Zwei Jahre lang fühlten sich NIS2 und DORA wie weit entfernte Probleme an. Große Vorschriften, lange Umsetzungsfristen, viel Beratungslärm, aber wenig echte Konsequenzen. Diese Phase ist vorbei.

Bei unseren Kunden in der Automobilbranche, im Finanzsektor, im Gesundheitswesen und in der Fertigung war der Wandel in den letzten sechs Monaten unverkennbar. Ab 2026 ist die Gnadenfrist vorbei. Die informelle Toleranzperiode, die die DORA-Aufsicht im Jahr 2025 kennzeichnete, ist vorbei. Die nationalen Aufsichtsbehörden in der gesamten EU sind nun in der aktiven Durchsetzungsphase, führen aufsichtliche Überprüfungen durch und stellen die ersten Zwangszahlungen aus. Die praktische Frage ist nicht mehr, ob Sie die Vorschriften einhalten sollen, sondern ob Sie dies auf Verlangen nachweisen können.

Wer muss im Jahr 2026 eigentlich die NIS2 und DORA einhalten?

Die NIS2 deckt 18 kritische Sektoren ab, darunter Energie, Verkehr, Gesundheitswesen, verarbeitendes Gewerbe, Lebensmittelproduktion, Abfallwirtschaft, digitale Infrastruktur, öffentliche Verwaltung und Chemie. Die Richtlinie basiert auf einer Größenordnung: mittlere und große Unternehmen, die in diesen Sektoren tätig sind, fallen automatisch in den Anwendungsbereich, unabhängig davon, ob sie sich selbst als „kritisch“ betrachten.

Dies ist der Teil, der Unternehmen am häufigsten überrascht. Im Rahmen unserer Arbeit in regulierten Branchen haben wir beobachtet, wie regionale Hersteller, Lebensmittelproduzenten, mittelgroße Gesundheitsdienstleister und Logistikunternehmen erfahren haben, dass sie nach ihren nationalen NIS2-Gesetzen als „wesentliche“ oder „wichtige“ Unternehmen eingestuft werden, oft ohne eine ausdrückliche Benachrichtigung erhalten zu haben. Die Vereinfachungsvorschläge der Europäischen Kommission vom Januar 2026 betreffen rund 28.700 Unternehmen in der EU.

Der Anwendungsbereich von DORA ist gezielter, reicht aber weiter in die Lieferkette hinein. Es gilt für Finanzunternehmen und ihre IKT-Drittdienstleister. Für Unternehmen, die Software und operative Dienstleistungen für Finanzunternehmen bereitstellen, ist der Nachweis von DORA-konformen Kontrollen zu einer vertraglichen Bedingung geworden, nicht zu einem optionalen Nachweis.

Die Annahme „Ich bin nicht im Geltungsbereich“ ist der teuerste Compliance-Fehler des Jahres 2026.

Wie hoch sind die tatsächlichen Strafen bei Nichteinhaltung?

Die NIS2 ermöglicht Geldbußen von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Die Mitgliedstaaten können auch Maßnahmen zur Rechenschaftspflicht des Managements einführen, d.h. Führungskräfte und Vorstandsmitglieder können persönlich haftbar gemacht werden.

DORA hat ein ähnliches Gewicht: Geldbußen bis zu 2 % des weltweiten Umsatzes oder 10 Millionen Euro für Finanzunternehmen, individuelle Geldbußen bis zu 1 Million Euro für verantwortliche Personen und bis zu 5 Millionen Euro für ausgewiesene kritische IKT-Drittanbieter. Die nationalen Umsetzungen variieren, Italien hat Obergrenzen von bis zu €20 Millionen oder 10% des Umsatzes festgelegt.

Die finanzielle Strafe ist selten die schädlichste Konsequenz. Die öffentliche Bekanntgabe von Durchsetzungsmaßnahmen, die vorübergehende Suspendierung von Führungskräften und die Schädigung des Rufs bei regulierten Gegenparteien sind in der Regel wichtiger.

Warum haben mittelständische Unternehmen mehr zu kämpfen als erwartet?

Das Verstehen der Vorschriften war selten das Problem. Die Lücke, die die Regulierungsbehörden jetzt aufdecken, ist der Abstand zwischen dem Wissen, was erforderlich ist, und der Fähigkeit, es auf Anfrage zu beweisen.

Bei den Gap-Assessments, die wir im letzten Jahr für unsere Kunden durchgeführt haben, zeigen sich immer wieder die gleichen Muster:

• Kontrollen, die nur auf dem Papier existieren, aber nicht dokumentiert sind. Eine Richtlinie, die seit 2023 nicht mehr überprüft wurde, erfüllt nicht die Anforderung der kontinuierlichen Verbesserung der NIS2. Eine Sicherheitsmaßnahme, die implementiert, aber nie getestet wurde, ist nicht einsatzbereit.
• Backup-Systeme, die die neue Norm nicht erfüllen. Wenn Backups veränderbar, mit dem Netzwerk verbunden oder von Produktionsumgebungen aus zugänglich sind, können sie in der Praxis bereits nicht mehr konform sein. Recovery Time Objectives werden geprüft, nicht nur deklariert.
• Reaktionspläne für Vorfälle, die noch nie ausgeführt wurden. Pläne ohne getestete Ausführung sind Dokumente, keine Fähigkeiten.
• Risiken in der Lieferkette, die noch nicht erfasst wurden. Für DORA hat sich das Informationsregister als die schwierigste Einzelanforderung herauskristallisiert. Eine Deloitte-Studie zeigt, dass 46 % der Finanzunternehmen dies als ihre schwierigste Verpflichtung bezeichnen.

Die Aufsichtsbehörden achten weniger auf technische Perfektion als vielmehr auf eine nachweislich ausgereifte Unternehmensführung.

Wie sieht die Einhaltung der Vorschriften in der Praxis aus?

Die Unternehmen, die mit diesen Vorschriften gut umgehen, sind nicht diejenigen mit den größten Sicherheitsbudgets. Sie sind diejenigen, die die unglamouröse Arbeit geleistet haben: die Zuordnung von Kontrollen zu bestimmten Artikeln der Verordnung, die klare Zuweisung von Verantwortlichkeiten, die systematische Sammlung von Beweisen und die Entwicklung von Verfahren zur Reaktion auf Vorfälle, die tatsächlich getestet wurden.

So haben wir unseren eigenen Betrieb seit Jahren strukturiert, lange bevor NIS2 und DORA durchsetzbar wurden. Ein paar Dinge sind für uns in jeder Kundenumgebung, in der wir arbeiten, nicht verhandelbar:

• Unveränderlicher Backup-Speicher mit dokumentierten Wiederherstellungstests
• 24-Stunden-Frühwarnsystem für wichtige Vorfälle
• Multi-Faktor-Authentifizierung als technische Grundmaßnahme
• Dokumentierte Risikobewertungen der Lieferkette, einschließlich Cloud- und SaaS-Anbieter
• Cyber Governance auf Vorstandsebene mit dokumentierten Schulungen für Führungskräfte
• Kontinuierliche Sammlung von Beweisen, keine jährliche Audit-Panik

Nichts davon ist technisch neu. Was neu ist, ist, dass „wir haben das irgendwo“ nicht mehr zählt. Dokumentierte Beweise, getestete Verfahren und eindeutige Eigentumsverhältnisse sind jetzt die Währung der Regulierung.

Der erste Schritt

Für die meisten mittelständischen Unternehmen ist der wichtigste nächste Schritt nicht ein neues Compliance-Tool. Es ist eine ehrliche Bewertung der Lücken: welche Kontrollen existieren, welche sind dokumentiert, welche wurden getestet und wo ist die Zuständigkeit unklar.

Genau hier kann Ascendro helfen. Wir haben mehr als 15 Jahre damit verbracht, Infrastrukturen für Kunden in genau den Branchen aufzubauen und zu betreiben, die jetzt von NIS2 und DORA am stärksten reguliert werden – Automobil, Fintech, Gesundheitswesen und Fertigung. Unsere ISO 27001-, ISO 9001- und TISAX-Zertifizierungen sind das dokumentierte Ergebnis unserer jahrelangen Arbeit, bevor die Vorschriften dies zur Pflicht machten.

Wenn Sie herauszufinden versuchen, ob Ihre derzeitige Infrastruktur die Compliance-Anforderungen tatsächlich erfüllen kann, oder wenn Sie einen Partner benötigen, dessen eigene Abläufe bereits den Anforderungen Ihrer Kunden entsprechen, sind wir für Sie da.