{"id":992,"date":"2025-11-26T17:01:03","date_gmt":"2025-11-26T16:01:03","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=992"},"modified":"2025-11-26T17:01:03","modified_gmt":"2025-11-26T16:01:03","slug":"regulatorische-wende-2025-was-nis-2-dora-und-c52025-jetzt-von-ihrem-unternehmen-fordern","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2025\/11\/26\/regulatorische-wende-2025-was-nis-2-dora-und-c52025-jetzt-von-ihrem-unternehmen-fordern\/","title":{"rendered":"Regulatorische Wende 2025: Was NIS-2, DORA und C5:2025 jetzt von Ihrem Unternehmen fordern"},"content":{"rendered":"<p>Die digitale Landschaft in Europa wird durch eine beispiellose Welle neuer EU-Verordnungen und Richtlinien grundlegend neu geordnet. Im Jahr 2025 ist die digitale Widerstandsf\u00e4higkeit (Resilienz) von Unternehmen in den Fokus ger\u00fcckt. Cybersicherheit und Compliance sind nicht l\u00e4nger optionale Anliegen, sondern <strong>gesetzliche Pflicht und Chefsache<\/strong>.<\/p>\n<p>Wir geben Ihnen einen kompakten \u00dcberblick \u00fcber die dringendsten regulatorischen Herausforderungen des Jahres 2025:<\/p>\n<hr \/>\n<h3>1. NIS-2-Umsetzung in Deutschland: Die Pflicht zur Cybersicherheit<\/h3>\n<p>Die europ\u00e4ische NIS-2-Richtlinie (Network and Information Security 2.0) trat auf EU-Ebene bereits im Januar 2023 in Kraft und hob die NIS 1 zum 18. Oktober 2024 auf. Obwohl die Frist zur nationalen Umsetzung eigentlich der 17. Oktober 2024 war, hatte Deutschland lange Zeit Verzug bei der \u00dcberf\u00fchrung in nationales Recht (NIS2UmsuCG).<\/p>\n<p>Das <strong>NIS-2-Umsetzungsgesetz (NIS2UmsuCG)<\/strong> wurde jedoch nach einer langen H\u00e4ngepartie schlie\u00dflich im November 2025 (Bundestag am 13.11.2025, Bundesrat am <strong>21.11.2025<\/strong>) verabschiedet und tritt voraussichtlich <strong>Ende 2025\/Anfang 2026 in Kraft<\/strong>.<\/p>\n<p><strong>Wer ist betroffen?<\/strong> Der Kreis der regulierten Unternehmen w\u00e4chst drastisch <strong>von rund 4.500 auf gesch\u00e4tzte 29.500 Einrichtungen<\/strong> in Deutschland, verteilt auf 18 Sektoren. Die Richtlinie unterscheidet zwischen \u201e<strong>besonders wichtigen Einrichtungen<\/strong>\u201c (<em>Essential Entities<\/em>) und \u201e<strong>wichtigen Einrichtungen<\/strong>\u201c (<em>Important Entities<\/em>).<\/p>\n<p><strong>Ihre wichtigsten Pflichten im \u00dcberblick:<\/strong><\/p>\n<ul>\n<li><strong>Registrierungspflicht:<\/strong> Betroffene Unternehmen m\u00fcssen sich aktiv bei der gemeinsamen Registrierungsstelle von BSI und BBK registrieren. Die Frist ist kurz: <strong>sp\u00e4testens drei Monate<\/strong>, nachdem das Unternehmen als betroffen identifiziert wurde.<\/li>\n<li><strong>Risikomanagement-Ma\u00dfnahmen:<\/strong> Es m\u00fcssen <strong>angemessene und verh\u00e4ltnism\u00e4\u00dfige technische, operative und organisatorische Ma\u00dfnahmen<\/strong> zur Beherrschung von Sicherheitsrisiken ergriffen und dokumentiert werden. Hierzu geh\u00f6rt beispielsweise auch das Identity and Access Management (IAM), insbesondere die Implementierung der <strong>Multi-Faktor-Authentifizierung (MFA)<\/strong>.<\/li>\n<li><strong>Meldepflicht f\u00fcr Sicherheitsvorf\u00e4lle:<\/strong> Erhebliche Sicherheitsvorf\u00e4lle m\u00fcssen an das BSI gemeldet werden:\n<ul>\n<li><strong>Erstmeldung<\/strong> unverz\u00fcglich, sp\u00e4testens <strong>innerhalb von 24 Stunden<\/strong> nach Kenntniserlangung.<\/li>\n<li><strong>Folgemeldung<\/strong> innerhalb von <strong>72 Stunden<\/strong> (mit Bewertung des Schweregrads und den Auswirkungen).<\/li>\n<li><strong>Abschlussmeldung<\/strong> innerhalb eines Monats.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Haftung der Gesch\u00e4ftsleitung:<\/strong> Die Gesch\u00e4ftsleitung ist <strong>pers\u00f6nlich f\u00fcr die Umsetzung und \u00dcberwachung<\/strong> der Cybersicherheitsma\u00dfnahmen verantwortlich und haftbar. Sie ist zudem zur <strong>regelm\u00e4\u00dfigen Teilnahme an Schulungen<\/strong> verpflichtet, um ausreichende Kenntnisse zur Risikobewertung zu gew\u00e4hrleisten.<\/li>\n<li><strong>Nachweispflichten:<\/strong> Die Umsetzung der Ma\u00dfnahmen muss dokumentiert werden. F\u00fcr Betreiber kritischer Anlagen sind <strong>erste Nachweise ab 2027 f\u00e4llig<\/strong>.<\/li>\n<\/ul>\n<h3>2. DORA im Finanzsektor: Resilienz als Grundsatz<\/h3>\n<p>Der Digital Operational Resilience Act (DORA) ist seit dem 17.01.2025 in der Europ\u00e4ischen Union <strong>verbindlich anzuwenden<\/strong>. Die EU-Verordnung zielt darauf ab, die digitale Widerstandsf\u00e4higkeit von Finanzunternehmen (Banken, Versicherungen etc.) zu st\u00e4rken.<\/p>\n<p><strong>Zentrale DORA-Anforderungen:<\/strong><\/p>\n<ul>\n<li><strong>Informationsregister:<\/strong> Finanzunternehmen m\u00fcssen ein <strong>Informationsregister<\/strong> erstellen, das einen umfassenden \u00dcberblick \u00fcber alle IKT-Drittdienstleister und deren vertragliche Vereinbarungen bietet. Dieses Register muss der Aufsichtsbeh\u00f6rde (BaFin) j\u00e4hrlich oder auf Anfrage vorgelegt werden.<\/li>\n<li><strong>Vorfallmeldewesen:<\/strong> Bei schwerwiegenden IKT-bezogenen Vorf\u00e4llen gelten strikte Meldefristen an die zust\u00e4ndige Aufsichtsbeh\u00f6rde (BaFin): Die <strong>Erstmeldung<\/strong> hat innerhalb von <strong>24 Stunden<\/strong> zu erfolgen, eine Zwischenmeldung sp\u00e4testens nach 72 Stunden, und die Abschlussmeldung einen Monat nach der letzten Zwischenmeldung.<\/li>\n<li><strong>Vereinfachter Rahmen:<\/strong> Kleinere, nicht verflochtene Institute haben unter Umst\u00e4nden die M\u00f6glichkeit, einen <strong>vereinfachten IKT-Risikomanagementrahmen<\/strong> zu nutzen, um die Anforderungen gem\u00e4\u00df Artikel 16 DORA zu erf\u00fcllen.<\/li>\n<\/ul>\n<h3>3. Cloud Compliance im Gesundheitswesen: BSI C5:2025 und C5GleichwV<\/h3>\n<p>F\u00fcr Cloud-Anbieter, die Dienste im Gesundheitsbereich erbringen, gelten <strong>ab 1. Juli 2025 strengere Anforderungen<\/strong> an die Informationssicherheit, basierend auf \u00a7 393 SGB V. Hierf\u00fcr ist das <strong>C5-Testat des BSI<\/strong> ma\u00dfgeblich.<\/p>\n<p><strong>Aktuelle Entwicklungen beim C5-Standard:<\/strong><\/p>\n<ul>\n<li><strong>C5:2025 Community Draft:<\/strong> Das BSI hat den Entwurf des neuen Standards <strong>C5:2025<\/strong> als Community Draft ver\u00f6ffentlicht. Dieser modernisierte Standard ber\u00fccksichtigt aktuelle Entwicklungen wie <strong>Container-Orchestrierung, Post-Quanten-Kryptographie<\/strong> und <strong>Supply-Chain-Management<\/strong>.<\/li>\n<li><strong>EU-Konformit\u00e4t:<\/strong> Der C5:2025-Entwurf integriert st\u00e4rker europ\u00e4ische Vorgaben, darunter die <strong>NIS-2-Richtlinie<\/strong> und die aktualisierte <strong>ISO\/IEC 27001:2022<\/strong>. Die finale Version soll im Dezember 2025 ver\u00f6ffentlicht werden.<\/li>\n<li><strong>C5-Gleichwertigkeitsverordnung (C5GleichwV):<\/strong> Diese Verordnung, die am 19. M\u00e4rz 2025 ausgefertigt wurde und mit Wirkung vom 1. Juli 2024 in Kraft trat, erlaubt Cloud-Anbietern im Gesundheitswesen den <strong>tempor\u00e4ren R\u00fcckgriff auf alternative Nachweise<\/strong>. Ein alternatives Standard-Testat (z. B. ISO\/IEC 27001 oder Cloud Controls Matrix v4.0) gilt als gleichwertig, <strong>sofern ein Ma\u00dfnahmenplan vorliegt<\/strong>. Dieser Plan muss die L\u00fccken zum C5-Kriterienkatalog dokumentieren und eine <strong>Meilensteinplanung<\/strong> enthalten, um ein C5-Typ1-Testat innerhalb von 18 Monaten und ein C5-Typ2-Testat innerhalb von 24 Monaten zu erlangen.<\/li>\n<\/ul>\n<h3>4. KI-Governance und Schulungspflicht<\/h3>\n<p>Auch der <strong>EU AI Act (KI-Verordnung)<\/strong>, der zum <strong>globalen Standard<\/strong> werden k\u00f6nnte, schafft neue Compliance-Anforderungen.<\/p>\n<ul>\n<li><strong>Schulungspflicht:<\/strong> Unternehmen sind seit Februar 2025 verpflichtet, ihre Mitarbeitenden in den Grundlagen der K\u00fcnstlichen Intelligenz zu schulen, um den sicheren und verantwortungsvollen Umgang zu gew\u00e4hrleisten (KI Schulungspflicht).<\/li>\n<li><strong>Urheberrecht und Transparenz:<\/strong> Anbieter von KI-Modellen mit allgemeinem Verwendungszweck m\u00fcssen eine Strategie zur Einhaltung des Urheberrechts implementieren.<\/li>\n<li><strong>Datenschutz-Folgenabsch\u00e4tzung (DSFA):<\/strong> Bei Hochrisiko-KI-Systemen ist eine DSFA gem\u00e4\u00df DSGVO zwingend erforderlich, da sie ein hohes Risiko f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen bergen. Die DSFA ist somit ein unverzichtbares Werkzeug.<\/li>\n<\/ul>\n<h3>Fazit und Handlungsempfehlung<\/h3>\n<p>Die Zeiten des Abwartens sind vorbei. Unabh\u00e4ngig davon, ob Ihr Unternehmen von NIS-2, DORA oder den versch\u00e4rften C5-Anforderungen betroffen ist, ist <strong>proaktives Handeln jetzt entscheidend<\/strong>.<\/p>\n<p>Die Vorbereitung auf die neuen Anforderungen ist <strong>ein Marathon, kein Sprint<\/strong>. Beginnen Sie umgehend mit einer <strong>Betroffenheitsanalyse<\/strong> (Stufe 1) und einer GAP-Analyse Ihrer aktuellen Sicherheitsma\u00dfnahmen gegen\u00fcber den bekannten NIS-2-Grunds\u00e4tzen. Nur wer jetzt eine systematische und l\u00fcckenlose <strong>Dokumentation<\/strong> seiner Cybersicherheitsaktivit\u00e4ten beginnt, kann sp\u00e4tere Nachweispflichten erf\u00fcllen und <strong>empfindliche Bu\u00dfgelder vermeiden<\/strong>.<\/p>\n<hr \/>\n<blockquote><p><strong>Analogie:<\/strong> Die aktuelle Regulierungswelle ist wie ein digitaler Umzug in ein neues, hochmodernes Geb\u00e4ude. Es reicht nicht, nur die Kartons zu packen, wenn die Umzugs-LKW (die Fristen) bereits vor der T\u00fcr stehen. Sie m\u00fcssen im Voraus einen klaren Plan haben, wissen, wo jedes System (Datenregister, Risikomanagement) seinen Platz findet, und sicherstellen, dass alle Mitarbeiter (inklusive der F\u00fchrungsebene) wissen, welche neuen Sicherheitsregeln im Haus gelten, bevor das Licht eingeschaltet wird. Wer ohne Plan umzieht, verliert wichtige Daten und riskiert, dass die Aufsichtsbeh\u00f6rden das Geb\u00e4ude wieder schlie\u00dfen.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Die digitale Landschaft in Europa wird durch eine beispiellose Welle neuer EU-Verordnungen und Richtlinien grundlegend&hellip;<\/p>\n","protected":false},"author":1,"featured_media":808,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-992","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/992","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=992"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/992\/revisions"}],"predecessor-version":[{"id":993,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/992\/revisions\/993"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/808"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=992"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=992"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=992"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}