11. Juni 2025 Michael Jahnich *

NIS2 und DORA: technologische Antworten auf regulatorische Anforderungen

Mit NIS2 und DORA erhöht sich der Regulierungsdruck der EU auf Unternehmen weiter: Beide Regularien zielen darauf ab, Cyberresilienz und Betriebsstabilität zu verbessern. Unternehmen können den umfangreichen gesetzlichen Vorgaben gerecht werden, wenn sie ein Zusammenspiel bewährter Sicherheitstechnologien orchestrieren. [...]

Die Anforderungen von NIS2 und DORA sind verbindlich und tiefgreifend: Für Unternehmen bedeutet das, dass sie Prozesse und IT-Systeme umfassend prüfen und oft erheblich anpassen müssen. (c) stock.adobe.com/Sahraya

Die NIS-Richtlinie (Netz- und Informationssicherheit) und DORA (Digital Operational Resilience Act) sind EU-Regulierungen, die die Cybersicherheit und digitale Resilienz und damit die Betriebsstabilität von Unternehmen stärken sollen. Die NIS-Richtlinie verpflichtet Betreiber sogenannter wesentlicher Dienste wie Energieversorger, Verkehrsbetriebe, Gesundheitsdienste sowie Anbieter digitaler Services wie Cloud-Diensten unter anderem dazu, geeignete technische und organisatorische Maßnahmen für Cybersicherheit zu treffen. Schwerwiegende Sicherheitsvorfälle müssen gemeldet werden. Die darauf aufbauende NIS2-Richtlinie hat die Pflichten noch einmal verschärft und die betroffenen Sektoren erweitert – etwa auf Post, Abfallwirtschaft oder die Hersteller kritischer Produkte.

DORA zielt speziell auf den Finanzsektor ab und schreibt Banken, Versicherungen, Zahlungsanbietern und auch deren IT-Dienstleistern vor, ihre Betriebsstabilität sicherzustellen. Dazu gehören das Risikomanagement für Informations- und Kommunikationstechnologien (IKT-Systeme), einheitliche Meldepflichten bei Cybervorfällen, regelmäßige Penetrationstests und Vorgaben zur Auslagerung an Dritte.

Die Anforderungen von NIS2 und DORA sind verbindlich und tiefgreifend: Für Unternehmen bedeutet das, dass sie Prozesse und IT-Systeme umfassend prüfen und oft erheblich anpassen müssen. Sie müssen technische und organisatorische Schutzmaßnahmen nachweislich umsetzen – und dies nicht punktuell, sondern systemisch, überprüfbar und auditierbar. Im Zentrum stehen technische Vorgaben zu Kryptografie, Zugriffskontrolle, Authentifizierung und Kommunikation, die NIS2 vorschreibt. IKT-Risikomanagement, Schlüsselmanagement- und Kommunikationssicherheit sowie Drittanbieterkontrolle werden von DORA reguliert.

Technologische Bausteine

Um die Anforderungen aus NIS2 und DORA umzusetzen, benötigen Unternehmen mehr als isolierte Tools oder Prozesse: einen systematischen Ansatz, in dem funktionale Technologien ineinandergreifen. Fünf zentrale Systemkomponenten haben sich dabei als wirkungsvoll erwiesen:

  • Credential Management System: Das CMS verwaltet physische oder virtuelle Identitätsträger (z. B. Smartcards oder USB-Tokens) und ermöglicht deren sichere Ausgabe, Nutzung und Sperrung. Es bildet eine zentrale Komponente innerhalb des Identity and Access Managements (IAM).
  • Certificate Lifecycle Management: Das CLM steuert den kompletten Lebenszyklus digitaler Zertifikate von der Ausstellung über Erneuerung bis zur Sperrung und dem Widerruf – automatisiert und auditierbar. Das CLM ist ein zentrales Element eines unternehmensweiten kryptografischen Konzepts für das Lifecycle-Management von kryptografischem Schlüsselmaterial.
  • Key Management System: Das KMS ermöglicht die zentrale Verwaltung, Rotation und Zugriffskontrolle von kryptografischen Schlüsseln im operativen Betrieb – unabhängig davon, ob sie lokal, in der Cloud oder im HSM liegen.
  • Public Key Infrastructure: Die PKI stellt das Fundament für digitale Identitäten bereit – für Benutzer, Geräte und Systeme. Sie ist das Fundament für zertifikatsbasierte Authentifizierung, Verschlüsselung und digitale Signaturen.
  • Hardware Security Module: Das HSM speichert kryptografische Schlüssel in physisch geschützten Umgebungen und führt sensible Krypto-Operationen sicher aus – ohne dass Schlüssel das Modul verlassen.

Diese fünf Systeme schaffen die Basis für eine belastbare Sicherheitsarchitektur für die Unternehmens-IT, die der Regulatorik entspricht – insbesondere dann, wenn sie ineinandergreifen, Daten und Prozesse schützen und gleichzeitig klare Verantwortlichkeiten und Auditierbarkeit ermöglichen.

Fünf zentrale Anforderungen aus NIS2 und DORA erfüllen

  1. Kryptografische Verfahren und Verschlüsselung werden gleichermaßen von NIS2 (Art. 21) und DORA (Art. 5 und Art. 9) gefordert. Sie sind zentrale Säulen beider Regelwerke und verlangen definierte Konzepte, eine sichere Implementierung und den Schutz sensibler Schlüsselmaterialien. Zur Erfüllung dieser Vorgabe ist eine Public Key Infrastructure (PKI) unerlässlich. Sie stellt digitale Identitäten zur Verfügung und schafft damit Vertrauen in die Kommunikation. In Kombination mit einem Hardware Security Module, das die Schlüssel physisch absichert, und einem Key Management System, das den operativen Schlüssel-Workflow regelt, entsteht eine technisch robuste und regulatorisch prüfbare Lösung. Das Zusammenspiel der Systeme ermöglicht einen nachvollziehbaren, kontrollierten und automatisierten Einsatz von Verschlüsselung, was ein zentrales Ziel beider Verordnungen darstellt.

  2. Zugriffskontrolle und Multi-Faktor-Authentifizierung (MFA) werden ebenfalls von beiden Regelwerken verlangt – NIS2 (Art. 21 (2) i + j) und DORA (Art. 5 Abs. 2 lit. a, c und Art. 6 Abs. 4 lit. b ). Das bedeutet, dass der Zugriff auf IT-Systeme klar geregelt, nachvollziehbar und abgesichert erfolgen muss – idealerweise auf Basis einer starken Authentifizierung, mindestens aber über MFA. In diesem Fall stellt ein Credential Management System zentrale Funktionen bereit: Es verwaltet Identitätsträger unternehmensweit, steuert Richtlinien wie PIN-Vergabe und sperrt verlorene Medien. In Verbindung mit zertifikatsbasierter Authentifizierung – bereitgestellt durch die PKI – entsteht eine starke, phishing-resistente Multi-Faktor-Authentifizierung-Struktur. Diese Kombination erfüllt die regulatorischen Forderungen nach sicherem Zugriff, Benutzeridentifikation und rollenbasierter Kontrolle – und bietet dennoch eine hohe Benutzerfreundlichkeit.

  3. Zertifikats- und Schlüsselmanagement wird in NIS2 – Art. 21 (2) h sowie in DORA Art. 8 Abs. 2 lit. a, e und Art. 21 Abs. 1 lit. dgefordert. Kryptografische Materialien müssen kontrolliert, aktuell und nachvollziehbar verwaltet werden – über ihren gesamten Lebenszyklus hinweg. Hier kommen das Certificate Lifecycle Management und das Key Management System zum Einsatz. Sie übernehmen die automatisierte Ausstellung, Erneuerung, Sperrung und Überwachung von Zertifikaten und Schlüsseln. In Kombination mit dem CMS entsteht ein vollständiges Bild über alle digitalen Identitäten im Unternehmen. Die Systeme gewährleisten nicht nur Verfügbarkeit und Integrität, sondern auch Compliance durch Reporting- und Auditfunktionen.

  4. Sichere Kommunikation und Fernzugriff ist eine weitere Anforderung von NIS2, Art. 21 (2) j und DORA, Art. 5 Abs. 2 lit. b, f sowie Art. 9 Abs. 2 lit. a . Unternehmen müssen ihre interne und externe Kommunikation absichern – insbesondere in hybriden Arbeitsmodellen oder bei Remote-Zugängen. Die PKI stellt Zertifikate für verschlüsselte Kommunikationskanäle zur Verfügung – z. B. TLS, S/MIME oder VPN. Diese Zertifikate lassen sich in Geräte, Browser oder Mailclients integrieren und über das CLM zentral verwalten. Auf diese Weise können Unternehmen nicht nur den Schutz, sondern auch die technische Integrität und Ausfallsicherheit ihrer Kommunikationskanäle nachweisen.

  5. Auditierbarkeit und Nachvollziehbarkeit sind gemäß NIS2 (implizit in Art. 21 (2) i + j) und DORA (Art. 8 Abs. 2 lit. f, Art. 11 Abs. 1 – 2) ebenfalls erforderlich. Was nicht dokumentiert ist, kann nicht geprüft und schon gar nicht verteidigt werden. Daher ist Nachvollziehbarkeit ein Schlüsselbegriff in beiden Regelwerken. CLM, CMS und KMS stellen jeweils umfassende Logging- und Auditfunktionen bereit. Jede Zertifikatsausstellung, jede Credential-Nutzung und jede Schlüsseloperation kann protokolliert und ausgewertet werden – zur internen Analyse wie auch als Nachweis gegenüber Prüfern. Unternehmen schaffen damit eine beweisbare Sicherheitsarchitektur – die im Ernstfall auch vor Reputationsschäden bewahren kann.

Entscheidend ist das Zusammenspiel der Technologien in einer durchdachten Architektur. Damit wird Compliance zur Chance, sich sicher und zukunftsfähig zu digitalisieren: Unternehmen stärken damit ihre Cyber- und Betriebssicherheit und schaffen vertrauenswürdige digitale Geschäftsgrundlagen für ihre Kunden und Partner.

Fazit

Die EU-Verordnungen NIS2 und DORA definieren ein neues Sicherheitsniveau. Unternehmen müssen die Vorgaben sektorübergreifend umsetzen und einhalten: Das gelingt mit einer Sicherheitsarchitektur, die bekannte und bewährte Komponenten wie PKI, HSM, CLM oder CMS vereint. Damit können die Anforderungen der EU gezielt, modular und auditierbar erfüllt werden.  

* Michael Jahnich ist Director Cybersecurity Systems bei achelos.


Mehr Artikel

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*