Mit der NIS-2-Richtlinie, der DORA-Verordnung und dem Cyber Resilience Act hat die Europäische Union ein umfassendes Normensystem etabliert, das für ein einheitliches Niveau an Cybersicherheit sorgen soll. Hintergrund ist die wachsende Zahl von Angriffen auf kritische Infrastrukturen, Lieferketten und ganze Branchen. Ziel ist es, verbindliche Standards zu schaffen, die effektiv durchgesetzt werden können und die Verantwortung der Unternehmensleitung klar festschreiben. Unternehmen aller Größenordnungen sind verpflichtet, ihre Systeme und Abläufe auf ein höheres Schutzniveau zu bringen.
Die NIS-2-Richtlinie ersetzt die erste Fassung aus dem Jahr 2016 und erweitert den Kreis der betroffenen Einrichtungen erheblich. Nunmehr sind 18 Sektoren erfasst, darunter Energie, Transport, Banken, Gesundheitswesen, öffentliche Verwaltungen, Postdienste, Abfallwirtschaft und Hersteller kritischer Produkte. Einrichtungen werden in „wesentliche“ und „wichtige“ Akteure unterschieden, beide Kategorien müssen jedoch verbindliche Mindestanforderungen erfüllen.
Zu den zentralen Vorgaben gehören der Aufbau eines ganzheitlichen Risikomanagementsystems mit technischen, organisatorischen und prozessualen Maßnahmen, die Pflicht zur Meldung schwerwiegender Sicherheitsvorfälle binnen 24 Stunden mit abschließender Dokumentation nach spätestens einem Monat, eine explizite Haftung des Managements mit Bußgeldern bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Umsatzes sowie die Absicherung der Lieferkette durch vertragliche Anpassungen und Auditmöglichkeiten.
Während NIS-2 branchenübergreifend gilt, adressiert die DORA-Verordnung gezielt den Finanzsektor. Sie soll die digitale Widerstandsfähigkeit von Banken, Versicherungen, Wertpapierfirmen und weiteren Finanzmarktakteuren stärken.
Zentrale Punkte sind die Einrichtung eines IKT-Risikomanagements, das eng mit der Gesamtstrategie verknüpft ist, die Einführung einheitlicher Meldepflichten mit klaren Kriterien und gestuften Prozessen sowie verbindliche Testanforderungen. Besonders relevant sind die sogenannten Threat-Led Penetration Tests, bei denen unter behördlicher Aufsicht realistische Angriffsszenarien nachgestellt werden.
Ein bedeutender Fortschritt liegt in der Regulierung externer IKT-Dienstleister. Anbieter wie Cloud-Provider unterliegen nun einer direkten Aufsicht, die Eingriffe bis hin zu Vertragskündigungen ermöglichen kann. Damit wird eine Sicherheitslücke geschlossen, die bislang ein erhebliches Risiko für die Stabilität des Finanzsektors darstellte.
Der Cyber Resilience Act ergänzt die beiden anderen Rechtsakte, indem er die Produktsicherheit digitaler Güter in den Fokus rückt. Hersteller und Händler sind verpflichtet, Sicherheitsaspekte während des gesamten Produktlebenszyklus zu berücksichtigen. Dazu zählen verpflichtende Updates und eine transparente Dokumentation. Bußgelder orientieren sich an den Maßstäben der DSGVO.
Eine Besonderheit ist die Verknüpfung mit dem Binnenmarkt: Künftig dürfen nur Produkte in der EU vertrieben werden, die den Anforderungen entsprechen. Cybersicherheit wird damit zu einem entscheidenden Zulassungskriterium.
Die drei Rechtsakte sind nicht isoliert zu betrachten, sondern greifen ineinander. Unternehmen müssen ihre Compliance-Strukturen so gestalten, dass parallele Pflichten harmonisiert und Doppelregulierungen vermieden werden. Besonders deutlich wird dies bei den Überschneidungen mit der DSGVO, da Datenschutz- und Sicherheitsverstöße oft gemeinsam auftreten.
Ein zentrales Merkmal aller drei Gesetze ist die Betonung der Managementverantwortung. Führungskräfte sind verpflichtet, Risiken zu kennen, Strategien zu verabschieden und deren Umsetzung zu überwachen. Dazu gehören der Aufbau eigener Cyberkompetenz, verpflichtende Schulungen und die aktive Einbindung in Sicherheitsfragen. IT-Sicherheit darf nicht länger auf die Technikabteilung beschränkt bleiben, sondern muss Teil der Unternehmensstrategie werden.
Darüber hinaus gewinnt die Verbindung zur ESG-Berichterstattung an Gewicht. Investoren und Aufsichtsbehörden erwarten zunehmend, dass Unternehmen ihre Maßnahmen zur digitalen Resilienz offenlegen. Cybersicherheit entwickelt sich dadurch zu einem Faktor für Good Governance und beeinflusst unmittelbar die Unternehmensbewertung.