Auf den Punkt: 30.000 Unternehmen müssen ab 2025 NIS2 und DORA-Anforderungen umsetzen, was CISOs zur Überprüfung ihrer Governance, des Incident Managements und der Abhängigkeitsverwaltung zwingt.
Die Europäische Union verpflichtet circa 30.000 Unternehmen, die Cybersicherheitsrichtlinien NIS2 und DORA umzusetzen. Für CISOs bedeutet dies konkrete Vorgaben bei der Governance, dem Incident Management und der Kryptografie-Verwaltung.
NIS2 (Netzwerk- und Informationssicherheit-Richtlinie 2) und DORA (Digital Operational Resilience Act) sind zwei separate, aber inhaltlich verknüpfte EU-Regelwerke, die ab 2025 schrittweise in Kraft treten. NIS2 adressiert kritische und wichtige Infrastrukturen sowie den öffentlichen Sektor, während DORA speziell auf Finanzinstitute und deren digitale Widerstandsfähigkeit abzielt. Schätzungen zufolge sind rund 30.000 Organisationen im DACH-Raum und darüber hinaus betroffen.
Für CISOs liegt der Fokus auf mehreren Kernanforderungen: Beide Regelwerke fordern ein dokumentiertes Cybersecurity-Governance-Framework, Maßnahmen zur Erkennung und Behebung von Schwachstellen, Incident-Response-Prozesse mit definierten Eskalationsketten, die Verwaltung von Cryptographischen Schlüsseln und Abhängigkeiten zu Drittanbietern. DORA verlangt zusätzlich regelmäßige Penetration-Tests und Ausfallszenarien-Tests (Disaster Recovery). NIS2 verpflichtet zu Meldung von Sicherheitsvorfällen innerhalb definierter Fristen an zuständige Behörden.
Die Umsetzung erfordert Investitionen in Personalentwicklung, Sicherheitstools und Prozessoptimierung. Unternehmen sollten ab sofort ihre Compliance-Roadmap entwickeln, Gap-Analysen durchführen und Verantwortlichkeiten klar zuordnen. Verstöße gegen NIS2 können Bußgelder bis zu mehreren Millionen Euro nach sich ziehen, bei DORA sind es bis zu 6 Prozent des globalen Jahresumsatzes.
Quelle: news.google.com · Erschienen 31. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.