NIS2, DORA und der sichere Betrieb in Europa: Warum Anbieterauswahl jetzt zur Chefsache wird
Vergangenes Wochenende hat die US-Regierung durch eine kurzfristig erlassene Ausfuhrbestimmung den Zugang zu einem KI-Dienst für Nicht-US-Bürger, mithin aufgrund einer fehlenden Kontrollmöglichkeit, für alle Kunden eingestellt. Für ein Unternehmen, das unter NIS2 oder DORA fällt, ist das nicht nur ein betriebliches Ärgernis, sondern potenziell ein meldepflichtiger Vorfall mit regulatorischen Folgen. Dieser Beitrag ordnet ein, welche Pflichten gelten und welche Rolle die Wahl Ihrer Dienstleister dabei spielt.
NIS2 ist in Deutschland kein Zukunftsthema mehr
Die wichtigste Botschaft zuerst: NIS2 ist in Deutschland geltendes Recht. Das nationale Umsetzungsgesetz wurde im Bundesgesetzblatt verkündet und ist Anfang Dezember 2025 in Kraft getreten. Eine großzügige Schonfrist für die Umsetzung der technischen und organisatorischen Maßnahmen gibt es nicht und betroffene Unternehmen müssen ihre Pflichten grundsätzlich ab Geltung erfüllen. Schätzungen zufolge fallen damit in Deutschland zehntausende Unternehmen neu in den Anwendungsbereich, weit über den klassischen Kreis kritischer Infrastrukturen hinaus.
Betroffen sind, vereinfacht gesagt, mittlere und größere Unternehmen in einer Reihe von Sektoren, etwa von Energie über Gesundheit und digitale Dienste bis zu Teilen der industriellen Produktion. Ob Ihr Unternehmen erfasst ist, hängt von Sektor und Größe ab und sollte im Einzelfall sauber geprüft werden, denn die Schwellen und Zuordnungen sind nicht immer offensichtlich. Diese Einstufung ist der erste Schritt jeder NIS2-Vorbereitung.
Was NIS2 konkret verlangt
NIS2 verpflichtet betroffene Einrichtungen zu einem Bündel an Maßnahmen, die zusammen ein Mindestniveau an Cybersicherheit gewährleisten sollen. Dazu gehören ein systematisches Risikomanagement, Maßnahmen zur Aufrechterhaltung des Betriebs und zur Bewältigung von Vorfällen sowie die Absicherung der Lieferkette. Denn die Sicherheit Ihres Unternehmens hängt nicht nur an Ihren eigenen Systemen, sondern auch an denen Ihrer Dienstleister.
Hinzu kommen verschärfte Meldepflichten: Erhebliche Sicherheitsvorfälle müssen in engen Fristen an die zuständige Behörde gemeldet werden – mit einer ersten Frühwarnung sehr kurzfristig und ausführlicheren Meldungen in den Tagen danach. Und schließlich nimmt das Gesetz die Geschäftsleitung ausdrücklich in die Pflicht: Sie muss die Maßnahmen billigen, überwachen und kann persönlich verantwortlich gemacht werden. Cybersicherheit ist damit endgültig Chefsache.
DORA: die parallele Welt des Finanzsektors
Für Unternehmen im Finanzsektor und ihre IKT-Dienstleister gilt mit DORA, dem Digital Operational Resilience Act, ein eigener, noch detaillierterer Rahmen. DORA verlangt von Banken, Versicherern, Zahlungsdienstleistern und ähnlichen Einrichtungen eine umfassende digitale Betriebsstabilität, einschließlich strenger Anforderungen an das Management von Drittanbieter-Risiken. Wer als Dienstleister für solche Unternehmen arbeitet, wird grds. über diese Anforderungen mit erfasst, auch wenn er selbst kein Finanzunternehmen ist.
Für die meisten unserer mittelständischen Mandanten steht NIS2 im Vordergrund; wer aber zur Lieferkette des Finanzsektors gehört, sollte DORA aktiv mitdenken. In beiden Regelwerken zieht sich ein roter Faden durch: Die Abhängigkeit von externen Dienstleistern und gerade von großen, oft außereuropäischen Plattformen ist kein Randthema, sondern ein zentraler Prüfpunkt.
Anbieterauswahl wird zur dokumentierten Entscheidung
Hier schließt sich der Kreis zur Frage der US-Abhängigkeit. Sowohl NIS2 als auch DORA verlangen, dass Sie die Risiken Ihrer Dienstleister bewerten, steuern und dokumentieren. Das bedeutet konkret: Die Entscheidung für oder gegen einen bestimmten Cloud-Dienst ist nicht mehr nur eine Frage von Funktion und Preis, sondern eine nachweispflichtige Risikoentscheidung. Sie müssen darlegen können, warum Sie einem Anbieter vertrauen, welche Risiken Sie sehen, wie Sie ihnen begegnen und was Ihr Plan ist, wenn der Dienst ausfällt oder wegfällt.
Genau an diesem Punkt zahlt sich ein durchdachtes Souveränitätskonzept doppelt aus. Eine Architektur, bei der kritische Daten in europäischer Hoheit liegen, bei der ein erprobtes, anbieterunabhängiges Backup existiert und bei der ein Umstiegspfad vorbereitet ist, erfüllt nicht nur das Bedürfnis nach Kontinuität – sie liefert zugleich die Nachweise, die NIS2 und DORA verlangen.
Vom Pflichtprogramm zum Wettbewerbsvorteil
Es lohnt sich, die Perspektive zu wechseln. NIS2 und DORA wirken auf den ersten Blick wie zusätzliche Bürokratie. Tatsächlich aber zwingen sie Unternehmen zu genau den Hausaufgaben, die ohnehin sinnvoll sind: zu wissen, wo die eigenen Daten liegen, welche Dienste wirklich kritisch sind, und wie man im Ernstfall reagiert. Unternehmen, die das ernst nehmen, sind nicht nur compliant, sie sind widerstandsfähiger und gegenüber ihren eigenen Kunden glaubwürdiger. Gerade in regulierten Branchen wie bei Kanzleien, Steuerberatern, Arztpraxen oder Finanzdienstleistern wird die Fähigkeit, sicheren und souveränen Betrieb nachzuweisen, zunehmend zum Auswahlkriterium.
Recht und Technik aus einer Hand
Die regulatorischen Anforderungen lassen sich nicht auf dem Papier erfüllen. Eine Lieferketten-Risikobewertung ist nur so gut wie die technische Architektur, die sie beschreibt; eine Meldepflicht lässt sich nur einhalten, wenn die technischen Systeme einen Vorfall überhaupt erkennen. Deshalb verbinden wir innerhalb der CS-Gruppe beide Seiten: CS Infowerk bewertet die datenschutzrechtliche und Compliance-Dimension, von der NIS2-Betroffenheitsanalyse über die Dokumentation bis zur Anbieterprüfung, während CS Speicherwerk die technische Umsetzung verantwortet: europäisches Hosting, Verschlüsselung, Backup und einen sicheren, kontinuierlichen Betrieb.
Diese Verzahnung ist kein Zufall, sondern unsere Antwort auf eine Regulierung, die Recht und Technik untrennbar verknüpft. Wer beides getrennt einkauft, riskiert Lücken genau an den Schnittstellen, an denen es im Ernstfall darauf ankommt.
CS Infowerk GmbH erbringt keine Rechtsberatung. Dieser Beitrag ersetzt keine individuelle Rechtsberatung im Einzelfall.