Das Umfeld der Informationstechnologie hat sich in den letzten Jahren dramatisch ver\u00e4ndert. Angetrieben durch die rasante Digitalisierung und eine Zunahme komplexer Cyberbedrohungen <\/sup>, hat sich die IT-Sicherheit von einem rein technischen zu einem zentralen Management-Thema entwickelt. In diesem Kontext sind die regulatorischen Anforderungen in der Europ\u00e4ischen Union nicht nur dichter, sondern auch umfassender geworden. Sie zielen nicht mehr nur auf die Absicherung einzelner Systeme ab, sondern auf die St\u00e4rkung der gesamten digitalen Resilienz von Unternehmen. F\u00fcr deutsche Unternehmen, Banken, Praxen und Kanzleien ist es daher unerl\u00e4sslich, einen kontinuierlichen \u00dcberblick \u00fcber die neuesten Entwicklungen in der Compliance-Landschaft zu behalten, um proaktiv agieren zu k\u00f6nnen und Haftungsrisiken zu minimieren.<\/sup> <\/p>\n\n\n\n Die vorliegende Analyse beleuchtet vier der wichtigsten Regulierungen, die aktuell die deutsche Wirtschaft pr\u00e4gen: den BSI Cloud Computing Compliance Criteria Catalogue (BSI C5), die EU-Richtlinie zur Netz- und Informationssicherheit (NIS2), die Verordnung \u00fcber die digitale operationale Resilienz im Finanzsektor (DORA) und den EU AI Act. Es wird deutlich, dass diese Rahmenwerke nicht isoliert voneinander existieren, sondern in zunehmendem Ma\u00dfe miteinander verkn\u00fcpft sind und eine ganzheitliche Betrachtung erfordern. Eine oberfl\u00e4chliche Implementierung einzelner Standards ist nicht mehr ausreichend. Beispielsweise integriert der Entwurf f\u00fcr den C5:2025-Katalog explizit die Anforderungen der NIS2-Richtlinie und bereitet so die Kompatibilit\u00e4t mit dem geplanten European Cloud Certification Scheme (EUCS) vor.<\/sup> Gleichzeitig stellt die NIS2-Richtlinie fest, dass etablierte Standards wie der C5, der IT-Grundschutz oder die ISO\/IEC 27001 nur einen Teil der neuen Pflichten abdecken.<\/sup> <\/p>\n\n\n\n Ein Unternehmen, das Cloud-Dienste nutzt, die unter NIS2 fallen und zudem KI-Anwendungen im Finanzsektor einsetzt, muss daher die Anforderungen des C5-Katalogs, der NIS2-Richtlinie, der DORA-Verordnung und des AI Acts in einem einzigen, koh\u00e4renten Governance-Rahmen betrachten. Die Einhaltung der einen Regulierung kann nicht ohne Ber\u00fccksichtigung der anderen erfolgen. Diese Vernetzung der Gesetze ist ein zentraler Trend. Die vorliegende Untersuchung liefert hierzu eine umfassende und differenzierte Analyse der aktuellen Entwicklungen und leitet konkrete Handlungsempfehlungen f\u00fcr die strategische Compliance-Planung ab.<\/p>\n\n\n\n Der Cloud Computing Compliance Criteria Catalogue (C5) wurde vom Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) entwickelt, um Cloud-Anbietern und -Nutzern eine verl\u00e4ssliche Orientierung f\u00fcr die Bewertung und Auswahl sicherer Cloud-Dienste zu geben.<\/sup> Das prim\u00e4re Ziel ist es, Transparenz und Vergleichbarkeit zu schaffen und gleichzeitig ein hohes Schutzniveau f\u00fcr sensible Daten zu gew\u00e4hrleisten.<\/sup> Die aktuelle und seit 2020 g\u00fcltige Version, C5:2020, wurde grundlegend \u00fcberarbeitet, um auf aktuelle Entwicklungen zu reagieren und die Qualit\u00e4t der Kriterien zu erh\u00f6hen.<\/sup> Der Katalog umfasst insgesamt 17 Themengebiete und mehr als 120 Kriterien, die essenzielle Aspekte der Informationssicherheit abdecken.<\/sup> Dazu geh\u00f6ren die Organisation der Informationssicherheit, physische Sicherheit, Identit\u00e4ts- und Berechtigungsmanagement, Kryptografie sowie der Umgang mit Sicherheitsvorf\u00e4llen.<\/sup> <\/p>\n\n\n\n Die Relevanz des C5-Katalogs erstreckt sich \u00fcber verschiedene Sektoren. Im Gesundheitswesen beispielsweise sind Leistungserbringer nach \u00a7 393 SGB V zur Einhaltung der C5-Anforderungen verpflichtet, um den Schutz sensibler Sozial- und Gesundheitsdaten sicherzustellen.<\/sup> Ein C5-Testat ist hierbei ein entscheidendes Kriterium.<\/sup> Der C5:2020-Katalog ist eng mit anderen etablierten Sicherheitsstandards verkn\u00fcpft, insbesondere mit der internationalen ISO\/IEC 27001-Norm.<\/sup> Diese Verkn\u00fcpfung verdeutlicht, dass der C5 nicht als Insell\u00f6sung konzipiert wurde, sondern als erg\u00e4nzender und spezifizierender Standard, der die allgemeinen Prinzipien der Informationssicherheit auf die spezifischen Anforderungen des Cloud-Computings anwendet. <\/p>\n\n\n\n Eine der j\u00fcngsten und bedeutendsten Entwicklungen ist die Ver\u00f6ffentlichung des C5:2025-Entwurfs als sogenannter \u201eCommunity Draft\u201c.<\/sup> Das BSI hat diesen Entwurf zur Kommentierung bis zum 15. September 2025 freigegeben, mit der geplanten finalen Ver\u00f6ffentlichung im Dezember 2025.<\/sup> Der neue Katalog baut auf den bew\u00e4hrten Kriterien des C5:2020 auf und erg\u00e4nzt diese durch neue, zukunftsweisende Kriterien.<\/sup> <\/p>\n\n\n\n Ein zentrales Merkmal der \u00dcberarbeitung ist die verst\u00e4rkte Integration europ\u00e4ischer Standards. Der C5:2020 diente als Basis f\u00fcr das geplante European Cloud Certification Scheme (EUCS), insbesondere f\u00fcr dessen Level \u201eSubstantial\u201c.<\/sup> Im Gegenzug wurden die Erkenntnisse aus der Entwicklung des EUCS in den C5:2025-Entwurf integriert, um eine nahtlose Kompatibilit\u00e4t zu gew\u00e4hrleisten.<\/sup> Dar\u00fcber hinaus ber\u00fccksichtigt der Entwurf auch die Anforderungen der NIS2-Richtlinie und die aktualisierte Version des ISO\/IEC 27001-Standards.<\/sup> <\/p>\n\n\n\n Inhaltlich wurden mehrere Schwerpunkte identifiziert und eingearbeitet, um den technologischen Entwicklungen der letzten sechs Jahre gerecht zu werden.<\/sup> Dazu geh\u00f6ren neue Kriterien f\u00fcr: <\/p>\n\n\n\n Unternehmen, Praxen und Kanzleien, die in hohem Ma\u00dfe Cloud-Dienste nutzen, hat der C5 eine immense Bedeutung. Insbesondere bei der Auswahl eines Cloud-Anbieters ist das Vorhandensein eines C5-Testats ein wichtiger Nachweis f\u00fcr die Sicherheitsstandards. Dabei gilt es, zwischen dem Typ-1- und dem Typ-2-Testat zu unterscheiden. W\u00e4hrend ein Typ-1-Testat im Wesentlichen auf einer Eigenerkl\u00e4rung des Anbieters beruht, stellt ein Typ-2-Testat den Goldstandard dar. Bei einem Typ-2-Audit durchleuchtet ein unabh\u00e4ngiger Wirtschaftspr\u00fcfer die implementierten Ma\u00dfnahmen in der Praxis, was die Wirksamkeit der Sicherheitskontrollen best\u00e4tigt. Ein derartiger Bericht ist weitaus aussagekr\u00e4ftiger und gilt als der h\u00f6chstwertige Nachweis f\u00fcr ein effektives Sicherheitsmanagement der Cloud. \u00a0<\/p>\n\n\n\n Der BSI C5:2025-Entwurf signalisiert eine strategische Ausrichtung, die \u00fcber die reine Sicherheit hinausgeht. Er ist eine Antwort auf die zunehmende Konzentration von Auslagerungen auf wenige gro\u00dfe IT-Dienstleister, insbesondere auf US-amerikanische Cloud-Hyperscaler, die von der BaFin als ein potenzielles systemisches Risiko f\u00fcr den Finanzsektor identifiziert wurde.<\/sup> Durch die Einf\u00fchrung neuer Kriterien zur Mandantentrennung und technischen Souver\u00e4nit\u00e4t reagiert das BSI auf diese Risiken und versucht, die digitale Souver\u00e4nit\u00e4t Europas zu st\u00e4rken.<\/sup> Der Fokus auf das Supply Chain-Management und die \u00dcberwachung von Drittanbietern in der Lieferkette spiegelt ebenfalls diese Entwicklung wider.<\/sup> Eine C5-Testierung wird dadurch von einem reinen Compliance-Nachweis zu einem strategischen Wettbewerbsvorteil, der den Zugang zu regulierten M\u00e4rkten und dem \u00f6ffentlichen Sektor erm\u00f6glicht.<\/sup> Unternehmen, die sich fr\u00fchzeitig mit den versch\u00e4rften Anforderungen auseinandersetzen, k\u00f6nnen sich somit nicht nur absichern, sondern auch neue Gesch\u00e4ftschancen erschlie\u00dfen. <\/p>\n\n\n\n Die EU-Richtlinie zur Netz- und Informationssicherheit (NIS2), eine Nachfolgerin der NIS-Richtlinie von 2016, hat das Ziel, das Cybersicherheitsniveau in der gesamten EU zu harmonisieren und zu st\u00e4rken.<\/sup> Die Richtlinie, die am 14. Dezember 2022 verabschiedet wurde, trat am 16. Januar 2023 in Kraft und musste von den EU-Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden.<\/sup> <\/p>\n\n\n\n Deutschland hat diese Umsetzungsfrist jedoch verpasst, was eine Debatte \u00fcber die Konsequenzen und den aktuellen Stand des Gesetzgebungsprozesses ausgel\u00f6st hat.<\/sup> Der Gesetzentwurf zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundz\u00fcge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2UmsuCG) lag im Juli 2025 als Kabinettsversion vor und sollte im August 2025 dem Bundesrat vorgelegt werden.<\/sup> Die endg\u00fcltige Verabschiedung des Gesetzes wird nun erst gegen Ende 2025 erwartet, bedingt durch Neuwahlen.<\/sup> <\/p>\n\n\n\n Die NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen und Sektoren erheblich.<\/sup> W\u00e4hrend die urspr\u00fcngliche NIS-Richtlinie nur wenige hundert Betreiber kritischer Infrastrukturen (KRITIS) adressierte, werden nun sch\u00e4tzungsweise \u00fcber 30.000 Unternehmen in Deutschland unter die Regulierung fallen.<\/sup> <\/p>\n\n\n\n Das Gesetz f\u00fchrt eine Unterscheidung in \u201ewesentliche\u201c und \u201ewichtige\u201c Einrichtungen ein, die prim\u00e4r auf der Gr\u00f6\u00dfe (Mitarbeiterzahl und Umsatz\/Bilanz) des Unternehmens basiert.<\/sup> Wesentliche Einrichtungen sind in Sektoren mit hoher Kritikalit\u00e4t wie Energie, Transport, Bankwesen und Gesundheit t\u00e4tig. Wichtige Einrichtungen finden sich in Sektoren wie der Abfallwirtschaft, Lebensmittelproduktion, chemischen Industrie und dem verarbeitenden Gewerbe.<\/sup> Selbst mittelgro\u00dfe Unternehmen sind nun betroffen.<\/sup> Dar\u00fcber hinaus k\u00f6nnen auch kleinere Unternehmen in den Anwendungsbereich fallen, wenn sie f\u00fcr die \u00f6ffentliche Sicherheit oder f\u00fcr die Lieferkette von als wesentlich oder wichtig eingestuften Unternehmen von Bedeutung sind.<\/sup> Diese indirekte Betroffenheit \u00fcber die Lieferkette stellt eine neue Herausforderung dar, da Zulieferer vertraglich zur Einhaltung der Cybersicherheitsanforderungen verpflichtet werden k\u00f6nnen.<\/sup> <\/p>\n\n\n\n Die NIS2-Richtlinie legt einen Katalog von mindestens zehn Cybersicherheitsma\u00dfnahmen fest, die von den betroffenen Unternehmen umgesetzt werden m\u00fcssen.<\/sup> Diese Ma\u00dfnahmen adressieren das Risikomanagement und sind weitreichend.<\/sup> Dazu geh\u00f6ren die Implementierung von Risikomanagement-Ans\u00e4tzen, die Einf\u00fchrung von Richtlinien f\u00fcr die Informationssicherheit, das Management von Sicherheitsvorf\u00e4llen und die St\u00e4rkung des Business Continuity Managements (BCM).<\/sup> Ein weiterer Schwerpunkt liegt auf der Sicherheit in der Lieferkette.<\/sup> <\/p>\n\n\n\n Eine der zentralen neuen Pflichten ist die Meldepflicht bei Sicherheitsvorf\u00e4llen. Wesentliche Vorf\u00e4lle m\u00fcssen innerhalb von 24 Stunden gemeldet werden, mit einem Update innerhalb von 72 Stunden und einem Abschlussbericht binnen eines Monats.<\/sup> Zudem wird die Haftung der Gesch\u00e4ftsleitung bei Verst\u00f6\u00dfen erheblich versch\u00e4rft.<\/sup> <\/p>\n\n\n\n Die Sanktionen f\u00fcr die Nichteinhaltung der Anforderungen sind massiv. Das Gesetz sieht erweiterte Bu\u00dfgelder vor, die f\u00fcr wichtige Einrichtungen bis zu 7 Millionen Euro oder 1.4 % des weltweiten Jahresumsatzes und f\u00fcr wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen k\u00f6nnen.<\/sup> <\/p>\n\n\n\n Die politische Verz\u00f6gerung in Deutschland birgt eine tr\u00fcgerische Sicherheit f\u00fcr Unternehmen. Obwohl die nationale Umsetzung noch aussteht, betonen Experten, dass es keine \u00dcbergangsfristen geben wird, sobald das Gesetz in Kraft tritt.<\/sup> Die Richtlinie selbst ist seit dem 18. Oktober 2024 EU-weit aktiv und muss in nationales Recht \u00fcberf\u00fchrt werden.<\/sup> Unternehmen, die das Ausbleiben des Gesetzes als Aufschub interpretieren, riskieren, unvorbereitet in ein massives Compliance-Problem zu geraten, sobald das Gesetz verabschiedet ist. Die notwendigen technischen und organisatorischen Ma\u00dfnahmen sind bereits bekannt.<\/sup> Die Analyse zeigt, dass \u00fcber 20.000 Unternehmen in Deutschland sofortigen Handlungsbedarf haben, um sich auf die kommenden Pflichten vorzubereiten und die strengen Sanktionen zu vermeiden.<\/sup> Die wahre Handlungsaufforderung ist daher, bereits jetzt mit einer Gap-Analyse zu beginnen und die zehn Ma\u00dfnahmen systematisch umzusetzen.<\/sup> <\/p>\n\n\n\n In Google Sheets exportieren<\/p>\n\n\n\n Tabelle basiert auf den aktuellen Entw\u00fcrfen und Regelungen. Die finalen Definitionen k\u00f6nnen mit der Verabschiedung des Gesetzes noch leicht angepasst werden.<\/em> <\/sup> <\/p>\n\n\n\n Der Digital Operational Resilience Act (DORA), Verordnung (EU) 2022\/2554, ist ein regulatorisches Rahmenwerk, das die digitale operationale Resilienz im Finanzsektor st\u00e4rken soll.<\/sup> Im Gegensatz zu einer Richtlinie gilt eine Verordnung direkt und unmittelbar in allen EU-Mitgliedstaaten.<\/sup> DORA wurde im Dezember 2022 verabschiedet und ist nach einer zweij\u00e4hrigen \u00dcbergangsfrist seit dem 17. Januar 2025 anwendbar.<\/sup> <\/p>\n\n\n\n Der Anwendungsbereich von DORA ist breit gefasst und deckt nahezu alle Finanzakteure ab, einschlie\u00dflich Banken, Versicherungen, Wertpapierfirmen und Krypto-Dienstleistern.<\/sup> Die Verordnung legt einheitliche Anforderungen f\u00fcr das Management von Informations- und Kommunikationstechnologie (IKT)-Risiken fest, die von der Cybersicherheit \u00fcber die Reaktion auf Vorf\u00e4lle bis hin zur Steuerung von Risiken mit IKT-Drittanbietern reichen.<\/sup> <\/p>\n\n\n\n DORA ist ein sogenannter \u201eLevel 1\u201c-Text, dessen detaillierte Ausgestaltung durch eine Vielzahl von technischen Regulierungsstandards (RTS) und technischen Durchf\u00fchrungsstandards (ITS) erfolgt, die von den drei Europ\u00e4ischen Aufsichtsbeh\u00f6rden (EBA, EIOPA, ESMA), den sogenannten ESAs, entwickelt und von der EU-Kommission verabschiedet werden.<\/sup> Dieser Prozess ist dynamisch. Beispielsweise wurden bereits mehrere RTS und ITS ver\u00f6ffentlicht und sind in Kraft getreten, die konkrete Kriterien f\u00fcr die Klassifizierung von IKT-Vorf\u00e4llen, die Berichterstattung und die Harmonisierung von Risikomanagement-Tools festlegen.<\/sup> <\/p>\n\n\n\n Gleichzeitig gab es auch R\u00fcckschl\u00e4ge: Die EU-Kommission lehnte einen Entwurf der ESAs f\u00fcr einen RTS zur Vergabe von Unterauftr\u00e4gen (Subcontracting) ab, da einige der darin enthaltenen Anforderungen \u00fcber das Mandat von DORA hinausgingen.<\/sup> Die ESAs haben daraufhin die notwendigen \u00c4nderungen vorgenommen.<\/sup> Diese Vorg\u00e4nge verdeutlichen, dass die detaillierte Umsetzung von DORA ein fortlaufender und komplexer Prozess ist, der eine kontinuierliche Beobachtung erfordert. Die BaFin hat im Vorfeld eine \u00dcbersicht \u00fcber die Dokumentationsanforderungen erstellt, um Finanzunternehmen die Arbeit mit den verstreuten Rechtstexten zu erleichtern.<\/sup> <\/p>\n\n\n\n F\u00fcr Finanzunternehmen hat DORA weitreichende Konsequenzen. Ein zentraler Pfeiler ist das Management von IKT-Drittparteienrisiken. Finanzinstitute m\u00fcssen sicherstellen, dass ihre Vertr\u00e4ge mit IKT-Dienstleistern die von DORA geforderten Mindestbestandteile enthalten.<\/sup> Viele Unternehmen haben bereits damit begonnen, sogenannte DORA-Addenda auszuhandeln, um ihre bestehenden Vertr\u00e4ge anzupassen.<\/sup> Dar\u00fcber hinaus m\u00fcssen Finanzinstitute ein umfassendes Register aller ihrer vertraglichen Vereinbarungen mit IKT-Drittanbietern f\u00fchren, das sogenannte Register of Information (RoI).<\/sup> <\/p>\n\n\n\n Die Verordnung schreibt zudem regelm\u00e4\u00dfige Tests der digitalen und operationalen Resilienz vor, wozu auch umfangreiche Penetrationstests geh\u00f6ren.<\/sup> Ein weiterer Schwerpunkt liegt auf dem IKT-Risikomanagement, f\u00fcr das Finanzinstitute eine umfassende, regelm\u00e4\u00dfig zu aktualisierende Strategie entwickeln m\u00fcssen.<\/sup> <\/p>\n\n\n\n DORA institutionalisiert die \u00dcberwachung der gesamten digitalen Wertsch\u00f6pfungskette im Finanzsektor. Die Verordnung erkennt an, dass eine Konzentration auf wenige gro\u00dfe IKT-Anbieter, wie die gro\u00dfen Cloud-Hyperscaler, ein systemisches Risiko darstellen kann, da ein schwerwiegender Vorfall bei einem dieser Anbieter weitreichende Folgen f\u00fcr das gesamte Finanzsystem haben k\u00f6nnte.<\/sup> Um dieses Risiko zu mindern, schafft DORA einen neuen \u00dcberwachungsrahmen, der es den Aufsichtsbeh\u00f6rden erm\u00f6glicht, als \u201ekritisch\u201c eingestufte IKT-Drittanbieter direkt zu regulieren.<\/sup> Dies zwingt Unternehmen dazu, ihre gesamte Lieferkette zu analysieren und ihre Vertr\u00e4ge proaktiv anzupassen, was DORA zu einem der bedeutendsten regulatorischen Ereignisse der letzten Jahre macht. <\/p>\n\n\n\n Tabelle basierend auf den ver\u00f6ffentlichten technischen Standards. Stand: Oktober 2025.<\/em><\/p>\n\n\n\n Der EU AI Act, eine Verordnung zur Regulierung K\u00fcnstlicher Intelligenz, ist am 1. August 2024 in Kraft getreten.<\/sup> Das Hauptziel der Verordnung ist es, einen einheitlichen Rechtsrahmen f\u00fcr KI in der EU zu schaffen, um die verantwortungsvolle Entwicklung und Nutzung zu f\u00f6rdern und gleichzeitig die Sicherheit sowie die Grundrechte der B\u00fcrger zu sch\u00fctzen.<\/sup> <\/p>\n\n\n\n Die Anwendung der Verordnung erfolgt jedoch nicht sofort in vollem Umfang, sondern ist in einem gestaffelten Zeitplan angelegt, der den betroffenen Unternehmen Zeit f\u00fcr die Umsetzung geben soll.<\/sup> Die wichtigsten Fristen sind: <\/p>\n\n\n\n Der EU AI Act verwendet einen risikobasierten Ansatz, bei dem die Strenge der Regeln mit dem potenziellen Risiko f\u00fcr Menschen oder die Gesellschaft zunimmt.<\/sup> <\/p>\n\n\n\n Der AI Act gilt nicht nur f\u00fcr Unternehmen innerhalb der EU, sondern auch extraterritorial f\u00fcr Anbieter und Nutzer, die ihre KI-Systeme oder -Modelle im EU-Raum in Verkehr bringen.<\/sup> Angesichts der Tatsache, dass viele deutsche Unternehmen der neuen Regulierung mit Skepsis begegnen und noch nicht ausreichend vorbereitet sind <\/sup>, ist proaktives Handeln unabdingbar. <\/p>\n\n\n\n Die Umsetzung des AI Acts erfordert einen strategischen Ansatz, der \u00fcber die traditionellen IT-Abteilungen hinausgeht. Unternehmen m\u00fcssen eine interne Governance-Strategie entwickeln.<\/sup> Zuerst sollte ein Inventar der vorhandenen KI-Systeme und -Modelle erstellt werden.<\/sup> Anschlie\u00dfend muss jedes System anhand der Risikokategorien klassifiziert und die Rolle des Unternehmens (als \u201eProvider\u201c oder \u201eDeployer\u201c) bestimmt werden.<\/sup> Die Verordnung erfordert eine Grundrechte-Folgenabsch\u00e4tzung f\u00fcr Hochrisiko-Systeme.<\/sup> Dies macht die Einbindung von Juristen, Ethikern und Gesch\u00e4ftsbereichsleitern erforderlich, um Haftungsrisiken zu bewerten und die Einhaltung zu gew\u00e4hrleisten.<\/sup> <\/p>\n\n\n\n Der Kapitel I: BSI C5 \u2013 Der Weg zur Cloud-Sicherheit im Wandel<\/h2>\n\n\n\n
BSI C5:2020 als etablierter Cloud-Standard und seine Kernkriterien<\/h3>\n\n\n\n
Neuerungen: Der C5:2025 Community Draft<\/h3>\n\n\n\n
\n
Praktische Implikationen f\u00fcr Unternehmen, Praxen und Kanzleien<\/h3>\n\n\n\n
Kapitel II: NIS2 \u2013 Die versp\u00e4tete Umsetzung und ihre weitreichenden Folgen<\/h2>\n\n\n\n
Die NIS2-Richtlinie: Ein Rahmenwerk mit verz\u00f6gerter nationaler Umsetzung<\/h3>\n\n\n\n
Neuerungen: Die weitreichende Ausweitung des Geltungsbereichs<\/h3>\n\n\n\n
Die zehn Mindestma\u00dfnahmen und versch\u00e4rfte Sanktionen<\/h3>\n\n\n\n
NIS2-Umsetzung in Deutschland: Betroffenheit und Pflichten im \u00dcberblick<\/h4>\n\n\n\n
Einrichtungskategorie<\/td> Betroffenheitskriterien<\/td> Sektoren (Auswahl)<\/td> Wichtigste Pflichten<\/td> Max. Bu\u00dfgeld<\/td><\/tr><\/thead> Besonders wichtige Einrichtungen<\/strong><\/td> Gro\u00dfunternehmen: \u2265250 Mitarbeiter oder >50 Mio. EUR Umsatz und >43 Mio. EUR Bilanz; Sonderf\u00e4lle unabh\u00e4ngig von der Gr\u00f6\u00dfe<\/td> Energie, Transport, Bankwesen, Gesundheit, Wasser, Digitale Infrastruktur, Weltraum<\/td> Risikomanagement, Incident Management, Supply Chain-Sicherheit, BCM, Haftung der Gesch\u00e4ftsleitung, Registrierungspflicht<\/td> 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes<\/td><\/tr> Wichtige Einrichtungen<\/strong><\/td> Mittelgro\u00dfe Unternehmen: \u226550 Mitarbeiter oder >10 Mio. EUR Umsatz und >10 Mio. EUR Bilanz<\/td> Post, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, Digitale Dienste, Forschung<\/td> Risikomanagement, Incident Management, Supply Chain-Sicherheit, BCM, Haftung der Gesch\u00e4ftsleitung, Registrierungspflicht<\/td> 7 Mio. EUR oder 1.4% des weltweiten Jahresumsatzes<\/td><\/tr> Betreiber kritischer Anlagen (KRITIS)<\/strong><\/td> Bestimmt durch Schwellenwerte f\u00fcr einzelne Anlagen<\/td> Energie, Transport, IT, Gesundheit, Wasser, Ern\u00e4hrung, Staat und Verwaltung, Finanz- und Versicherungswesen<\/td> Wie besonders wichtige Einrichtungen, plus Nachweispflicht alle 3 Jahre<\/td> 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes<\/td><\/tr> Bundeseinrichtungen<\/strong><\/td> Separat geregelt<\/td> Bundesverwaltung<\/td> Wie besonders wichtige Einrichtungen, plus eigene Pflichten<\/td> keine<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Kapitel III: DORA \u2013 Digitale operationale Resilienz f\u00fcr den Finanzsektor<\/h2>\n\n\n\n
Hintergrund und Anwendungsbereich der DORA-Verordnung<\/h3>\n\n\n\n
Der aktuelle Stand der Technischen Standards (RTS\/ITS)<\/h3>\n\n\n\n
Praktische Implikationen f\u00fcr Banken, Versicherungen und ihre Dienstleister<\/h3>\n\n\n\n
Wichtige DORA Technical Standards (RTS\/ITS) \u2013 \u00dcberblick und Status<\/h4>\n\n\n\n
Standard-Name<\/td> Betroffener DORA-Artikel<\/td> Zweck\/Inhalt<\/td> Status<\/td><\/tr><\/thead> Delegierte Verordnung (EU) 2024\/1772<\/td> Art. 18.3<\/td> Kriterien f\u00fcr die Klassifizierung von IKT-Vorf\u00e4llen und Cyber-Bedrohungen.<\/td> Finalisiert <\/sup> <\/td><\/tr> Delegierte Verordnung (EU) 2025\/301<\/td> Art. 18.3<\/td> Inhalt und Fristen f\u00fcr die Vorfallsmeldung von IKT-Vorf\u00e4llen.<\/td> Finalisiert <\/sup> <\/td><\/tr> Durchf\u00fchrungsverordnung (EU) 2025\/302<\/td> Art. 20(b)<\/td> Standardformulare f\u00fcr die Meldung von IKT-Vorf\u00e4llen.<\/td> Finalisiert <\/sup> <\/td><\/tr> Delegierte Verordnung (EU) 2024\/1774<\/td> Art. 15, Art. 16(3)<\/td> Harmonisierung von IKT-Risikomanagement-Tools und -Prozessen.<\/td> Finalisiert <\/sup> <\/td><\/tr> Delegierte Verordnung (EU) 2024\/1773<\/td> Art. 28(10)<\/td> Inhalt der vertraglichen Vereinbarungen f\u00fcr kritische IKT-Dienstleistungen.<\/td> Finalisiert <\/sup> <\/td><\/tr> Delegierte Verordnung (EU) 2025\/532<\/td> Art. 30(5)<\/td> Elemente, die ein Finanzunternehmen bei der Vergabe von ICT-Dienstleistungen bestimmen muss.<\/td> Finalisiert <\/sup> <\/td><\/tr> Delegierte Verordnung (EU) 2024\/1502<\/td> Art. 31(10)<\/td> Kriterien f\u00fcr die Benennung von IKT-Drittanbietern als kritisch.<\/td> Finalisiert <\/sup> <\/td><\/tr> Durchf\u00fchrungsverordnung (EU) 2024\/2956<\/td> Art. 28(9)<\/td> Standardvorlagen f\u00fcr das Informationsregister (RoI).<\/td> Finalisiert <\/sup> <\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Kapitel IV: EU AI Act \u2013 Ein risikobasierter Rahmen f\u00fcr K\u00fcnstliche Intelligenz<\/h2>\n\n\n\n
Ziele und Meilensteine: Das Inkrafttreten und die gestaffelte Anwendung<\/h3>\n\n\n\n
\n
Die vier Risikokategorien und ihre Implikationen<\/h3>\n\n\n\n
\n
\n
Praktische Handlungsempfehlungen f\u00fcr deutsche Unternehmen<\/h3>\n\n\n\n
AI Pact<\/code> der Europ\u00e4ischen Kommission ist ein freiwilliges Instrument, das Unternehmen dabei unterst\u00fctzen soll, sich proaktiv auf die Implementierung der neuen Verordnung vorzubereiten.<\/sup> Unternehmen k\u00f6nnen sich hier engagieren und ihre Prozesse f\u00fcr Transparenz und Hochrisiko-Anforderungen fr\u00fchzeitig planen und teilen.<\/sup> Diese Initiative unterstreicht das Signal der Regulierungsbeh\u00f6rden: Die gestaffelte Frist ist eine Aufforderung, die Zeit bis 2027 zu nutzen, um eine solide interne Governance aufzubauen und die potenziellen Risiken zu bewerten, bevor die Pflichten vollumf\u00e4nglich anwendbar sind. <\/p>\n\n\n\nEU AI Act: Stufenweise Anwendung und Risikokategorien<\/h4>\n\n\n\n