person holding home insurance form
Photo by Mikhail Nilov on Pexels.com
Posted inAllgemein

Regulatorische Wende 2025: Was NIS-2, DORA und C5:2025 jetzt von Ihrem Unternehmen fordern

Die digitale Landschaft in Europa wird durch eine beispiellose Welle neuer EU-Verordnungen und Richtlinien grundlegend neu geordnet. Im Jahr 2025 ist die digitale Widerstandsfähigkeit (Resilienz) von Unternehmen in den Fokus gerückt. Cybersicherheit und Compliance sind nicht länger optionale Anliegen, sondern gesetzliche Pflicht und Chefsache.

Wir geben Ihnen einen kompakten Überblick über die dringendsten regulatorischen Herausforderungen des Jahres 2025:

1. NIS-2-Umsetzung in Deutschland: Die Pflicht zur Cybersicherheit

Die europäische NIS-2-Richtlinie (Network and Information Security 2.0) trat auf EU-Ebene bereits im Januar 2023 in Kraft und hob die NIS 1 zum 18. Oktober 2024 auf. Obwohl die Frist zur nationalen Umsetzung eigentlich der 17. Oktober 2024 war, hatte Deutschland lange Zeit Verzug bei der Überführung in nationales Recht (NIS2UmsuCG).

Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) wurde jedoch nach einer langen Hängepartie schließlich im November 2025 (Bundestag am 13.11.2025, Bundesrat am 21.11.2025) verabschiedet und tritt voraussichtlich Ende 2025/Anfang 2026 in Kraft.

Wer ist betroffen? Der Kreis der regulierten Unternehmen wächst drastisch von rund 4.500 auf geschätzte 29.500 Einrichtungen in Deutschland, verteilt auf 18 Sektoren. Die Richtlinie unterscheidet zwischen „besonders wichtigen Einrichtungen“ (Essential Entities) und „wichtigen Einrichtungen“ (Important Entities).

Ihre wichtigsten Pflichten im Überblick:

  • Registrierungspflicht: Betroffene Unternehmen müssen sich aktiv bei der gemeinsamen Registrierungsstelle von BSI und BBK registrieren. Die Frist ist kurz: spätestens drei Monate, nachdem das Unternehmen als betroffen identifiziert wurde.
  • Risikomanagement-Maßnahmen: Es müssen angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen zur Beherrschung von Sicherheitsrisiken ergriffen und dokumentiert werden. Hierzu gehört beispielsweise auch das Identity and Access Management (IAM), insbesondere die Implementierung der Multi-Faktor-Authentifizierung (MFA).
  • Meldepflicht für Sicherheitsvorfälle: Erhebliche Sicherheitsvorfälle müssen an das BSI gemeldet werden:
    • Erstmeldung unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung.
    • Folgemeldung innerhalb von 72 Stunden (mit Bewertung des Schweregrads und den Auswirkungen).
    • Abschlussmeldung innerhalb eines Monats.
  • Haftung der Geschäftsleitung: Die Geschäftsleitung ist persönlich für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen verantwortlich und haftbar. Sie ist zudem zur regelmäßigen Teilnahme an Schulungen verpflichtet, um ausreichende Kenntnisse zur Risikobewertung zu gewährleisten.
  • Nachweispflichten: Die Umsetzung der Maßnahmen muss dokumentiert werden. Für Betreiber kritischer Anlagen sind erste Nachweise ab 2027 fällig.

2. DORA im Finanzsektor: Resilienz als Grundsatz

Der Digital Operational Resilience Act (DORA) ist seit dem 17.01.2025 in der Europäischen Union verbindlich anzuwenden. Die EU-Verordnung zielt darauf ab, die digitale Widerstandsfähigkeit von Finanzunternehmen (Banken, Versicherungen etc.) zu stärken.

Zentrale DORA-Anforderungen:

  • Informationsregister: Finanzunternehmen müssen ein Informationsregister erstellen, das einen umfassenden Überblick über alle IKT-Drittdienstleister und deren vertragliche Vereinbarungen bietet. Dieses Register muss der Aufsichtsbehörde (BaFin) jährlich oder auf Anfrage vorgelegt werden.
  • Vorfallmeldewesen: Bei schwerwiegenden IKT-bezogenen Vorfällen gelten strikte Meldefristen an die zuständige Aufsichtsbehörde (BaFin): Die Erstmeldung hat innerhalb von 24 Stunden zu erfolgen, eine Zwischenmeldung spätestens nach 72 Stunden, und die Abschlussmeldung einen Monat nach der letzten Zwischenmeldung.
  • Vereinfachter Rahmen: Kleinere, nicht verflochtene Institute haben unter Umständen die Möglichkeit, einen vereinfachten IKT-Risikomanagementrahmen zu nutzen, um die Anforderungen gemäß Artikel 16 DORA zu erfüllen.

3. Cloud Compliance im Gesundheitswesen: BSI C5:2025 und C5GleichwV

Für Cloud-Anbieter, die Dienste im Gesundheitsbereich erbringen, gelten ab 1. Juli 2025 strengere Anforderungen an die Informationssicherheit, basierend auf § 393 SGB V. Hierfür ist das C5-Testat des BSI maßgeblich.

Aktuelle Entwicklungen beim C5-Standard:

  • C5:2025 Community Draft: Das BSI hat den Entwurf des neuen Standards C5:2025 als Community Draft veröffentlicht. Dieser modernisierte Standard berücksichtigt aktuelle Entwicklungen wie Container-Orchestrierung, Post-Quanten-Kryptographie und Supply-Chain-Management.
  • EU-Konformität: Der C5:2025-Entwurf integriert stärker europäische Vorgaben, darunter die NIS-2-Richtlinie und die aktualisierte ISO/IEC 27001:2022. Die finale Version soll im Dezember 2025 veröffentlicht werden.
  • C5-Gleichwertigkeitsverordnung (C5GleichwV): Diese Verordnung, die am 19. März 2025 ausgefertigt wurde und mit Wirkung vom 1. Juli 2024 in Kraft trat, erlaubt Cloud-Anbietern im Gesundheitswesen den temporären Rückgriff auf alternative Nachweise. Ein alternatives Standard-Testat (z. B. ISO/IEC 27001 oder Cloud Controls Matrix v4.0) gilt als gleichwertig, sofern ein Maßnahmenplan vorliegt. Dieser Plan muss die Lücken zum C5-Kriterienkatalog dokumentieren und eine Meilensteinplanung enthalten, um ein C5-Typ1-Testat innerhalb von 18 Monaten und ein C5-Typ2-Testat innerhalb von 24 Monaten zu erlangen.

4. KI-Governance und Schulungspflicht

Auch der EU AI Act (KI-Verordnung), der zum globalen Standard werden könnte, schafft neue Compliance-Anforderungen.

  • Schulungspflicht: Unternehmen sind seit Februar 2025 verpflichtet, ihre Mitarbeitenden in den Grundlagen der Künstlichen Intelligenz zu schulen, um den sicheren und verantwortungsvollen Umgang zu gewährleisten (KI Schulungspflicht).
  • Urheberrecht und Transparenz: Anbieter von KI-Modellen mit allgemeinem Verwendungszweck müssen eine Strategie zur Einhaltung des Urheberrechts implementieren.
  • Datenschutz-Folgenabschätzung (DSFA): Bei Hochrisiko-KI-Systemen ist eine DSFA gemäß DSGVO zwingend erforderlich, da sie ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bergen. Die DSFA ist somit ein unverzichtbares Werkzeug.

Fazit und Handlungsempfehlung

Die Zeiten des Abwartens sind vorbei. Unabhängig davon, ob Ihr Unternehmen von NIS-2, DORA oder den verschärften C5-Anforderungen betroffen ist, ist proaktives Handeln jetzt entscheidend.

Die Vorbereitung auf die neuen Anforderungen ist ein Marathon, kein Sprint. Beginnen Sie umgehend mit einer Betroffenheitsanalyse (Stufe 1) und einer GAP-Analyse Ihrer aktuellen Sicherheitsmaßnahmen gegenüber den bekannten NIS-2-Grundsätzen. Nur wer jetzt eine systematische und lückenlose Dokumentation seiner Cybersicherheitsaktivitäten beginnt, kann spätere Nachweispflichten erfüllen und empfindliche Bußgelder vermeiden.

Analogie: Die aktuelle Regulierungswelle ist wie ein digitaler Umzug in ein neues, hochmodernes Gebäude. Es reicht nicht, nur die Kartons zu packen, wenn die Umzugs-LKW (die Fristen) bereits vor der Tür stehen. Sie müssen im Voraus einen klaren Plan haben, wissen, wo jedes System (Datenregister, Risikomanagement) seinen Platz findet, und sicherstellen, dass alle Mitarbeiter (inklusive der Führungsebene) wissen, welche neuen Sicherheitsregeln im Haus gelten, bevor das Licht eingeschaltet wird. Wer ohne Plan umzieht, verliert wichtige Daten und riskiert, dass die Aufsichtsbehörden das Gebäude wieder schließen.