DORA- und NIS-2-Compliance: Von der Pflicht zur Chance

Das Management von Cybergefahren wird durch neue gesetzliche Vorgaben ab 2025 zu einer zentralen Führungsaufgabe in Unternehmen. Infolge der neuen Richtlinien DORA und NIS-2 müssen daher viele Unternehmen ihre IT-Sicherheitsstrukturen rasch verbessern. So zielt etwa DORA auf den Finanz- und Versicherungssektor und fordert von Banken und Finanzdienstleistern, bis Anfang
2025 nachzuweisen, dass ihre digitalen Systeme robust und widerstandsfähig gegen Cyberattacken sind. Die Umsetzung der in Brüssel bereits beschlossenen Richtlinie NIS-2 wird in Deutschland aller Voraussicht nach im Frühjahr 2025 umgesetzt und dann für deutsche Unternehmen verbindlich sein.

NIS-2 trifft viele Branchen

Die NIS-2-Richtlinie richtet sich an Unternehmen der kritischen Infrastruktur in den Bereichen Energie, Verkehr, Gesundheit sowie digitale Infrastruktur und betrifft indirekt auch viele Zulieferer, da NIS-2 die Lieferketten miteinbezieht. Geschäftsführer müssen dafür sorgen, dass Risikomanagementmaßnahmen im Unternehmen ergriffen werden und deren Einhaltung überwachen. Kommen sie diesen Pflichten nicht nach, haften Geschäftsführer einer GmbH oder der Vorstand einer AG persönlich. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kann zudem sogar die Geschäftsführungsbefugnis vorübergehend untersagen.

Das erhöht den Druck auf die Unternehmensleitungen, die Vorgaben fristgerecht umzusetzen. Dafür sollten alle im Unternehmen vorhandenen Prozesse, Beziehungen und Notfallpläne erfasst und digital so verwaltet werden, dass sie ein modernes und effektives Risiko- und Krisenmanagement ermöglichen. Digitale Managementlösungen erstellen zu diesem Zweck ein virtuelles Abbild der Prozesse und ihrer Beziehungen im Unternehmen.

Beim Aufsetzen beziehungsweise der Einführung solcher Systeme sollten Unternehmen darauf achten, die geltenden Datenschutzregeln zu befolgen. Zudem sollte man schon bei der Planung daran denken, dass der Regulator auch im Nachgang noch Änderungen an den Vorgaben machen kann, weshalb die Systeme eine hohe Flexibilität und Anpassungsfähigkeit bieten sollten.

Unterstützung durch SaaS-Managementlösungen

Cloudbasierte Systeme, wie etwa Software-as-a-Service-(SaaS)-Managementsysteme, erfüllen diese Anforderungen in der Regel per Design. Sie ermöglichen die Digitalisierung der gesamten Geschäftsarchitektur und die Verknüpfung aller regulatorischen Anforderungen auf einer zentralen, cloudbasierten und im besten Fall ISO-zertifizierten Plattform. Die Digitalisierung der Unternehmensprozesse verschafft einen umfassenden Überblick, mit dem Risiken effizient identifiziert und gemanagt werden können. Durch die Integration von Prozessen, Risiken, Kontrollen und Compliance-Vorgaben in einem System ermöglichen solche Lösungen eine regelbasierte Steuerung.

Viele SaaS-Managementlösungen verfolgen einen 360-Grad-Ansatz, der eine vollständige Governance sicherstellt. Indem sie alle regulatorischen Anforderungen mit den bestehenden Geschäftsprozessen verknüpfen, bieten sie eine Übersicht über die gesamte Unternehmensstruktur. Das erleichtert nicht nur die Einhaltung der DORA- und NIS-2-Vorgaben, sondern hilft auch dabei, Abhängigkeiten und Risiken frühzeitig zu erkennen und gezielt darauf zu reagieren. Unternehmen können so ihre Widerstandsfähigkeit gegenüber Cyberangriffen und IT-Krisen deutlich verbessern.

Risiko- und Kontrollmanagement

SaaS-Managementlösungen unterstützen auch das Risiko- und Kontrollmanagement. Risiken von Drittparteien lassen sich systematisch kontrollieren, zugleich lässt sich ein nachhaltiges Kontrollmanagement etablieren. Dies umfasst auch die kontinuierliche Überwachung der Einhaltung von Sicherheits- und Compliance-Vorgaben durch integrierte Tools. So bleiben Unternehmen stets auf dem neuesten Stand der Technik und erfüllen die gesetzlichen Anforderungen.

Trotz aller Vorbereitung und Gefahrenabwehr: Einen vollständigen Schutz gegen Cyberangriffe gibt es nicht. Unternehmen müssen daher jederzeit auf ein Worst-Case-Szenario vorbereitet sein. Um auch im Angriffsfall handlungsfähig zu bleiben, benötigen sie ein starkes Krisenmanagement. Hier empfiehlt es sich, auf spezifizierte SaaS-basierte Managementsysteme zurückzugreifen, die für diese Anwendungsfälle designt wurden. Derartige Krisen-Managementsysteme bieten die Möglichkeit, proaktiv und intelligent mit den Risiken eines Cyberangriffs umzugehen. Sie identifizieren und bewerten sämtliche Risiken und definieren automatisch Korrekturmaßnahmen, die bei Bedarf umgesetzt werden können.

Incident-Management automatisieren

Ein weiterer zentraler Aspekt ist das Incident-Management, bei dem Vorfälle softwarebasiert klassifiziert, verwaltet und den zuständigen Behörden gemeldet werden können. Gleichzeitig koordinieren diese Systeme die Notfallpläne des Unternehmens, sodass im Ernstfall alle notwendigen Schritte schnell eingeleitet werden können. Zuvor festgelegte Alarmierungen werden sekundenschnell ausgelöst.

Der Krisenstab kann in virtuellen Krisenräumen unverzüglich mit dem Krisenmanagement beginnen und so die gerade am Anfang wichtigen Sofortmaßnahmen zeitnah umsetzen. Die Automatisierung stellt auch sicher, dass die durch DORA und NIS-2 verschärften gesetzlichen Meldepflichten eingehalten wer den. Zudem ermöglicht das Alarmierungssystem eine revisionssichere Dokumentation aller ergriffenen Maßnahmen. Diese ist sowohl für die interne Nachbereitung als auch für die Einhaltung gesetzlicher Vorschriften relevant.

Cloudbasierte Sicherheit

Im Angriffsfall bieten SaaS-Lösungen eine weitere Sicherheit: Sie arbeiten cloudbasiert und damit unabhängig von der primären IT-Infrastruktur des Unternehmens. Diese Unabhängigkeit gewährleistet, dass die Notfall- und Krisenmanagementsysteme auch dann funktionsfähig bleiben, wenn das Hauptsystem ausfällt. Um die Folgen eines Angriffs so klein wie möglich zu halten, kommt es auf jede Minute an.

Die Aufrechterhaltung des automatisierten Informationsaustauschs durch ein SaaS-Krisenmanagementsystem ist dafür ein entscheidender Faktor. Die Systeme werden dafür idealerweise redundant gehostet und sollten die gesetzlichen Bestimmungen erfüllen. Cloudbasierte Architekturen sollten daher die einschlägigen Zertifizierungen für datenverarbeitende Unternehmen ausweisen wie ISO/IEC 20000-1, ISO 22301 oder ISO/IEC 27001.

Digitale Managementlösungen zur automatisierten Alarmierung sowie zum Risiko- und Kontrollmanagement sollten zudem in der Lage sein, Vorfälle systematisch zu analysieren und daraus gezielte Verbesserungen abzuleiten. Diese kontinuierliche Entwicklung ist entscheidend, um das Unternehmen an die sich ständig weiterentwickelnden Bedrohungen im Cyberraum anzupassen.

Fazit

Die neuen Regelungen durch DORA und NIS-2 stellen Unternehmen vor große Herausforderungen, eröffnen aber auch die klare Chance, ihre IT-Sicherheit erheblich zu verbessern. SaaS-Management- und Krisenmanagementsysteme bieten eine ganzheitliche Herangehensweise, um die Komplexität moderner IT-Landschaften zu bewältigen und flexibel auf neue Bedrohungen und gesetzliche Vorgaben zu reagieren. Unternehmen, die frühzeitig in solche Technologien investieren, sichern sich einen Wettbewerbsvorteil durch ein effizientes und skalierbares Governance-, Risiko- und Compliance-Management.