NIS-2 und DORA: Managementhaftung wird für Chefs zur Realität

Die Kombination aus verschärften EU-Vorschriften, souveränen Cloud-Strategien und KI-gestützter Bedrohungserkennung zwingt Unternehmen zu einem grundlegenden Umbau ihrer SAP-Sicherheitsarchitektur. Für deutsche Firmen wird die Frage nach Compliance und Haftung zur Chefsache.

Managementhaftung wird zur Realität

Seit Jahresbeginn 2026 sind die neuen EU-Richtlinien NIS-2 und DORA in voller Schärfe in Kraft. Der deutsche Gesetzgebungsprozess wurde im November 2025 abgeschlossen – der Bundestag verabschiedete das Gesetz am 13. November, der Bundesrat folgte am 21. November. Betroffen sind Unternehmen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von über zehn Millionen Euro in kritischen Sektoren wie Energie, Banken und Fertigung.

Anzeige: Seit Jahresbeginn {DYNAMICYEAR} haften Geschäftsführer persönlich für Cybersicherheitslücken – bei grober Fahrlässigkeit droht die Abberufung. Die 24h-Meldefrist für Vorfälle macht SAP-Compliance zur Chefsache. Dieser Report liefert die Checkliste der Managementpflichten, einen SAP-Compliance-Fahrplan und fünf KI-Tools zur automatisierten Bedrohungserkennung. Jetzt kostenlosen Compliance-Report anfordern

Die wohl folgenreichste Neuerung: Die persönliche Haftung der Geschäftsführung. Artikel 20 der NIS-2-Richtlinie verlangt, dass Führungsgremien Cybersicherheitsmaßnahmen nicht nur genehmigen, sondern auch aktiv überwachen müssen. Bei grober Fahrlässigkeit droht sogar die Abberufung verantwortlicher Manager. Die Meldefristen für Sicherheitsvorfälle wurden drastisch verkürzt: eine erste Frühwarnung binnen 24 Stunden, eine formelle Meldung nach 72 Stunden und ein Abschlussbericht innerhalb eines Monats.

SAPs Milliarden-Wette auf die Sovereign Cloud

SAP hat auf diesen regulatorischen Druck längst reagiert. Mit einem Investitionsvolumen von 20 Milliarden Euro baut der Walldorfer Konzern sein Portfolio an souveränen Cloud-Lösungen aus. Martin Merz, President of Sovereign Cloud bei SAP, beschrieb das Konzept Ende Mai 2026 als eine Kombination aus Daten-, Betriebs-, technischer und rechtlicher Kontrolle. Das Ziel: Kunden die Wahlfreiheit lassen und gleichzeitig die volle Übersicht über ihre Umgebungen bewahren.

Zu den aktuellen Nutzern dieser Infrastruktur zählen namhafte Organisationen wie Diehl, Hensoldt, Lockheed Martin und die britische Steuerbehörde HMRC. Angesichts der gigantischen Datenmengen, die allein in Europa anfallen – rund 30 Zettabyte im Jahr 2025 – wird die Fähigkeit, diese Daten rechtskonform zu verwalten, zum entscheidenden Wettbewerbsfaktor.

KI-Agenten auf der Spur von Sicherheitslücken

Die technische Seite der SAP-Sicherheit erlebt derzeit einen Paradigmenwechsel. Weg von manuellen Kontrollen, hin zu automatisierter Überwachung und spezialisierten KI-Agenten. Ende Mai 2026 brachte NTT DATA Business Solutions die SAP Business AI Platform auf den Markt. Sie verknüpft Geschäftsdaten mit Governance-Strukturen und ermöglicht zentrales Monitoring sowie rollenbasierte Zugriffskontrollen – essenziell für die Prüfbarkeit komplexer ERP-Umgebungen.

Fast zeitgleich launchte Claranet im Mai 2026 ThreatDetect for SAP Technology. Die Plattform nutzt über 15 Datenextraktoren und mehr als 500 vordefinierte Regeln, um SAP-spezifische Angriffsmuster zu identifizieren. Das System soll die Anforderungen von NIS-2, DORA und ISO 27001 erfüllen. Automatisierte Reaktionsfähigkeiten sind für das vierte Quartal 2026 angekündigt.

Die Dringlichkeit solcher Werkzeuge unterstreichen aktuelle Berichte: KI-Modelle entdeckten Ende Mai 2026 langjährige Sicherheitslücken in Betriebssystemen und Hunderte von Schwachstellen in Webbrowsern. Marktforscher erwarten, dass bis Ende 2026 40 Prozent aller Unternehmensanwendungen über autonome KI-Agenten verfügen werden – eine Entwicklung, die das Identitäts- und Zugriffsmanagement vor völlig neue Herausforderungen stellt.

Qualitätsschere öffnet sich am Dienstleistungsmarkt

Die wachsende Nachfrage nach spezialisierten SAP-Sicherheitsdiensten führt zu einer zunehmenden Kluft zwischen den Anbietern. Eine Studie mit 1.500 Nutzern und über 100 Anbietern vom Mai 2026 zeigt: Während die durchschnittliche Zufriedenheit moderat bleibt, erreichen Spitzenreiter wie Syntax Systems bei privaten Cloud-Transformationen und Anwendungsentwicklung Zustimmungsraten von über 80 Prozent.

Anzeige: Die 24h-Meldefrist nach NIS-2 stellt Unternehmen vor enorme operative Herausforderungen – besonders bei komplexen SAP-Landschaften. Wer die automatisierte Bedrohungserkennung nicht rechtzeitig einführt, riskiert nicht nur Bußgelder, sondern die persönliche Haftung. Dieser Report zeigt, wie Sie mit KI-Agenten und über 500 vordefinierten Regeln Ihre SAP-Umgebung prüfbar machen. SAP-Compliance-Fahrplan jetzt sichern

Auch branchenspezifische Lösungen drängen auf den Markt. Bereits im Februar 2026 bündelten RÖDL und Planon ihre Expertise für ein umfassendes Immobilien-Lebenszyklus-Management auf Basis von SAP S/4HANA. Die Lösung deckt alles vom Portfoliomanagement bis zur ESG-Berichterstattung ab – ein klares Signal, dass compliance-fähige Daten in allen Geschäftsbereichen zum Standard werden.

Ausblick: Schulungen und neue Leitfäden

Um dem Fachkräftemangel entgegenzuwirken, startet SAP im September 2026 eine neue Security and Compliance Academy in Walldorf. Parallel dazu bereitet die Fachpublikation ComputerWeekly für Juni 2026 neue Leitfäden für IT-Manager zu SAP-Compliance-Strategien vor. Der Druck auf Unternehmen wächst – und mit ihm der Bedarf an verlässlicher Orientierung in einem zunehmend komplexen Regulierungsdschungel.

de | wirtschaft | 69445633 |