Kurze Kaffeepause fürs Rechenzentrum

Aufgrund von Erweiterungsarbeiten am Stromnetz im Rechenzentrum sind wir
am morgigen Mittwoch, 15.4. irgendwann zwischen 15:00 - 21:00 Uhr für etwa 10 Minuten offline.

Holen Sie sich in der Zwischenzeit einen frischen Kaffee – wir sind sofort wieder in gewohnter Qualität für Sie da.

STRATEGIE14. April 2026

NIS-2 Umsetzung: Plötzlich Hektik … weil DORA Banken bis in die Lieferkette verfolgt

Lorenz Hübsch, Chief Information Security Officer, SpaceNet AG, erklärt die plötzliche Hektik aufgrund von der NIS-2-Umsetzung <q>SpaceNet
Lorenz Hübsch, SpaceNet SpaceNet

Während die Umsetzung von NIS-2 in Deutschland eher schleppend vonstattengeht, gerät DORA inzwischen vielfach komplett aus dem Blickfeld. Dabei haben nach unserer Marktkenntnis noch längst nicht alle Unternehmen erkannt, dass auch für sie die entsprechenden Sicherheits-Verpflichtungen greifen können, sobald sie in der Lieferkette eines DORA-pflichtigen Unternehmens, also beispielsweise einer Bank, als Dienstleister tätig sind. Unserer Meinung nach bedeutet das im Klartext: Banken sind nicht nur seit Januar 2025 verpflichtet, die europäische DORA-Sicherheitsrichtlinie im eigenen Unternehmen umzusetzen, sondern müssen auch mit ihren Dienstleistern DORA-konforme Mindestinhalte vertraglich vereinbaren.

von Lorenz Hübsch, SpaceNet

Nach unserer Rechtsauffassung liegt die initiale Verantwortung für diese ergänzenden Vereinbarungen mit den Dienstleistern ganz klar beim Kunden – also beim Finanzdienstleister, der beispielsweise mit einem IT-Dienstleister in der Lieferkette zusammenarbeitet.“

DORA und NIS-2 haben die Lieferkette im Fokus

Dasselbe Prinzip greift auch beim deutschen NIS-2-Umsetzungsgesetz, das am 5. Dezember vergangenen Jahres in Kraft trat. Die eigens für den Finanzsektor geschaffene DORA-Regulierung, die auf EU-Ebene als Verordnung konzipiert wurde und deshalb bereits Anfang 2025 in allen EU-Mitgliedstaaten direkt anwendbar ist und federführend von der BaFin überwacht wird, schützt die Branche dabei nur teilweise vor weiterem Verwaltungsaufwand. Zwar weist der NIS-2-Gesetzestext explizit darauf hin, dass für betroffene Firmen, die bereits der DORA-Verordnung unterliegen, die zusätzliche NIS-2-Meldepflicht bei Sicherheitsvorfällen entfällt.

Wichtig zu beachten ist aber, dass dennoch eine initiale Registrierungspflicht im NIS-2-Portal besteht, wenn ein DORA-Unternehmen auch den Kriterien von NIS-2 entspricht.“

Zu beachten ist zusätzlich auch hier die Lieferkette. Für Unternehmen in der relevanten Größenkategorie (mehr als 50 Mitarbeiter oder Umsatz ab 10 Millionen Euro und einem der 18 „wesentlichen“ oder „wichtigen“ Sektoren zugeordnet) gilt: Nicht nur das eigene Unternehmen unterliegt den neuen Anforderungen an Cyber-Security-Compliance (was bereits durch DORA abgedeckt wird), sondern auch vertragliche Pflichten müssen an kleinere Unternehmen in der Lieferkette weitergegeben werden, die selbst nicht in eine der NIS-2-Kategorien fallen.

Für kleinere Dienstleister ist also zwar grundsätzlich keine Registrierung beim BSI erforderlich, aber Auftraggeber müssen risikoorientiert ihre NIS-2-Verpflichtungen in ihrer Lieferkette vertraglich weiterreichen und zum Beispiel ein entsprechendes, zeitnahes Reporting über Sicherheitsvorfälle fordern, um sich selbst bei Sicherheitsvorfällen abzusichern.“

Autor: Lorenz Hübsch, SpaceNet
Lorenz Hübsch, Chief Information Security Officer, SpaceNet AG <q>SpaceNet AGLorenz Hübsch ist ein Si­cher­heits­ex­per­te mit über 30 Jah­ren Be­rufs­pra­xis in Un­ter­neh­mens­si­cher­heit, In­for­ma­ti­ons­si­cher­heit so­wie Go­ver­nan­ce, Risk & Com­p­li­an­ce. Ak­tu­ell ist er bei der Spa­ce­Net (Web­site) als Head of Go­ver­nan­ce, Risk & Com­p­li­an­ce so­wie als Chief In­for­ma­ti­on Se­cu­ri­ty Of­fi­cer (CI­SO) tä­tig, wo er stra­te­gisch Si­cher­heits- und Com­p­li­an­ce-Struk­tu­ren ver­ant­wor­tet. Zu­vor war er über zwei Jahr­zehn­te bei der BSH Ho­me Ap­p­li­an­ces Group in lei­ten­den Funk­tio­nen tä­tig und präg­te dort ma­ß­geb­lich den Auf­bau glo­ba­ler Cor­po­ra­te- und Phy­si­cal-Se­cu­ri­ty-Struk­tu­ren. Er­gän­zend bringt er Er­fah­rung aus ope­ra­ti­ven Rol­len bei Si­cher­heits­dienst­leis­tern und der Baye­ri­schen Polizei mit.
Zwar kann man davon ausgehen, dass das BSI bis auf Weiteres keine aktiven Prüfungen auf Basis von öffentlichen Unternehmensdaten durchführen wird. Problematisch wird es aber definitiv, sobald ein Sicherheitsvorfall im Unternehmen oder eben innerhalb seiner Lieferkette eintritt. Dann kann es zu unangenehmen Diskussionen mit den Behörden und auch mit der vielleicht abgeschlossenen Cybersicherheits-Versicherung kommen, die aufgrund mangelnder Umsetzung die Haftung verweigern könnte. Viele Verantwortliche wissen auch nicht, dass bei entstandenen Schäden sogar eine persönliche Haftung der Geschäftsführer greifen kann.

Dokumentierte Schulungen offenbar Pflicht

Auch das Thema „Schulungen“ spielt dabei eine wichtige Rolle. Geschäftsführung oder Vorstand müssen grundsätzlich ausreichend über Anforderungen, Konsequenzen und notwendige Eskalationsstufen, den IT-Risiko-Management-Prozess, Business Continuity und wesentliche Pflichten und Vorgaben der NIS-2-Regulatorik geschult werden. Eine kurze Präsentation im Führungskreis scheint hier nicht ausreichend zu sein.

Dem Vernehmen nach erwartet das BSI eine mehrstündige und klar dokumentierte NIS-2-Unterweisung auf Ebene der Unternehmensführung.“

Insgesamt kann festgehalten werden, dass die Einführung von NIS-2 in Deutschland bisher leider gründlich verstolpert wurde. Die Richtlinie wurde ohne weitere „Schonfrist“ mit erheblicher Verspätung zu geltendem Recht und zwingt nun etwa 30.000 Unternehmen unmittelbar zum Handeln. Bis zum Ablauf der Registrierungsfrist am 06.03.2026 hatten sich erst rund 38 Prozent der potenziell betroffenen Unternehmen auf der entsprechenden Seite des Bundesamts für Sicherheit in der Informationstechnik (BSI) registriert.

Im Zweifel Experten hinzuziehen

Das ist nicht einmal jedes sechste Unternehmen – die Lieferketten hier noch gar nicht betrachtet. Ab jetzt drohen empfindliche Strafen, denn Unternehmen in „wesentlichen“ oder „wichtigen“ Branchen (z. B. Gesundheit, Energie, digitale Infrastruktur) begehen ab jetzt eine Ordnungswidrigkeit, obwohl die Regelungen immer noch nicht klar genug definiert sind, die Haftung für eine korrekte Selbsteinschätzung aber bei den Unternehmen liegt. Hier wird mangelnde Planung und Vorbereitung der Politik wieder einmal auf dem Rücken der Unternehmen ausgetragen.

Wer sich nicht sicher ist, sollte unbedingt Experten zu Rate ziehen, denn die korrekte Einschätzung der Relevanz ist Aufgabe des Unternehmens, sie liegt nicht beim Staat.“

Wer keine eigene Governance-Abteilung hat, sollte deshalb eine Prüfung durch einen Experten in Erwägung ziehen. von Lorenz Hübsch, SpaceNet

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/242676

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert