Login

Kontakt aufnehmen

GRASP German GRC
Kostenlos testen

EU Cybersecurity: NIS2, DORA & EU AI Act: Was zu tun ist

Veröffentlicht am: 17. Oktober 2025

Max Mustermann

Veröffentlicht am: 17.10.2025

EU Cybersecurity


Europa verschärft die Cybersecurity-Richtlinien

Europäische Regulierungen wie NIS2, DORA und der EU AI Act verändern aktuell grundlegend, wie Unternehmen Cybersecurity, operative Resilienz und Governance organisatorisch steuern müssen.

Trotz unterschiedlicher Schwerpunkte verfolgen alle drei Regulierungen ein gemeinsames Ziel: Risiken, Verantwortlichkeiten, Nachweise und organisatorische Resilienz sollen deutlich stärker steuerbar und nachvollziehbar werden. Genau dadurch entstehen in vielen Unternehmen neue Anforderungen an integrierte Governance- und Managementstrukturen.

NIS2: Breitere Pflichten und persönliche Verantwortung

Die NIS2-Richtlinie erweitert den Anwendungsbereich deutlich und verschärft Meldepflichten sowie Haftungsregeln. Organisationen müssen ihre Cyber-Risikomanagement-Systeme ausbauen, Vorstände schulen und Meldeprozesse einüben.

In der Praxis zeigt sich dabei schnell, dass NIS2 nicht isoliert als IT-Sicherheitsprojekt betrieben werden kann. Risiken, Maßnahmen, Incident-Prozesse, Business Continuity und Management-Reporting müssen organisatorisch zusammengeführt werden, damit Sicherheitsanforderungen dauerhaft steuerbar bleiben.

  • Risikomanagement: Gap-Analysen in allen Ländern, Policies mit Management-Freigabe, Lieferkettenprüfung.
  • Accountability: Berichtswesen, Schulungen und Governance-Strukturen auf Vorstandsebene.
  • Incident Reporting: Unternehmen müssen Meldeprozesse etablieren, um erhebliche Sicherheitsvorfälle fristgerecht und nachvollziehbar gegenüber Behörden und internen Stakeholdern zu behandeln.
  • Business Continuity: Backup-Strategien, Wiederanlauftests, Tabletop-Übungen mit der Geschäftsführung.

Bei Verstößen drohen Bußgelder bis zu 10 Mio. € oder 2 % des Jahresumsatzes. Wer vorbereitet ist, schützt nicht nur Daten, sondern auch Reputation und Vertrauen.

DORA: Resilienz im Finanzsektor wird Pflicht

Der Digital Operational Resilience Act (DORA) zielt auf die Cyber-Resilienz des europäischen Finanzsektors. Er verlangt eine lückenlose Kontrolle über IT-Dienstleister, Backups, Wiederanlaufzeiten und Meldeprozesse bei ICT-Vorfällen.

  • Top-Management-Einbindung: Führungskräfte müssen Verantwortung übernehmen und Compliance verstehen.
  • Programmmanagement: Security-Teams unterstützen Legal & Compliance. Nicht umgekehrt.
  • Resilienztests: Regelmäßige Simulationen realer Angriffs- und Ausfallszenarien.
  • Reporting: Erstmeldung binnen 24 Stunden, Abschlussbericht innerhalb von 30 Tagen.

DORA bringt Bußgelder bis zu 2 % des weltweiten Umsatzes – und macht operative Resilienz zum Kern des Risikomanagements.

Gerade unter DORA zeigt sich, dass Risiko-, BCM-, Incident- und Lieferantenprozesse nicht isoliert voneinander betrieben werden können. Entscheidend wird eine gemeinsame Sicht auf kritische Abhängigkeiten, Maßnahmen und Wiederanlaufprozesse.

EU AI Act: Verantwortung für KI-Systeme

EU-AI-Act – Risikoklassen, Nachweise, verbotene Praktiken

Worum es geht: KI-Systeme werden entlang von verboten / hochriskant / geringeres Risiko reguliert. Pflichten treffen Provider, Deployers, Distributoren/Hersteller in der EU-Wertschöpfung – auch bei zugekauften SaaS-Funktionen.

To-dos für Security:

  • KI-Inventar aufbauen: Alle AI-Funktionen (inkl. eingebetteter SaaS-Features) entdecken und katalogisieren.
  • Risiko-Tierung & Assessments: Einheitliches Bewertungsmodell je AI-System, dokumentiert und wiederholbar.
  • Drittparteien managen: Beschaffung/Legal einbinden, Nachweise & Zusicherungen einfordern, laufend Sichtbarkeit halten.
  • High-Risk-Betrieb absichern: Anforderungen an Genauigkeit, Robustheit, Cybersecurity (u. a. Art. 15) nachweisen, Zugriffe auditieren, Logs geordnet vorhalten.
  • Rollenbasierte KI-Schulung: Nutzungsmöglichkeiten, Grenzen, Risiken – plus Spezialtrainings für Operatoren hochriskanter Systeme.

Dokumentationspflichten (high risk): Technische Dossiers zu Zweck, Design, Datenquellen/-qualität, Entwicklung, Sicherheit, Monitoring, Metriken, Lebenszyklusänderungen, Konformitätserklärung. Plus Post-Market-Monitoring-Plan.

Verbote u. a.: Manipulative Systeme, Ausnutzung von Schutzbedürftigen, Social Scoring, Emotionserkennung am Arbeitsplatz/Schule, in der Regel Echtzeit-Biometrie im öffentlichen Raum (enge Ausnahmen).

Bußgelder: Verstöße gegen zentrale Anforderungen des EU AI Act können erhebliche regulatorische und wirtschaftliche Folgen haben. Unternehmen müssen deshalb frühzeitig Transparenz über eingesetzte KI-Systeme, Verantwortlichkeiten und Risikobewertungen schaffen.

Warum isolierte Compliance-Projekte scheitern

In vielen Unternehmen werden NIS2, DORA und AI Act zunächst getrennt betrachtet. In der Praxis überschneiden sich jedoch zahlreiche Anforderungen:

  • Risikomanagement,
  • Incident-Handling,
  • Nachweisführung,
  • Lieferantensteuerung,
  • Business Continuity,
  • Governance
  • und Management-Reporting.

Werden diese Themen in separaten Tools, Listen und Prozessen betrieben, entsteht schnell zusätzlicher Abstimmungsaufwand und inkonsistente Datenpflege. Genau deshalb wird eine gemeinsame Governance- und Datenbasis zunehmend entscheidend.

Von der Pflicht zur Chance

Die EU-Regulatorik zwingt Unternehmen, Cybersecurity als Kern des Geschäftsbetriebs zu verstehen. Die Herausforderung besteht dabei weniger in einzelnen regulatorischen Anforderungen als in ihrer organisatorischen Zusammenführung. Unternehmen benötigen deshalb Strukturen, mit denen Risiken, Maßnahmen, Verantwortlichkeiten und Nachweise dauerhaft konsistent steuerbar bleiben.

Jetzt GRASP 30 Tage kostenlos testen!

Text auf Button: Get Started Free Trial starten

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GRC Technologies GmbH

Siegel Software Made and Hosted in Germany
Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Module

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Software für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Verknüpfung von GRASP mit Business-Apps

GRASP Dokumentation

Regularien & Zertifizierungen

NIS2 Umsetzungsgesetz erfüllen

Zertifizierung nach ISO/IEC 27001 umsetzen

BSI-Standard 200-4 etablieren

DSGVO-Anforderungen umsetzen

Neues bei GRASP

Unternehmen

Über uns

GRASP FAQs

Trust Center - Unser Versprechen

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

© DextraData GRC Technologies GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen