Erfolgsfaktor: Prävention
➡️ Für Resilience – für digitale Widerstandsfähigkeit
Was ist einer der Hauptgründe für die Implementierung eines Resilienz Programmes in Organisationen? Die Notwendigkeit, bestehende Vorschriften einzuhalten, insbesondere dann, wenn neue Vorschriften berücksichtigt werden müssen. Das sagen 64 Prozent der befragten Organisationen laut dem neuesten BCI Operational Resilience Report 2025. DORA und NIS2 sind „solche Vorschriften“. Für wen sie gelten und was sie beinhalten…
🔎 Aktuelles aus der Welt der Normen: Während NIS2 branchenübergreifend Mindeststandards setzt bzw. setzen wird, zielt DORA auf den Finanzsektor und seine spezifischen Risiken ab.
- DORA = sektorspezifisch (Finanzsektor), Fokus auf Cybersicherheit und digitale Resilienz, Quelle: Digital Operational Resilience Act (DORA), seit dem 17.1.25 in Kraft
- NIS2 = branchenübergreifend (Kritische Infrastrukturen und wichtige digitale Dienste), Fokus auf Cybersicherheit und digitale Resilienz, Quelle: NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), Regierungsentwurf wurde am 30.7.25 verabschiedet; Gesetz noch nicht in Kraft
- Vereinendes Ziel: Stärkung von Stabilität, Sicherheit und Vertrauen in Europas digitale Infrastruktur.
In einer Zeit, in der die digitale Welt rasant wächst, nehmen auch die Bedrohungen durch Cyberangriffe stetig zu. Um die Sicherheit kritischer Infrastrukturen in der Europäischen Union (EU) zu gewährleisten, hat die EU 2023 die NIS-2-Richtlinie eingeführt, die auf der Richtlinie aus 2016 aufbaut. Während die erste Richtlinie primär kritische Infrastrukturen wie Energieversorger und Finanzdienstleister umfasste, erweiterte NIS2 den Kreis der betroffenen Sektoren. Sie schließt nun auch Unternehmen aus dem Gesundheitswesen, digitale Infrastrukturen, Transport und viele mehr ein. Ferner formuliert NIS2 strengere Sicherheitsmaßnahmen und Meldepflichten und sieht deutlich höhere Sanktionen für Verstöße vor.
📌 Wichtiger Schritt in Deutschland: Das NIS2UmsuCG noch nicht in Kraft, aber es wird kommen. An dieser Stelle ein kleiner Hinweis an viele unserer Kunden: Die NIS2-Richtlinie wird im Gesundheitswesen für Krankenhäuser, Hersteller kritischer Medizinprodukte und Pharmaunternehmen gelten. Sind Sie vorbereitet?
Parallel dazu gilt für den Finanzsektor bereits der Digital Operational Resilience Act (DORA). Regulatorisch eingefordert wird, dass Finanzinstitute auch in Krisensituationen handlungsfähig bleiben und die Stabilität des gesamten Finanzsystems nicht gefährdet wird. Damit geht DORA weit über klassische IT-Sicherheitsanforderungen hinaus: Die Richtlinie fordert, dass Finanzunternehmen nicht nur spezifische Schutzmaßnahmen implementieren, sondern ihre gesamte digitale Betriebsstruktur auf Resilienz prüfen. Das „R“ in DORA steht schließlich für „Resilience“. Resilienz bedeutet Widerstandsfähigkeit, Kontinuität und Stabilität, auch unter Extrembedingungen.
Finanzunternehmen haben folgendes zu tun:
- Risikomanagementsysteme für IT- und Cyber-Risiken implementieren
- Notfallpläne für IT-Ausfälle, Cyberattacken oder IT-Drittanbieter-Störungen erarbeite
- Regelmäßige Tests und Simulationen durchführen, um die Belastbarkeit kritischer Systeme zu prüfen
- Meldepflichten bei IT-Vorfällen an zuständige Behörden
💡 Laut BCI Operational Resilience Report 2025 äußern sich nicht alle Befragten optimistisch hinsichtlich der konformen Erfüllung regulatorischer Anforderungen. Nur 40 Prozent schätzen ihren eigenen Status als vollständig konform ein. Zu welcher Gruppe gehören Sie?
