GRASP German GRC
Kostenlos testen Kontakt

EU Cybersecurity 2025: NIS2, DORA & EU AI Act: Was zu tun ist

Veröffentlicht am: 17. Oktober 2025

Max Mustermann

Veröffentlicht am: 17.10.2025

EU Cybersecurity


Europa zieht die Cybersecurity-Zügel an

Europäische Regulierungen wie NIS2, DORA und der EU AI Act verändern die Sicherheitslandschaft grundlegend. Sie betreffen nicht mehr nur kritische Infrastrukturen, sondern zunehmend auch mittelständische und technologiegetriebene Unternehmen in der gesamten DACH-Region. Für CISOs und IT-Verantwortliche bedeutet das: Governance, Reporting und Resilienz werden Chefsache.

NIS2: Breitere Pflichten und persönliche Verantwortung

Die NIS2-Richtlinie erweitert den Anwendungsbereich deutlich und verschärft Meldepflichten sowie Haftungsregeln. Organisationen müssen ihre Cyber-Risikomanagement-Systeme ausbauen, Vorstände schulen und Meldeprozesse einüben.

  • Risikomanagement: Gap-Analysen in allen Ländern, Policies mit Management-Freigabe, Lieferkettenprüfung.
  • Accountability: Berichtswesen, Schulungen und Governance-Strukturen auf Vorstandsebene.
  • Incident Reporting: Behörden und interne Stakeholder innerhalb von 24 Stunden informieren.
  • Business Continuity: Backup-Strategien, Wiederanlauftests, Tabletop-Übungen mit der Geschäftsführung.

Bei Verstößen drohen Bußgelder bis zu 10 Mio. € oder 2 % des Jahresumsatzes. Wer vorbereitet ist, schützt nicht nur Daten, sondern auch Reputation und Vertrauen.

DORA: Resilienz im Finanzsektor wird Pflicht

Der Digital Operational Resilience Act (DORA) zielt auf die Cyber-Resilienz des europäischen Finanzsektors. Er verlangt eine lückenlose Kontrolle über IT-Dienstleister, Backups, Wiederanlaufzeiten und Meldeprozesse bei ICT-Vorfällen.

  • Top-Management-Einbindung: Führungskräfte müssen Verantwortung übernehmen und Compliance verstehen.
  • Programmmanagement: Security-Teams unterstützen Legal & Compliance. Nicht umgekehrt.
  • Resilienztests: Regelmäßige Simulationen realer Angriffs- und Ausfallszenarien.
  • Reporting: Erstmeldung binnen 24 Stunden, Abschlussbericht innerhalb von 30 Tagen.

DORA bringt Bußgelder bis zu 2 % des weltweiten Umsatzes – und macht operative Resilienz zum Kern des Risikomanagements.

EU AI Act: Verantwortung für KI-Systeme

EU-AI-Act – Risikoklassen, Nachweise, verbotene Praktiken

Worum es geht: KI-Systeme werden entlang von verboten / hochriskant / geringeres Risiko reguliert. Pflichten treffen Provider, Deployers, Distributoren/Hersteller in der EU-Wertschöpfung – auch bei zugekauften SaaS-Funktionen.

To-dos für Security:

  • KI-Inventar aufbauen: Alle AI-Funktionen (inkl. eingebetteter SaaS-Features) entdecken und katalogisieren.
  • Risiko-Tierung & Assessments: Einheitliches Bewertungsmodell je AI-System, dokumentiert und wiederholbar.
  • Drittparteien managen: Beschaffung/Legal einbinden, Nachweise & Zusicherungen einfordern, laufend Sichtbarkeit halten.
  • High-Risk-Betrieb absichern: Anforderungen an Genauigkeit, Robustheit, Cybersecurity (u. a. Art. 15) nachweisen, Zugriffe auditieren, Logs geordnet vorhalten.
  • Rollenbasierte KI-Schulung: Nutzungsmöglichkeiten, Grenzen, Risiken – plus Spezialtrainings für Operatoren hochriskanter Systeme.

Dokumentationspflichten (high risk): Technische Dossiers zu Zweck, Design, Datenquellen/-qualität, Entwicklung, Sicherheit, Monitoring, Metriken, Lebenszyklusänderungen, Konformitätserklärung. Plus Post-Market-Monitoring-Plan.
Verbote u. a.: Manipulative Systeme, Ausnutzung von Schutzbedürftigen, Social Scoring, Emotionserkennung am Arbeitsplatz/Schule, in der Regel Echtzeit-Biometrie im öffentlichen Raum (enge Ausnahmen).

Bußgelder (Auszug): Bis 35 Mio. € oder 7 % Umsatz bei verbotenen Praktiken; bis 15 Mio. € oder 3 % bei High-Risk-Verstößen; 1 %/7,5 Mio. € für irreführende Angaben. Für GPAI-Modellanbieter drohen bis 3 % Umsatz.

Von der Pflicht zur Chance

Die EU-Regulatorik 2025 zwingt Unternehmen, Cybersecurity als Kern des Geschäftsbetriebs zu verstehen. Wer jetzt handelt, schafft nicht nur Compliance, sondern stärkt Vertrauen, Reputation und Marktposition. Anpassungsfähige Strategien, klare Governance und trainierte Teams sind der Schlüssel zu nachhaltiger Cyber-Resilienz.

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GmbH

Siegel Software Made and Hosted in Germany
Siegel Allianz für Cyber-Sicherheit Siegel Bundesverband IT-Mittelstand Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Produkte

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Sofware für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Neues bei GRASP

Unternehmen

Über uns

Fragen zu GRASP

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

Zum Kontaktformular

© DextraData GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen