NIS2 und DORA: 29.500 deutsche Unternehmen unter Druck

Europäische Regularien wie NIS2 und DORA verlangen von Firmen ein professionelles Krisenmanagement. Wer sich nicht rechtzeitig um die Betriebsstabilität kümmert, riskiert hohe Strafen.

Neue EU-Regularien wie NIS2 fordern ein striktes Risikomanagement – doch auch die rechtssichere Dokumentation der Datenverarbeitung ist für die Compliance heute unerlässlich. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis zeitsparend und gemäß Art. 30 DSGVO zu erstellen. Kostenlose Muster-Vorlage und Anleitung jetzt herunterladen

NIS2 und DORA verschärfen die Anforderungen

Die NIS-2-Richtlinie der EU definiert weitreichende Pflichten fürs Risikomanagement. Betroffen sind 18 Sektoren – von Energie über Verkehr bis zum Gesundheitswesen. In Deutschland fallen rund 29.500 Unternehmen unter die Regelung. Besonders mittlere Betriebe ab 50 Mitarbeitern oder einem Jahresumsatz von zehn Millionen Euro sind adressiert.

Seit Dezember 2025 müssen Organisationen konkrete Maßnahmen umsetzen. Dazu gehören Risikoanalysen, Konzepte zur Betriebsaufrechterhaltung und Incident-Response-Pläne. Die Registrierungsfrist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) endete im März 2026.

Die Strafen sind empfindlich: Für wesentliche Einrichtungen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Zusätzlich haftet die Geschäftsführung persönlich.

Parallel dazu gilt der Digital Operational Resilience Act (DORA) für den Finanz- und Versicherungssektor. Die Übergangsfrist endete am 17. Januar 2025. Die Verordnung basiert auf vier Säulen: IKT-Risikomanagement, Vorfallsmeldung, Steuerung von Drittanbietern und mehr. Ziel ist ein ganzheitlicher Ansatz gegen Angriffe und Systemausfälle.

Modulare Ansätze für den Aufbau von Notfallplänen

Die praktische Umsetzung eines Business Continuity Managements (BCM) ist komplex. Fachleute betonen den Unterschied zum reinen Disaster Recovery: Während Letzteres den Wiederaufbau nach Systemausfällen fokussiert, zielt BCM auf die Fortführung kritischer Geschäftsprozesse ab. Grundlage ist die Business Impact Analysis (BIA), die Maßnahmen priorisiert.

Ende Mai 2026 stellte Branchenexperte Michael Melcher modulare Ansätze vor. Sie ermöglichen eine schrittweise Einführung von BCM-Systemen. Die Modelle verbinden Risikomanagement, IT-Notfallplanung und Krisenmanagement mit Governance- und Compliance-Vorgaben. Der Aufbau orientiert sich an Normen wie ISO 22301, ISO 22313 oder dem BSI-Standard 200-4.

Während Unternehmen ihre Notfallpläne modular aufbauen, sollten sie die grundlegenden Dokumentationspflichten nicht vernachlässigen, um bei Prüfungen keine Bußgelder zu riskieren. Erfahren Sie von Experten, welche häufig übersehenen Pflichtfelder in Ihrem Verarbeitungsverzeichnis sofort auffallen und wie Sie diese korrekt ausfüllen. Experten-Anleitung zum Verarbeitungsverzeichnis gratis sichern

Ein modularer Ansatz macht die Resilienz messbar und überprüfbar. Das gewinnt mit steigenden Auditpflichten an Bedeutung. Für Anfang Juni sind Fachvorträge angekündigt, die zeigen, wie sich die Systeme an individuelle Unternehmensbedarfe anpassen lassen.

Innovationszentrum für Krisensicherheit in Berlin

Neben Regulierung und Methodik entstehen neue Trainings- und Forschungsformate. Im Mai 2026 wurde in Berlin der Innovationshub RESILIA für Sicherheit und Verteidigung vorgestellt. Das Bundesministerium für Forschung, Technologie und Raumfahrt unter Dorothee Bär fördert das Projekt. Ziel: den Ernstfall durch interaktive Szenarien wie großflächige Stromausfälle zu proben.

Das Resilienzlabor am Berliner Ostbahnhof soll ab Ende 2026 für Begehungen zur Verfügung stehen. Feuerwehr, Deutsches Forschungszentrum für Künstliche Intelligenz (DFKI) und die Freie Universität Berlin kooperieren. Wissenschaftliche Erkenntnisse sollen direkt in die operative Krisenvorsorge einfließen.

Unternehmen nutzen zudem verstärkt spezialisierte Analysewerkzeuge. Marktanbieter stellen Self-Assessment-Verfahren nach ISO 27001 bereit. Die Werkzeuge helpfen, die Komplexität der Anforderungen zu bewältigen und Sicherheitslücken in der Lieferkette frühzeitig zu erkennen.

de | wissenschaft | 69435582 |