NIS2 und DORA als Treiber für Security Operations IT-Sicherheit scheitert ohne Struktur

Ein Gastbeitrag von Alexandra Odenthal 4 min Lesedauer

Anbieter zum Thema

Regularien wie NIS2 und DORA erhöhen die Anforderungen deutlich: Gefordert sind kontinuierliche Überwachung, strukturierte Incident Detection und klar definierte Reaktion. Entscheidend ist dabei nicht die Höhe der IT-Investitionen, sondern ob SIEM und SOC als integrierte Sicherheitsstruktur ineinandergreifen.

NIS2 und DORA verlangen lückenlose Erkennung und Reaktion auf Sicherheitsvorfälle. Ohne das Zusammenspiel von SIEM und SOC bleibt die geforderte Transparenz Stückwerk.(Bild: ©  noah9000 - stock.adobe.com)
NIS2 und DORA verlangen lückenlose Erkennung und Reaktion auf Sicherheitsvorfälle. Ohne das Zusammenspiel von SIEM und SOC bleibt die geforderte Transparenz Stückwerk.
(Bild: © noah9000 - stock.adobe.com)

Die Budgets für IT-Sicherheit wachsen – und mit ihnen die Erwartungen. Laut Bitkom stiegen die Ausgaben für IT-Sicherheit in Deutschland im Jahr 2025 auf 11,1 Milliarden Euro; für 2026 wird ein weiteres Wachstum um 9,9 Prozent auf 12,2 Milliarden Euro erwartet. Unternehmen investieren verstärkt, und das zu Recht: Regulatorische Vorgaben wie NIS2 und DORA erhöhen den Druck auf kontinuierliche Überwachung, strukturierte Incident Detection und nachvollziehbare Reaktionsprozesse.

Doch mehr Budget bedeutet nicht automatisch mehr Sicherheit. In vielen Unternehmen fehlt es nicht an Investitionsbereitschaft, sondern an struktureller Tiefe: eine Sicherheitsorganisation, die Risiken durchgängig erkennt und adressiert – statt sich auf den Betrieb einzelner Tools zu beschränken.

Entscheidend ist daher nicht die Höhe der Investitionen oder die Anzahl der eingesetzten Lösungen. Maßgeblich ist ihre Einbettung in eine funktionierende Sicherheitsarchitektur und einen belastbaren Betrieb.

Ohne zentrale Datenbasis bleibt Sicherheit Stückwerk

Die regulatorischen Anforderungen verändern vor allem die Perspektive auf IT-Sicherheit. Im Fokus steht nicht mehr allein, ob einzelne Schutzmaßnahmen implementiert sind. Entscheidend ist ob Sicherheitsvorfälle kontinuierlich erkannt und innerhalb klarer Meldefristen und Eskalationspfade bearbeitet werden können.

Genau hier zeigen sich in vielen Unternehmen strukturelle Schwächen – und zwar entlang des gesamten IT-Lifecycles. Bereits in der Architektur wird Sicherheit häufig nicht als durchgängiges Prinzip berücksichtigt, sondern nachgelagert umgesetzt. Klare Sicherheitsanforderungen, systematisches Threat Modeling oder eine vollständige Transparenz über bestehende IT-Assets fehlen oft von Anfang an.

Diese Defizite setzen sich im Betrieb fort. Monitoring ist nicht durchgängig etabliert, Logdaten sind über verschiedene Systeme verteilt und eine zentrale Sicht auf sicherheitsrelevante Ereignisse fehlt. Gleichzeitig werden grundlegende Maßnahmen wie Netzwerksegmentierung, Multi-Faktor-Authentifizierung sowie strukturierte Patch- und Konfigurationsprozesse nicht konsequent umgesetzt.

Solange Sicherheitsvorfälle selten oder folgenlos bleiben, fallen diese Lücken im Alltag kaum auf. Mit wachsenden regulatorischen Anforderungen ändert sich das jedoch grundlegend: Unternehmen müssen sicherheitsrelevante Ereignisse lückenlos protokollieren, Risiken priorisieren und Vorfälle innerhalb gesetzlich definierter Fristen melden.

Damit geraten fragmentierte Sicherheitsstrukturen an ihre Grenzen, insbesondere dort, wo zentrale Transparenz und klar definierte Abläufe für die Bewertung und Behandlung von Sicherheitsereignissen fehlen.

SIEM schafft die Grundlage – aber erst der Kontext entscheidet

Um die geforderte Transparenz über sicherheitsrelevante Ereignisse zu erreichen, ist eine zentrale Datenbasis unerlässlich. In vielen IT-Umgebungen entstehen entsprechende Informationen parallel in unterschiedlichen Systemen – etwa in Netzwerken, Anwendungen, Servern oder Cloud-Diensten –, ohne dass sie systematisch zusammengeführt werden.

Security-Information-and-Event-Management-Systeme (SIEM) setzen genau an dieser Stelle an: Sie aggregieren Log- und Ereignisdaten aus verschiedenen Quellen, korrelieren diese systemübergreifend und ermöglichen so eine konsolidierte Sicht auf sicherheitsrelevante Vorgänge. Dabei werden Muster und Auffälligkeiten sichtbar – etwa ungewöhnliche Zugriffsversuche im Sinne einer Intrusion Detection oder Abweichungen im Nutzerverhalten, wie sie im Kontext von Insider Threat Detection relevant sind.

Gerade vor dem Hintergrund regulatorischer Anforderungen wird diese Bündelung entscheidend, da nur so Zusammenhänge zwischen Ereignissen sichtbar werden, die isoliert betrachtet harmlos wirken. Ohne eine zentrale Auswertung bleibt die Sicherheitsüberwachung fragmentiert und eine zeitnahe Erkennung von Vorfällen ist nur eingeschränkt möglich.

Gleichzeitig zeigt die Praxis: Die Einführung eines SIEM schafft Transparenz und eine Vielzahl an Alerts, doch ohne kontinuierliche Bewertung und Einordnung bleibt unklar, welche Ereignisse tatsächlich handlungsrelevant sind. Transparenz allein ersetzt keine Entscheidung.

Erst ein SOC macht aus Daten handlungsfähige Sicherheit

Genau hier setzt ein Security Operations Center (SOC) an. Es übernimmt das kontinuierliche 24/7 Monitoring der durch das SIEM bereitgestellten Daten, bewertet eingehende Alerts im Kontext, priorisiert relevante Vorfälle und stößt strukturierte Incident-Response-Prozesse an. Ziel ist es, Auffälligkeiten sichtbar zu machen und im Ernstfall schnell und nachvollziehbar handeln zu können – mit klaren Verantwortlichkeiten, definierten Eskalationswegen und einer lückenlosen Dokumentation.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Security wird damit zur operativen Daueraufgabe, verankert in festen Prozessen und verbindlichen Abläufen, die auch unter regulatorischem Druck tragen.

In der Praxis stellt genau dieser Schritt viele Organisationen vor Herausforderungen. Der kontinuierliche Betrieb, die Bewertung von Ereignissen in Echtzeit sowie der Aufbau und die Pflege entsprechender Prozesse erfordern spezialisiertes Know-how und personelle Ressourcen, die intern oft nur begrenzt verfügbar sind. Viele Unternehmen setzen deshalb auf externe Dienstleister, die diese Lücke schließen und die nötige Expertise einbringen.

Im Zusammenspiel von technischer Grundlage und organisatorisch verankertem Betrieb entsteht so eine Sicherheitsstruktur, die nicht reaktiv bleibt, sondern dauerhaft trägt.

Wie Regulierung IT-Sicherheit in Resilienz übersetzt

Die Bedrohungslage macht den Wandel hin zu einer kontinuierlich betriebenen Sicherheitsorganisation unausweichlich. Angriffe werden schneller, gezielter und schwerer vorherzusagen. Ein rein reaktiver Ansatz reicht in dieser Realität nicht mehr aus. Unternehmen, die Regulierung als strategischen Rahmen begreifen, bauen dagegen die Fähigkeit aus, Angriffe nicht nur abzuwehren, sondern auch dann noch handlungsfähig zu bleiben, wenn etwas durchdringt.

Regulatorische Anforderungen leisten dabei genau das, was viele Organisationen aufschieben: Sie erzwingen Transparenz über gewachsene IT-Landschaften, geben Prozessen eine klare Struktur und verankern Verantwortlichkeiten verbindlich.

Der entscheidende Perspektivwechsel: Regulierung geht über reine Pflichterfüllung hinaus. Sie ist in der Praxis Grundlagenarbeit für ein belastbares Betriebs- und Sicherheitsmodell und damit ein Hebel, um die eigene Organisation widerstandsfähiger zu machen. Richtig umgesetzt, wird sie zum Katalysator für fundiertere Entscheidungen im Ernstfall, für schnellere Reaktionsfähigkeit unter Druck und für eine IT, die dauerhaft handlungsfähig bleibt.

Über die Autorin: Alexandra Odenthal ist als erfahrene Service Managerin und Prokuristin bei der Plus.line AG in der Welt der Managed Services und Internet-Provider zuhause. Ihr Schwerpunkt liegt auf dem stabilen Betrieb von IT-Infrastrukturen sowie deren Weiterentwicklung und Qualitätssicherung. Mit fundiertem Branchenwissen in der IT- und Telekommunikationswelt verbindet sie technische Anforderungen mit klaren Serviceprozessen und einem hohen Anspruch an Kundenzufriedenheit.

(ID:50881544)