Der wachsende Einfluss durch staatliche Regulatorik in Bezug auf Cybersicherheit ist zunehmend spürbar. Nicht nur in Organisationen, die davon direkt betroffen sind, sondern auch bei Anbietern von Informations- und Telekommunikationstechnologie (IKT-Drittanbietern), deren Management eine der wesentlichen Bestandteile von DORA und NIS2 darstellt. Verlangt wird ein Zusammenspiel technologischer, organisatorischer und prozessualer Maßnahmen. Welche Aspekte spielen dabei eine Rolle?
Staatliche Regulierungen wie DORA und NIS2 fordern Unternehmen heraus: Reifegrade, Managementsysteme und eine faktenbasierte Zusammenarbeit ersetzen Vertrauen und Subjektivität. Warum das Top-Management jetzt handeln muss – und welche Strategien wirklich zählen.
(Bild: MYZONEFOTO - stock.adobe.com)
Grundsätzlich liegt die Verantwortung für die o. a. Maßnahmen im Top-Management jeder Organisation - unabhängig, ob direkt oder indirekt von staatlicher Regulatorik betroffen. Davon ausgehend gilt es einen risiko-orientierten Ansatz zu etablieren – unterlegt mit entsprechenden Wirksamkeitskontrollen. Es reicht also nicht aus, die Inhalte der Schriftlich Fixierten Ordnung (SfO) stumpf anzuwenden - also die oft zitierte „Dokumentensicherheit“.
Existenz versus Reifegrade
Das Ziel ist vielmehr, definierte Reifegrade zu einem vorab definierten Zeitpunkt zu erreichen. Beispielsweise durch Anwenden eines Managementsystems, auf Basis objektiver, für Dritte nachvollziehbarer, Fakten in Form eines Stufenmodells. Ein Beispiel dafür sind die Reifegrade innerhalb der Orientierungshilfe für Systeme zu Angriffserkennung (OH SzA) des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Die isolierte Implementierung technisch-organisatorischer Maßnahmen im Kontext der hier exemplarisch genannten OH SzA ist ohne die Betrachtung paralleler Maßnahmen bzw. übergeordneter Strategien nicht zielführend. Welche Datenquellen werden beispielsweise an Prozesse und Werkzeuge zur Detektion Sicherheitsrelevanter Ereignisse angebunden? Verfolgen die Inhalte der IT-Strategie das Ziel „Cloud first“, erwirtschaftet die Organisation 90 Prozent ihrer Umsätze („Kronjuwelen“, Primary Assets im Sinne der ISO/IEC 27005) auf Basis von PaaS bzw. SaaS ist der Fokus auf die Anbindung klassischer OnPrem-Datenquellen sicher auch relevant – sollte aber nachgelagert verfolgt werden.
„Machen“ versus Verschriftlichung
Generell müssen im Idealfall alle aktiven Handlungen auf Basis der Inhalte der SfO erfolgen, die Effektivität eines internen Kontrollsystems (IKS) sollte messbar sein und Ergebnisse entsprechend dokumentiert werden. Der Ansatz, insbesondere technische, Maßnahmen umzusetzen um im Nachgang, wenn überhaupt, zu dokumentieren ist vor diesem Hintergrund nicht valide. Tests und Entwicklungen unterliegen vorab definierten Prozessen und Zielen. Sind diese Tests und Entwicklungen Teil eines Projektes müssen auch hier Inhalte der SfO, unterstützt vom IKS, das Rahmenwerk vorgeben. Dies kann von der Definition der Projektmanagement-Methode über die Definition von Qualitätskriterien bis hin zum Template für die Übergabe der Projektprodukte in die Linienorganisation enthalten. Die SfO dient dazu, Verlässlichkeit, Transparenz und Qualität zu gewährleisten. Ein Abweichen muss mit den flankierenden Strategien (z. B. Toleranz zur Förderung von Innovationen) oder Prozessen (Eintritt eines definierten Krisenfalls) übereinstimmen und bei der Implementierung bereits berücksichtigt (mögliche Sanktionierung) werden. Die Inhalte der Strategien gilt es immer wieder zu hinterfragen, Stichwort: Lernende Organisation.
War es in der Vergangenheit oft üblich, Leistungen mündlich oder per Handschlag zu vereinbarten gilt es zukünftig, auch zu diesem Zweck ein Managementsystem aufzubauen. Insbesondere für den Fall, dass die Leistungserbringung durch IKT-Drittanbieter Bestandteil kritischer und/oder wichtiger Funktionen ist. Das Managementsystem kann als potenzielle Messgrößen hier, neben der Definition von Service Level Agreements, auch die Offenlegung der Lieferkette (Subdienstleister) der IKT-Drittanbieter, die Definition von Key Performance Indikatoren sowie die Betrachtung von Finanzrisiken (Rohstoffpreise, Wechselkursschwankungen) beinhalten. Zusätzliche Komplexität entsteht, wenn Dienstleister verpflichtet werden, auch die vertraglichen Inhalte ihrer Weiterverlagerungskette aktiv zu managen. Wie bereits beschrieben ist dies einer Elemente von NIS2 und DORA – deren Inhalte betreffen also weit mehr Organisationen als nur die direkt Betroffenen.
Stichpunkt- versus Zeitraums- und Wirksamkeitsprüfungen
Stichpunkprüfungen ermöglichen eine oberflächliche Kontrolle, die auf die Existenz bzw. korrekte Umsetzung von Vorgaben abzielt. Zeitraums- und Wirksamkeitsprüfungen hingegen untersuchen, ob Vorgaben tatsächlich ihre Ziele erreichen und effektiv sind. Beide Prüfungsarten sind wichtig und ergänzen sich, um ein vollständiges Bild von der Qualität und Effektivität eines Systems oder Prozesses zu erhalten. Festzuhalten bleibt aber, dass sowohl die Vorbereitung wie auch die Durchführung und Nachverfolgung von Maßnahmen aus Zeitraums- und Wirksamkeitsprüfungen im Gegensatz zur Stichpunktprüfung um ein Vielfaches höher sind. Für den Fall, dass die Erreichung dieser höherwertigen Prüfungsziele (z. B. als Teil der Lieferkette einer von DORA oder der NIS2 betroffenen Organisation) Element einer übergreifenden Strategie ist, muss diese innerhalb der Organisation mit Taktiken (konkreten Einzelmaßnahmen) objektiv unterlegt werden. Entsprechende Vertragsinhalte sind elementarer Bestandteil. Die Herausforderung besteht aber in deren praktischer Umsetzung (technologische, organisatorische und prozessuale Maßnahmen), deren Nachweisbarkeit gegenüber sachverständigen Dritten jederzeit sicherzustellen ist.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Anforderungen stattlicher Regulatorik sind im Gegensatz zu technischen Spezifikationen nicht simplifiziert im Checklisten-Format darstellbar. Bevor Organisationen dazu übergehen, sich im Rahmen der Operationalisierung Fragen nach Frameworks oder der Implementierung technischer Werkzeuge stellen, muss initial ein organisationsübergreifendes Mindset etabliert werden. Dazu bedarf es der oft grundsätzlichen Anpassung des ggf. über einen langen Zeitraum praktizierten Zusammenarbeitsmodells – weg von Vertrauen und Subjektivität, hin zu einem möglichst hohen Grad an Bewertungen bzw. Entscheidungen auf Basis objektiver, unumstößlicher und widerspruchsfreier Fakten. Eine wesentliche Rolle spielt dabei das Top-Management, das, neben der Bereitstellung von Ressourcen für die Aufbau- und Ablauforganisation, die veränderte Kultur unmissverständlich und verbindlich vorleben muss. Eine gesunde Portion Demut und proaktives Handeln sind dafür unerlässlich.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b9/3b/b93be4680b28708e4d8e4d8daee516f4/0108796212.jpeg "Unternehmen der kritischen Infrastrukturen und Betreiber von Energieversorgungsnetzen müssen bis 2023 Systeme zur Angriffserkennung implementieren. Das BSI gibt dazu Orientierungshilfe. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/86/5e/865ed2d7109bbb14b2c4d74607bfad7f/0121288842v1.jpeg "Die NIS-2-Richtlinie soll die Cybersicherheit in Europa verbessern. Unsere „Checkliste zur Umsetzung der NIS2-Anforderungen“ soll einen ersten Überblick über relevante Themenfelder bieten. Sie erhebt keinen Anspruch auf Vollständigkeit, berücksichtigt auch nicht alle Aspekte, bietet jedoch einen guten Einstieg in das Thema! (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/2f/092f59aaa1ea4b03c5d0a0ae9bbef9ac/0121953579v2.jpeg "Der Channel hat DORA auf dem Schirm und ist dran, seine Partner und Kunden gut vorzubereiten. (Bild: chayantorn - stock.adobe.co / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ff/f1/fff1c58e58e5bc8168270fd51de4c7b1/0110088440.jpeg "Der Aufbau eines Systems zur Erkennung von Cyberangriffen in der Produktionsumgebung eines Versorgungsunternehmens ist nicht nur sinnvoll, sondern auch notwendig. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/43/9e43dcf1cbf2a1ac7766c9535aa6d4fa/0126366743v2.jpeg "IKT-Drittanbieter bergen hohe Risiken, aber ein strukturiertes Third Party Risk Management sichert Kontrolle, Resilienz und Compliance nach DORA und NIS2. (Bild: © chiew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/c5/5fc595101c3f67c3f6e29ef6d0aba1c0/0128510102v1.jpeg "Da sich das Cybersecurity-Lagebild stets verändert, müssen Organsiationen ihre Strategien laufend neu bewerten. (Bild: © Pakin - stock.adobe.com)")