ein Finanzunternehmen betreibt heute noch seine gesamte IT selbst. Diese Entwicklung hat enorme Vorteile: schnellere Innovation, flexiblere Skalierung, Zugang zu Spezialwissen und oft auch Kostenvorteile. Doch sie hat eine Schattenseite, die spätestens mit dem Inkrafttreten von DORA in den Mittelpunkt rückt: Die Abhängigkeit von Drittanbietern kann zur Achillesferse werden, wenn Risiken nicht konsequent gemanagt werden. DORA macht deshalb das Management von IKT-Drittparteien zu einer eigenen Säule der digitalen Resilienz – mit klaren Vorgaben, die deutlich über das hinausgehen, was bisher viele Unternehmen praktiziert haben.

Der Grundsatz: Auslagerung hebt Verantwortung nicht auf

Der Kern der DORA-Vorgaben ist einfach: Unternehmen bleiben auch dann vollständig verantwortlich, wenn sie kritische Funktionen an externe Partner auslagern. Es gibt kein „Das macht unser Dienstleister, darum kümmern wir uns nicht“ mehr. Vielmehr muss jedes Unternehmen sicherstellen, dass auch ausgelagerte Services den gleichen Resilienz- und Sicherheitsstandards entsprechen wie interne Leistungen. Das bedeutet, dass die Auswahl, Überwachung und vertragliche Absicherung von Drittanbietern einen zentralen Platz im Risikomanagement bekommt. Schon vor Vertragsabschluss muss geprüft werden, ob ein Anbieter die technischen, organisatorischen und finanziellen Voraussetzungen erfüllt, um die ausgelagerten Leistungen sicher und stabil zu erbringen. Diese Prüfung ist keine reine Formalität, sondern muss dokumentiert, nachvollziehbar und auf die kritischen Funktionen des Unternehmens zugeschnitten sein.

Wer in einer Organisation für Informationssicherheit, Compliance oder IT verantwortlich ist, weiß: Sicherheitsvorfälle passieren nicht nur bei anderen. Irgendwann kommt der Tag, an dem ein System ausfällt, Daten abfließen oder ein Cyberangriff den Geschäftsbetrieb stört. Für viele Unternehmen ist das ein Schreckmoment, der Adrenalin freisetzt und schnell in hektisches Handeln münden kann. Genau hier setzt DORA mit klaren Vorgaben für das Incident Reporting an – der strukturierten Meldung von schweren IKT-Vorfällen an die zuständigen Behörden. Die Idee dahinter ist einfach: Wenn Vorfälle einheitlich, zeitnah und vollständig gemeldet werden, können Aufsichtsbehörden die Lage besser einschätzen, koordinierte Gegenmaßnahmen einleiten und vor allem verhindern, dass ähnliche Angriffe unbemerkt andere Unternehmen treffen. Für die betroffenen Organisationen bedeutet das aber auch, dass sie ihre internen Prozesse so aufstellen müssen, dass sie im Ernstfall nicht improvisieren, sondern nach einem klaren Plan vorgehen.

Was unter DORA als schwerwiegender IKT-Vorfall gilt – und warum das nicht nur „große Hacks“ sind

Der erste Schritt ist das Verständnis, was unter DORA überhaupt als „schwerwiegender IKT-Vorfall“ gilt. Hier geht es nicht nur um spektakuläre Hackerangriffe oder großflächige Systemausfälle. Auch lang anhaltende Beeinträchtigungen einzelner kritischer Prozesse, der Verlust sensibler Daten oder sicherheitsrelevante Störungen in der Lieferkette können meldepflichtig sein. DORA definiert Kriterien, die sich an der Auswirkung auf Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität orientieren. Dazu zählen unter anderem die Anzahl betroffener Kunden, die Dauer der Störung, die geographische Reichweite, die potenziellen finanziellen Verluste und mögliche Auswirkungen auf die Stabilität des Finanzsystems. Unternehmen müssen diese Kriterien nicht erst im Ernstfall nachschlagen, sondern schon vorab in ihre eigenen Bewertungsverfahren integrieren. Gute Praxis ist eine interne Schwellwertmatrix, die technische Indikatoren (z. B. Umfang der Beeinträchtigung, Exfiltrationsindikatoren) mit Geschäftsauswirkungen (z. B. SLAs, verpasste Zahlungen, Marktkommunikation) verbindet und so schnell zur Entscheidung „meldepflichtig – ja/nein“ führt.

Der Begriff BSI IT-Grundschutz klingt für viele zunächst nach einer komplizierten Sammlung von Vorschriften, die nur Behörden oder große Konzerne verstehen. Tatsächlich ist er eines der umfassendsten und praxisorientiertesten Werkzeuge, um Informationssicherheit strukturiert aufzubauen – und er stammt aus Deutschland. Entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), ist der IT-Grundschutz nicht nur ein theoretisches Modell, sondern ein praxiserprobtes Vorgehenskonzept, das Schritt für Schritt beschreibt, wie Organisationen ihre Informationswerte systematisch schützen können. Das Ziel: Sicherheit so in den Alltag integrieren, dass sie wirksam ist und trotzdem zum Geschäft passt. Wer mit IT-Grundschutz arbeitet, bekommt ein Methodenhandbuch, ein Maßnahmenbaukasten und eine gemeinsame Sprache für alle Beteiligten – von der IT über Compliance und Einkauf bis zur Geschäftsführung.

Ganzheitlicher Ansatz statt reiner Technikfixierung

Das Besondere am IT-Grundschutz ist seine ganzheitliche Sichtweise. Während manche Standards sich vor allem auf technische Maßnahmen konzentrieren, deckt der IT-Grundschutz alle relevanten Bereiche ab: Organisation, Personal, Technik, Infrastruktur und Notfallvorsorge. Er beginnt nicht mit Firewalls und Verschlüsselung, sondern mit der Frage: Was genau wollen wir schützen? Welche Informationen, Systeme und Prozesse sichern den Wertschöpfungsfluss – und welche Schäden drohen, wenn sie kompromittiert werden? Darauf aufbauend empfiehlt der Grundschutz differenziert skalierte Schutzmaßnahmen, die in der Praxis funktionieren und auditierbar sind. Die Folge: nicht „Sicherheit um der Sicherheit willen“, sondern angemessener Schutz nach Schutzbedarf und Risiko.

Wer sich ernsthaft mit Informationssicherheit beschäftigt, stößt früher oder später auf eine Flut an Abkürzungen und Normenbezeichnungen: ISO 27001, ISO 27002, BSI IT-Grundschutz, NIST, COBIT, TISAX, DORA, DSGVO – und das ist nur der Anfang. Für Außenstehende wirkt dieses Regelwerk wie ein unüberschaubarer Dschungel aus Vorschriften, Empfehlungen und Zertifizierungen. Doch wer die wichtigsten Normen kennt und versteht, erkennt schnell, dass sie mehr sind als bloße Bürokratie: Sie sind Werkzeuge, die Struktur schaffen, Risiken reduzieren, Compliance sichern und Vertrauen aufbauen. Das Ziel ist immer dasselbe – Informationen schützen –, aber die Wege dorthin unterscheiden sich. Manche Normen sind international, andere national. Manche sind gesetzlich vorgeschrieben, andere freiwillig, aber in vielen Branchen de facto unverzichtbar. Richtig eingesetzt, machen Normen Informationssicherheit planbar, messbar und nachhaltig – und zwar nicht trotz, sondern wegen ihrer Struktur.

ISO/IEC 27001: Der globale Rahmen für ein wirksames ISMS

ISO/IEC 27001 ist der weltweit anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Sein Fokus liegt nicht auf Checklisten, sondern auf Management: Risiken verstehen, Ziele setzen, Maßnahmen festlegen, Wirksamkeit prüfen und fortlaufend verbessern. Die Norm folgt der harmonisierten ISO-Struktur (High Level Structure) und lässt sich daher gut mit anderen Managementsystemen (z. B. ISO 9001, ISO 22301) integrieren. Herzstück ist die risikobasierte Steuerung. Unternehmen entscheiden – auf Basis einer nachvollziehbaren Risikoanalyse – selbst, welche Kontrollen angemessen sind, und dokumentieren diese Auswahl in der „Statement of Applicability“ (SoA). Genau diese Flexibilität macht ISO 27001 so mächtig: Ein FinTech, ein Klinikum und ein Maschinenbauer können völlig unterschiedliche Kontrollen wählen und dennoch konform sein, solange die Auswahl risikogerecht und wirksam belegt ist. Das Zertifikat dient international als Gütesiegel: Es signalisiert Kunden, Partnern und Aufsichten, dass Informationssicherheit nicht dem Zufall überlassen wird, sondern nach einem anerkannten Regelwerk geführt wird.