Logo WG-DATA
Kontakt
2.04.2026

Was DORA, NIS-2 und KRITIS von Unternehmen verlangen

5.000 Cyberangriffe pro Minute, allein auf die IT-Systeme der Deutschen Bundesbank. Krankenhäuser, die nach Ransomware-Attacken Notaufnahmen schließen müssen. Ein Blackout auf der iberischen Halbinsel als Warnsignal für ganz Europa. Die Bedrohungslage ist real, sie eskaliert und betrifft längst nicht mehr nur die IT-Abteilung.

Mit DORA (verbindlich seit Januar 2025), NIS-2 (in Kraft seit Dezember 2025) und dem KRITIS-Dachgesetz hat der Gesetzgeber gehandelt: konsequent, sektorübergreifend und mit persönlicher Haftung für die Unternehmensleitung. Wer diese Regularien noch als Compliance-Projekt begreift, wird von der Realität eingeholt.

Digitale Resilienz als regulatorische Pflicht: drei Sektoren, eine Botschaft

Ob Finanzinstitut, Krankenhaus oder Energieversorger: Die neue Regulatorik sendet eine klare Botschaft. Cybersicherheit ist keine technische Frage. Sie ist Governance, Risikomanagement und Chefsache.

DORA verpflichtet Finanzunternehmen zu umfassendem IKT-Risikomanagement und Meldeprozessen innerhalb von 4 bis 72 Stunden.

NIS-2 betrifft über 30.000 Organisationen in Deutschland, darunter Krankenhäuser, Krankenkassen, Stadtwerke und Netzbetreiber.

Das KRITIS-Dachgesetz ergänzt den Schutz physischer Infrastrukturen durch einen All-Gefahren-Ansatz.

Der Kern: Die Unternehmensleitung haftet persönlich. Delegation an den CISO ist keine Option mehr.

Finanzsektor: DORA-Compliance als strategische Notwendigkeit

Ransomware-Angriffe auf Finanzinstitute haben sich von 269 auf 451 Vorfälle nahezu verdoppelt. 10 Prozent aller BaFin-gemeldeten Vorfälle 2025 waren Sicherheitsvorfälle. Die Prüfungen zeigen: Schwachstellen liegen nicht in der Technik, sondern in der Dokumentation.

Die fünf Säulen von DORA:

  • IKT-Risikomanagement: Umfassender Rahmen mit klarer Leitungsverantwortung
  • Vorfallsmanagement: Meldepflichten innerhalb von 4-72 Stunden
  • Resilienztests: Jährliche Penetrationstests verpflichtend
  • Drittanbieter-Management: Überwachung sämtlicher IKT-Dienstleister
  • Informationsaustausch: Strukturierter Austausch von Bedrohungsinformationen

Sind IKT-Register unvollständig, Risikoanalysen ohne nachvollziehbare Methodik oder gibt es Vertragsklauseln, die DORA-Pflichtelemente nicht erfüllen (Artikel 30 nennt allein 15 davon) drohen Konsequenzen: Bußgelder bis zu 10 Millionen Euro für Institutionen, bis zu 1 Million Euro persönlich für die Geschäftsleitung. Ein BGH-Urteil vom November 2025 verschärft die Lage: Organisationsverschulden auf Leitungsebene ist klagbar.

Gesundheitswesen: Wenn Compliance Leben rettet

Im Gesundheitswesen geht es um mehr als Bußgelder. November 2025: Das MVZ Nordoberpfalz muss nach einem Schadsoftwarebefall alle Standorte schließen. Januar 2026: Die Kreisklinik Roth schließt die Notaufnahme, Rettungsdienste werden umgeleitet. Die FBI-Ransomware-Chefin formulierte es im Februar 2026 klar: Angriffe auf Krankenhäuser sind Cyberterrorismus, weil sie unmittelbar Menschenleben gefährden.

Angesichts der eskalierender Bedrohungsszenarien ist die NIS-2-Richtlinie bereits im Dezember 2025 in Kraft getreten. Ihr Schwerpunkt liegt auf Cyberresilienz und ihr Anwendungsbereich hat sich gegenüber NIS-1 vervielfacht: Forschungseinrichtungen, Krankenkassen, Krankenhäuser, Gesundheits-IT-Dienstleister und viele weitere Organisationen fallen nun darunter.

Das KRITIS-Dachgesetz weitet die Betrachtung zusätzlich auf physische und organisatorische Aspekte aus. Es richtet sich an alle Einrichtungen, die für mehr als 500.000 Menschen von Bedeutung sind, und erfasst damit ebenfalls zahlreiche Krankenhäuser, große Träger und Krankenkassen.

Beide Regelwerke treffen auf ein verwundbares System: historisch gewachsene IT-Infrastrukturen, ungetestete Notfallpläne und unzureichend dokumentierte Drittanbieterrisiken. Wer jetzt nicht handelt, riskiert nicht nur Sanktionen, sondern Menschenleben.

Energiesektor: OT-Sicherheit und BCM als Fundament nationaler Resilienz

Ein Ausfall der Energieversorgung trifft alle gleichzeitig: Trinkwasser, Medizin, Verkehr und Wärme. Das BBK bezeichnet dies als potenziellen nationalen Ausnahmezustand. NIS-2 gilt ohne Übergangsfrist und kaum eine Branche hat in puncto Cybersicherheit mehr nachzuholen.

Smart Grids, Fernwirktechnik und OT-Systeme in alternder Hardware: Jede Schnittstelle ist ein potenzielles Einfallstor. Echte Resilienz entsteht im Dreiklang aus ISMS, OT-Security und BCM.

Erst das Zusammenspiel aller drei Disziplinen schafft die Widerstandsfähigkeit, die NIS-2 und das KRITIS-Dachgesetz fordern.

Unser Beratungsansatz: Expertise, die Unternehmen weiterbringt

Regulatorische Anforderungen navigieren, Risiken dokumentieren, Prozesse aufbauen – und das alles parallel zum laufenden Betrieb. Das ist keine Aufgabe, die sich nebenbei erledigt. Genau hier kommen wir ins Spiel.

Als offizieller Umsetzungspartner im DORIMFOR-Projekt des DSGV begleiten wir Sparkassen, Verbundpartner und weitere Finanzdienstleister bei der Umsetzung von DORA – sowie bei allen weiteren Regulatorik- und Compliance-Themen. Darüber hinaus unterstützen wir Unternehmen aus dem Gesundheits- und Energiesektor sowie weiteren KRITIS-relevanten Branchen dabei, NIS-2 und KRITIS nicht nur formal zu erfüllen, sondern als strategischen Wettbewerbsvorteil zu nutzen.

Von der Gap-Analyse über ISMS- und BCM-Aufbau bis zur revisionssicheren Dokumentation und Prüfungsvorbereitung bieten wir das vollständige Leistungsspektrum aus einer Hand.

Unsere Beraterinnen und Berater verbinden tiefes regulatorisches Know-how mit operativer Erfahrung aus realen Krisensituationen. Wir wissen, was BaFin, BSI und BBK prüfen. Wir kennen die Fallstricke. Und wir verstehen sowohl Technik als auch Governance, denn genau an dieser Schnittstelle entstehen die gefährlichsten Lücken.

Ihr nächster Schritt: Jetzt handeln

Drei ehrliche Fragen:

  1. Können Sie einen (IKT-)Vorfall innerhalb von vier Stunden melden, auch am Wochenende?
  2. Sind Ihre BCM-Szenarien wirklich getestet oder nur dokumentiert?
  3. Kann Ihre Unternehmensleitung ihre Verantwortung nach DORA, NIS-2 und KRITIS nachweislich belegen?

Wenn auch nur eine dieser Fragen Unsicherheit auslöst, besteht akuter Handlungsbedarf. Die Zeit für „Wir kümmern uns darum“ ist vorbei. Sprechen Sie jetzt mit uns. Wir zeigen Ihnen den Weg, konkret, praxisnah und auf Augenhöhe.

Ihr Ansprechpartner

Ergün Canbay
Manager
Risiken und Compliance
erguen.canbay@wg-data.de

Success Story
Erfolgreiche Umsetzung DORA
Zur Success Story

FAQs

Die Regelwerke verlangen ein umfassendes IKT-Risikomanagement, klare Leitungsverantwortung und nachweisbare Cyberresilienz. DORA verpflichtet Finanzinstitute zu Meldeprozessen innerhalb von 4 bis 72 Stunden. NIS-2 erweitert den Anwendungsbereich deutlich und betrifft über 30.000 Organisationen. Das KRITIS-Dachgesetz fordert einen All-Gefahren-Ansatz für kritische Infrastrukturen. Alle drei setzen auf stärkere Governance, dokumentierte Risiken und persönliche Haftung der Unternehmensleitung.

Unvollständige Register, fehlende Methodik in Risikoanalysen oder unzureichende Drittanbieter-Verträge führen zu erheblichen Sanktionen. Institutionen müssen mit Bußgeldern bis 10 Millionen Euro rechnen, die Geschäftsleitung persönlich mit bis zu 1 Million Euro. Ein BGH-Urteil aus dem Jahr 2025 verschärft den Druck, da Organisationsverschulden auf Leitungsebene gerichtlich angreifbar ist.
Persönliche Haftung bedeutet, dass die Unternehmensleitung Verantwortung nicht an einzelne Rollen wie den CISO delegieren kann. Fehlende Dokumentation, unklare Prozesse oder unzureichende Vorbereitungen gelten als Organisationsverschulden. Das BGH-Urteil von 2025 zeigt, dass Verstöße rechtlich angreifbar sind. Diese Entwicklung macht Cyberresilienz zu einem Vorstandsthema und zwingt Unternehmen, Governance und Sicherheitsprozesse belastbar aufzubauen.
NIS-2 adressiert ein stark gefährdetes System mit historischen Schwächen. Krankenhäuser, Krankenkassen, Forschungseinrichtungen und Gesundheits-IT fallen nun unter die Vorgaben. Angriffe können unmittelbar Menschenleben gefährden, wie mehrere Notaufnahmeschließungen zeigen. NIS-2 stärkt Cyberresilienz und fordert robuste Prozesse, getestete Notfallpläne und klare Verantwortung.
Eine Gap-Analyse zeigt präzise, welche Anforderungen bereits erfüllt sind und welche Lücken bestehen. Sie deckt fehlende Dokumentation, unklare Zuständigkeiten und unzureichend getestete Prozesse auf. Dadurch gewinnen Unternehmen Klarheit über Prioritäten und können Maßnahmen gezielt planen. Eine strukturierte Gap-Analyse erleichtert außerdem den Dialog mit Auditorinnen und Auditoren und unterstützt eine revisionssichere Umsetzung.

 

Das KRITIS-Dachgesetz erweitert den Fokus über IT hinaus auf physische und organisatorische Risiken. Es gilt für Einrichtungen, die für mehr als 500.000 Menschen relevant sind. Ziel ist ein All-Gefahren-Ansatz, der auch Stromversorgung, Wasser, Wärme und medizinische Infrastruktur schützt. Es baut auf NIS2 auf und verschärft Anforderungen an Resilienz und Notfallvorsorge.

 

Aktuelles

Team
WG-DATA als Arbeitgeber: Werte, Kultur und Benefits im Überblick
26.03.2026
Gamification
Gamification als Strategie für Banken 
19.03.2026
Risikomanagement
Die Aufsicht verändert ihren Blick: Warum Risikomanagement jetzt neu gedacht werden muss
12.03.2026
Team
WG-DATA als Arbeitgeber: Werte, Kultur und Benefits im Überblick
26.03.2026
Gamification
Gamification als Strategie für Banken 
19.03.2026
Risikomanagement
Die Aufsicht verändert ihren Blick: Warum Risikomanagement jetzt neu gedacht werden muss
12.03.2026