Ich bin ein IKT-Dienstleister, holt mich hier raus!

DORA & NIS2: Neue Spielregeln für IKT-Dienstleister – Chancen und Pflichten im Doppelpack

Die regulatorische Landschaft für Informations- und Kommunikationstechnologie (IKT) in Europa verändert sich rasant. Mit dem Digital Operational Resilience Act (DORA) und der Netzwerk- und Informationssystemrichtlinie 2 (NIS2-Richtlinie) existieren zwei Regelwerke, die auch für die Dienstleisterseite neue Maßstäbe setzen – sowohl bei der Sicherheitsarchitektur als auch in der Zusammenarbeit mit ihren Kunden.

Der regulatorische Fokus, zunehmende Transparenz und Verantwortlichkeit in der gesamten Lieferkette stellen viele IKT-Dienstleister vor bisher unbekannte Herausforderungen.

Was DORA und NIS2 für IKT-Dienstleister bedeuten

Der Digital Operational Resilience Act (EU-Verordnung 2022/2554) zielt auf die digitale operationelle Resilienz von Finanzunternehmen ab und bezieht dabei ausdrücklich auch deren IKT-Drittdienstleister in den Anwendungsbereich ein. Die Verordnung verpflichtet Finanzunternehmen dazu, die von ihnen eingesetzten IKT-Dienstleister sorgfältig zu steuern und zu überwachen – und räumt den Aufsichtsbehörden sogar die Möglichkeit ein, besonders kritische Anbieter direkt zu überwachen. DORA gilt als sog. „Lex specialis“ für den Finanzsektor, gilt somit anstatt der NIS2 und besitzt spezifische, sektorbezogene Anforderungen.

Die NIS2-Richtlinie (EU-Richtlinie 2022/2555) erweitert den Anwendungsbereich der Cybersicherheitsanforderungen erheblich im Vergleich zu ihrer Vorgängerin. Sie erfasst nun deutlich mehr Branchen und Dienstleister, darunter auch viele IT- und Managed-Service-Anbieter.

Für IKT-Dienstleister bedeutet dies, dass nicht mehr nur große Konzerne in den regulatorischen Blick geraten. Auch mittelgroße Unternehmen können künftig als „wesentliche“ oder „wichtige“ Einrichtungen nach NIS2 gelten und sind damit verpflichtet, ihre IKT-Dienstleister angemessen zu steuern.

Die Anforderungen an Sicherheitsmaßnahmen, Monitoring-Prozesse und Meldepflichten steigen – und zwar nicht nur als Empfehlung oder Best Practice Ansatz, sondern als verbindlicher Rechtsrahmen.

Neue Vorbedingungen und Anforderungen der Regularien

Ein zentrales Kriterium für die Pflichten aus DORA ist die Bestimmung der Wesentlichkeit einer Dienstleistung. Finanzunternehmen müssen einschätzen, ob die von einem IKT-Dienstleister erbrachte Leistung eine „kritische oder wichtige Funktion“ für die eigne Organisation unterstützt. DORA definiert dies so, dass eine Funktion als kritisch oder wichtig gilt, wenn ihre Störung oder ihr Ausfall wesentliche negative Auswirkungen auf die finanzielle Leistungsfähigkeit des Unternehmens, auf die Kontinuität seiner Dienste oder auf die Einhaltung regulatorischer Pflichten hätte. Dabei sind insbesondere der Grad der Abhängigkeit vom Dienstleister, die Verfügbarkeit gleichwertiger Alternativen, die Komplexität der Auslagerung und die mögliche Auswirkung auf sensible Prozesse zu berücksichtigen.

Unter NIS2 ist für die Einstufung vor allem maßgeblich, ob der IKT-Dienstleister für Kunden in einem der definierten Sektoren tätig ist und welche Rolle er in deren Betriebskette spielt. Je bedeutsamer die erbrachte IKT-Dienstleistung für einen Kunden der 18 definierten NIS2-Sektoren ist, desto höher sind die zu erfüllenden Anforderungen.

Viele der nun verbindlichen Anforderungen beider Regularien sind in der Praxis nicht völlig neu. Normen, Standards und Best Practices wie die Reihe der ISO/IEC 2700x oder der BSI IT-Grundschutz enthalten bereits Vorgaben zu Sicherheit, Notfallplanung und Dienstleistersteuerung. Neu ist jedoch, dass DORA und NIS2 diese Maßnahmen nicht nur empfehlen, sondern detailliert vorschreiben und durchsetzen. Dazu gehören unter anderem strengere, mehrstufige Meldepflichten im Bereich Vorfallsmanagement (Incident-Management-Reporting) mit klaren Fristen von teilweise 24 Stunden nach Kenntnis. Ebenso durchsetzungspflichtig sind nun verbindliche Maßnahmen zur Absicherung der gesamten Lieferkette bis zu Subdienstleistern, regelmäßig getestete Business-Continuity- und Wiederanlaufpläne sowie umfassende Audit- und Zugriffsmöglichkeiten für Kundinnen, Kunden und Behörden. Ebenso rückt das Verwalten der IKT-Risiken beim Dienstleister in den Vordergrund. Obwohl IKT-Dienstleister im Bereich IKT-Risikomanagement nicht die vollumfassenden Vorgaben ihrer Finanzkundinnen und -kunden abbilden müssen, ist für erhöhte operationale Resilienz ein transparentes und überprüftes Risiko- sowie zum Beispiel Assetmanagement unabdingbar. Nur so können Vorgaben der Kunden zum Erhalt der Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität (VIVA) einer Dienstleistung gewährleistet werden.

Die spürbaren Auswirkungen auf IKT-Dienstleister

Die Umsetzung dieser regulatorischen Vorgaben hat für IKT-Dienstleister mehrere Folgen. Zunächst steigt der Compliance-Aufwand erheblich, da Sicherheitsmaßnahmen nicht nur dokumentiert, sondern auch kontinuierlich geprüft und nachweisbar getestet werden müssen. Verträge mit Unternehmen müssen angepasst werden, um den neuen regulatorischen Anforderungen zu genügen – beispielsweise durch klare Regelungen zu Auditrechten, Ausstiegsstrategien und Sicherheitsstandards. Gleichzeitig kann eine hohe regulatorische Resilienz zu einem Wettbewerbsvorteil werden: Dienstleister, die ihre Compliance transparent nachweisen können und pro-aktiv auf das eigene Sicherheitsniveau aufmerksam machen, werden für Unternehmen aus regulierten Branchen besonders attraktiv und verlässlich.

Allerdings ist dafür häufig eine gezielte Investition in Security-Technologien, Monitoring-Lösungen und Incident-Response-Fähigkeiten erforderlich. Zu den Aufwänden und Kosten einer technologischen Neuausrichtung kommt ein großes Maß an organisatorischer Veränderung hinzu. Die daran beteiligten Personen sollten angemessen abgeholt und eingebunden werden, damit die neuen Technologien und Strukturen wirksam funktionieren. Regulatorische Konformität wird damit nicht nur zu einer rechtlichen Notwendigkeit, sondern zu einem strategischen Thema für eine nachhaltige Unternehmensentwicklung.

Die intelligente und effiziente Umsetzung

IKT-Dienstleister können die neuen Anforderungen effizient umsetzen, wenn sie einen strategischen Ansatz wählen. Anstatt DORA- und NIS2-Vorgaben isoliert zu betrachten, empfiehlt sich eine integrierte Umsetzung, um Doppelaufwand zu vermeiden. Standardisierte Frameworks wie ISO 27001, das NIST Cybersecurity Framework oder der BSI IT-Grundschutz dienen als solides, erprobtes Fundament, auf dem die spezifischen regulatorischen Anforderungen abgebildet und erweitert werden.

Automatisierung spielt dabei eine Schlüsselrolle: Einheitliche Tools für kontinuierliches Sicherheitsmonitoring, automatisierte Berichterstattung und Compliance-Dashboards reduzieren den manuellen Aufwand und ermöglichen eine schnelle Reaktion auf Vorfälle. Ergänzend ist es sinnvoll, gezielte Kooperationen mit spezialisierten Partnern aufzubauen – beispielsweise für Penetration-Tests, digitale Forensik oder im Rahmen eines Security Operation Centers (SOC). Ebenso übernehmen KI-System heute bei der Vertragsprüfung eine essenzielle Rolle und bringen prompte Ergebnisse zu Vertragsergänzungen. Eine frühzeitige Gap-Analyse hilft zudem, bestehende Schwachstellen systematisch zu identifizieren und Maßnahmenpläne zu deren Behebung zu definieren. Eine Basis auf der sich das Compliance-Niveau verlässlich verbessern lässt.

adesso als Partner mit der Erfahrung aus beiden Welten

adesso kennt die regulatorischen Anforderungen aus zwei Perspektiven: von der Kundenseite, etwa bei Banken, Versicherern, KRITIS-Betreibern und Behörden sowie als IKT-Dienstleister für ebendiese Unternehmen aus allen relevanten Branchen. Dieses doppelte Erfahrungsprofil ermöglicht es, umfangreiches Praxiswissen einzubringen, um maßgeschneiderte Lösungen zu entwickeln, die sowohl den regulatorischen Rahmenbedingungen entsprechen als auch operativ gut umsetzbar sind. Proportionalität, Wirksamkeit und Effizienz sind für adesso die hierbei maßgeblichen Aspekte

Der Mehrwert mit adesso als Partner zeigt sich folglich in umfassendem Wissen über die regulatorischen Anforderungen sowie zu etablierten Lösungsmethoden. Auf dieser Basis werden passgenaue Analysen zur Bestimmung des Ist-Standes, der Wesentlichkeit und der Kritikalität durchgeführt. Diese basieren auf einem präzisem Mapping der DORA- und NIS2-Anforderungen und erarbeiten daraus Roadmaps und Maßnahmenpläne zur Erreichung eines Zielbildes. Wir verstehen uns als Partner, der ganzheitlich unterstützt. So sind wir neben der Beratung, Konzeption und Umsetzung von Resilienzmaßnahmen oft auch ein aktiver Teil bei der operativen Unterstützung der Betriebsorganisation, bei Schulungs- und Sensibilisierungsmaßnahmen und begleiten bei Audits und Behördenmeldung.

Unsere Erfahrung zeigt: Wer frühzeitig und themenübergreifend auf regulatorische Resilienz setzt, gewinnt nicht nur Rechtssicherheit, sondern auch das Vertrauen des Marktes, der Kunden und der eigenen Mitarbeitenden.

Das Fazit ist, DORA und NIS2 setzen für IKT-Dienstleister neue Standards – nicht nur in der Technik, sondern auch in Governance, Vertragswesen und der strategischen Zusammenarbeit mit Kunden. Wer die Anforderungen nicht als Last, sondern als strategische Chance begreift, kann Compliance in einen echten Marktvorteil verwandeln. Mit adesso als Partner, der beide Perspektiven versteht, wird aus regulatorischer Pflicht ein nachhaltiger Wettbewerbsvorteil.

DORA und NIS2 im direkten Vergleich – warum IKT-Dienstleister beide Vorgaben bündeln sollten

Aus Sicht von IKT-Dienstleistern sind DORA und NIS2 keine isolierten Vorschriften, sondern zwei Seiten derselben Medaille. Beide adressieren die digitale Resilienz, setzen jedoch unterschiedliche Schwerpunkte und greifen auf unterschiedlichen Ebenen. DORA fokussiert sich auf die Finanzbranche mit sehr konkreten Vorgaben für die Steuerung und Überwachung externer IKT-Leistungen in Bezug auf die Unterstützung kritischer oder wichtiger Funktionen NIS2 hingegen hat einen deutlich breiteren Branchenfokus und wirkt wie ein Querbalken über alle kritischen Sektoren hinweg – mit einem klar harmonisierten Sanktionsrahmen auf EU-Ebene.

Gerade für IKT-Dienstleister, die sowohl Finanzunternehmen als auch Kunden aus anderen kritischen Bereichen bedienen, lohnt sich ein integrierter Compliance-Ansatz. So können Überschneidungen genutzt, Doppelungen vermieden und Sicherheitsarchitekturen einheitlich dokumentiert werden.