NIS2, DORA

NIS2 und DORA: Deutschland startet Compliance-Offensive

26.11.2025 - 20:30:11

NIS2 und DORA: Deutschland startet Compliance-Offensive - Foto: über boerse-global.de
NIS2 und DORA: Deutschland startet Compliance-Offensive - Foto: über boerse-global.de

Zwei Regulierungen, ein Schlag: Deutschlands Cybersicherheit steht vor dem größten Umbruch seit Jahren.

Nach der Bundesrats-Zustimmung zum NIS2-Umsetzungsgesetz am vergangenen Freitag und der EU-weiten Benennung kritischer IT-Dienstleister erhöhen Aufsichtsbehörden jetzt den Druck auf Unternehmen und ihre Lieferanten. Die Botschaft ist unmissverständlich: Übergangsfristen? Fehlanzeige.

Die letzte Novemberwoche 2025 markiert einen Wendepunkt für die europäische Cybersicherheit. In rascher Folge billigte der Bundesrat das lange blockierte NIS2-Umsetzungsgesetz, während die Bundesnetzagentur bereits neue Sicherheitsstandards definiert.

Gleichzeitig haben die europäischen Aufsichtsbehörden einen zentralen Pfeiler des Digital Operational Resilience Act (DORA) aktiviert: Die offizielle Benennung der ersten kritischen IT-Drittdienstleister. Für Unternehmen in Deutschland endet damit die Schonfrist. Der Fokus verschiebt sich radikal auf die Lieferkette – mit neuen Haftungsrisiken für Geschäftsführungen und strengen Prüfpflichten für Zulieferer.

Anzeige

Unternehmen stehen durch NIS2 und DORA jetzt unter massivem Druck — Lieferanten, Meldepflichten und Vor-Ort-Audits erhöhen das Risiko schwerer Sanktionen. Unser kostenloses E-Book “Cyber Security Awareness Trends” fasst die wichtigsten Sofortmaßnahmen für Geschäftsführer und IT-Verantwortliche zusammen: Priorisierung kritischer Zulieferer, Incident-Reporting und schnelle Hardening-Schritte. Ideal für KMU, die Compliance-Lücken schließen wollen, ohne die IT neu aufzubauen. Plus: Eine Praxis-Checkliste für Lieferanten-Audits und Meldewege. Jetzt Cyber-Security-Guide für Unternehmen sichern

Laut einer heute veröffentlichten Rechtsanalyse entsteht durch das Zusammentreffen beider Regulierungen ein „Compliance-Notstand”. Tausende Unternehmen müssen ihre Lieferantenverträge überprüfen, bevor das Gesetz voraussichtlich Anfang 2026 in Kraft tritt.

NIS2: Deutschland liefert – ohne Gnadenfrist

Nach monatelangem politischen Stillstand und einem EU-Vertragsverletzungsverfahren hat Deutschland die letzte gesetzgeberische Hürde genommen. Am 21. November stimmte der Bundesrat dem NIS2-Umsetzungsgesetz zu, das zuvor den Bundestag passiert hatte.

Die Rechtsexperten der Kanzlei Dentons betonen in einer aktuellen Mandanteninformation den kritischsten Aspekt: Es gibt keine Übergangsfristen. „Sobald das Gesetz in Kraft tritt, gelten alle Pflichten sofort”, heißt es dort. Das umfasst die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Implementierung umfassender Risikomanagement-Maßnahmen.

Die Tragweite ist enorm: Der Kreis regulierter Unternehmen wächst von rund 4.500 auf fast 30.000 Einheiten. Betroffen sind nicht mehr nur klassische Kritische Infrastrukturen, sondern auch mittelgroße Unternehmen aus Branchen wie Logistik, Lebensmittelversorgung oder digitale Dienste.

Bundesnetzagentur prescht vor: Sicherheitskatalog in Arbeit

Die Bundesnetzagentur hat unmittelbar nach dem Bundesratsbeschluss reagiert. Der Entwurf eines überarbeiteten Sicherheitskatalogs für den Telekommunikationssektor liegt vor – Konsultationsfrist bis 19. Dezember 2025.

Das Dokument zeigt erstmals konkret, wie der neue „All-Gefahren-Ansatz” von NIS2 für Kritische Infrastrukturen interpretiert wird. Schwerpunkt: Die physische und digitale Sicherheit von Lieferketten. Telekommunikationsanbieter müssen künftig nicht nur ihre eigenen Systeme absichern, sondern auch die Vertrauenswürdigkeit ihrer Hardware- und Software-Lieferanten nachweisen.

DORA aktiviert: Die „Kritische Liste” steht

Während Deutschland NIS2 umsetzt, tritt die EU-Finanzmarktregulierung DORA in eine neue Phase. Am 18. November veröffentlichten die europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA) die offizielle Liste der kritischen IT-Drittdienstleister (CTPPs).

Diese Benennung verändert die Spielregeln fundamental. Erstmals unterliegen große Cloud-Anbieter, Datenanalyse-Firmen und Software-Hersteller, die den EU-Finanzsektor beliefern, der direkten Aufsicht europäischer Behörden.

Die wichtigsten Neuerungen:

  • Direkte Überwachung: Benannte Anbieter müssen Aufsichtsgebühren zahlen und Vor-Ort-Inspektionen akzeptieren. Finanzinstitute müssen prüfen, ob ihre „Informationsregister” mit den offiziellen Benennungen übereinstimmen.

  • BaFins neuer Meldekanal: Die deutsche Finanzaufsicht bestätigte in aktualisierter Leitlinie, dass ab November 2025 das „MVP”-Portal der verpflichtende Kanal für die Meldung größerer IT-Vorfälle ist. Eine SOAP-Schnittstelle soll noch im vierten Quartal folgen.

  • Audit-Erleichterungen: Um die anfängliche Arbeitslast zu bewältigen, signalisiert die BaFin gewisse Vereinfachungen für die ersten DORA-Prüfungen 2025. Die vollständige Compliance bleibt jedoch für das Geschäftsjahr 2025/2026 verpflichtend.

Die Lieferanten-Zange: Schluss mit Vertrauen

Der gemeinsame Nenner beider Regulierungen: Die aggressive Verschärfung des Third-Party Risk Management (TPRM). Die Ära der Selbstauskünfte von Lieferanten ist vorbei – Regulierer fordern jetzt Beweise für aktive Kontrolle.

Nach dem neuen deutschen NIS2-Gesetz gelten „Lieferkettenabhängigkeiten” ausdrücklich als Risikofaktor, den das Management adressieren muss. Unternehmen haften, wenn sich ein Cyberangriff über einen nicht geprüften Lieferanten ausbreitet. DORA verlangt von Finanzinstituten zudem, spezifische Kündigungsrechte und Exit-Strategien in Verträgen mit IT-Dienstleistern zu verankern.

„Unternehmen müssen selbst prüfen, ob sie vom Gesetz betroffen sind”, warnen Rechtsberater von Bird & Bird nach der Bundesrats-Abstimmung. Ihr Hinweis: Selbst Firmen außerhalb des NIS2-Anwendungsbereichs geraten unter Druck, da Kunden aus Kritischen Infrastrukturen Sicherheitsanforderungen gesetzlich weitergeben müssen.

Sofortmaßnahmen für November/Dezember 2025:

  1. Anwendbarkeits-Check: Klären Sie, ob Ihr Unternehmen unter die erweiterten NIS2-Schwellenwerte fällt (Größe und Sektor).

  2. Lieferanten-Audit: Überprüfen Sie die wichtigsten 20 Prozent Ihrer kritischen Zulieferer anhand des BNetzA-Sicherheitsentwurfs und der DORA-CTPP-Liste.

  3. Vertragsanpassungen: Stellen Sie sicher, dass Lieferantenverträge ein „Prüfrecht” und strikte Meldungsfristen für Vorfälle (24 Stunden für Frühwarnungen) enthalten.

Ausblick: Der Sprint bis 2026

Das NIS2-Umsetzungsgesetz wartet nur noch auf die Unterschrift des Bundespräsidenten und die Verkündung im Bundesgesetzblatt. Das Inkrafttreten dürfte im Januar 2026 erfolgen. Die BNetzA-Konsultation endet am 19. Dezember – ein Zeichen dafür, dass detaillierte technische Vorgaben zeitgleich mit dem Gesetz finalisiert werden.

Die Botschaft der Behörden diese Woche ist glasklar: Die Schonfrist für digitale Resilienz ist vorbei. Der Druck der EU-Kommission hat gewirkt, Deutschland schließt seine Compliance-Lücke nun im Eilverfahren. Unternehmen, die ihre NIS2- und DORA-Projekte in der Hoffnung auf weitere Verzögerungen aufgeschoben haben, stehen jetzt unter Zeitdruck – zu hoch sind die drohenden Bußgelder und die persönlichen Haftungsklauseln dieser neuen Regulierungsära.

Anzeige

PS: Sie müssen jetzt kurzfristig prüfen, welche Zulieferer Ihr Risiko erhöhen und welche Verträge schnelle Exit- und Melderechte brauchen. Unser Gratis-Guide enthält eine Lieferanten-Checkliste und praxisnahe Maßnahmen gegen Phishing und Drittrisiken — konkret, umsetzbar in Tagen. Holen Sie sich die Checkliste und das Schritt-für-Schritt-Toolkit für NIS2/DORA-Compliance. Ideal für Compliance-Verantwortliche und Geschäftsleitungen. Gratis-Resilienz-Check & Guide herunterladen

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler