Eine Vielzahl von Verordnungen, Richtlinien und Gesetzesinitiativen auf EU-Ebene und international zielt darauf ab, die Resilienz gegenüber Cyber-Bedrohungen zu erhöhen. Sich in diesem Dschungel aus regulatorischen Vorschriften zurechtzufinden, ist jedoch gar nicht so einfach.
Die EU plant, ihre Infrastrukturen gegen Gefahren aller Art zu stärken – mit einer Flut an Regularien. Dieser Beitrag hilft bei der Orientierung im Gesetzesdschungel.
(Bild: rolffimages - stock.adobe.com)
2024 steht für Unternehmen im Zeichen verstärkter Regulierungen in der IT-Sicherheit, getrieben durch eine wachsende Zahl an Bedrohungen wie Cyberattacken und die Notwendigkeit, digitale Infrastrukturen zu sichern. Im Folgenden gehen wir auf jede von ihnen ein und bringen Licht in das Regeldickicht.
1. NIS2
NIS2 ist der Nachfolger der EU-Richtlinie NIS1 und zielt darauf ab, ein einheitliches Cybersicherheitsniveau in allen Mitgliedsstaaten herzustellen sowie kritische Infrastrukturen (KRITIS) vor Hackerangriffen zu schützen. Im Gegensatz zu NIS1 definiert NIS2 klarer, welche Sektoren und Unternehmen zu KRITIS zählen und teilt diese in „wesentliche“ und „wichtige“ Einrichtungen ein. Zu den wesentlichen Einrichtungen gehören z. B. Energieversorger, Gesundheitseinrichtungen und digitale Infrastrukturen. Wichtige Einrichtungen umfassen u. a. Postdienste, Abfallwirtschaft und chemische Hersteller.
NIS2 betrifft alle kritischen Einrichtungen in der EU mit mindestens 50 Beschäftigten oder einem Jahresumsatz ab 10 Millionen EUR. Diese müssen sicherstellen, dass ihr Betrieb bei Cyberattacken aufrechterhalten bleibt und Bedrohungen schnell begegnet wird, z. B. durch Risikoanalysen, Krisenmanagementpläne und IT-Sicherheitsmaßnahmen. NIS2 ist seit dem 16. Januar 2023 in Kraft und musste bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland hat das Bundeskabinett die NIS2-Umsetzung bereits auf den Weg gebracht; der Digitalverband Bitkom rechnet allerdings mit Verzögerungen und weist auf dringend nötige Anpassungen hin.
2. CER Directive
Die CER-Richtlinie (Critical Entities Resilience) stärkt die Widerstandsfähigkeit kritischer Infrastrukturen in der EU gegen physische und digitale Bedrohungen. Anders als NIS2 umfasst sie auch den Schutz vor Naturkatastrophen, Terror- und Sabotageakten sowie menschlichem Versagen. Die Richtlinie gilt seit dem 16. Januar 2023 und wird in Deutschland durch das KRITIS-Dachgesetz in nationales Recht umgesetzt.
3. KRITIS-Dachgesetz
Virtuelle Datenräume können Unternehmen dabei helfen, Regularien wie das KRITIS-Dachgesetz umzusetzen.
(Bild: idgard)
Das KRITIS-Dachgesetz setzt die EU-Richtlinie CER in Deutschland um und tritt am 1. Januar 2026 in Kraft. Es definiert bundesweit, welche Einrichtungen als „kritische Infrastrukturen“ gelten und stärkt deren Sicherheit gegenüber Bedrohungen. Das Gesetz umfasst Sektoren wie Energie, Transport, Finanzwesen, Gesundheitswesen, Wasserversorgung, IT, Telekommunikation und öffentliche Verwaltung.
Betroffen sind Einrichtungen, die mehr als 500.000 Einwohner versorgen. KRITIS-Betreiber müssen Risikoanalysen durchführen, Resilienzpläne erstellen und Technologien wie virtuelle Datenräume nutzen, um Daten vor unbefugtem Zugriff zu schützen.
4. DORA
Der Digital Operations Resilience Act (DORA) ist eine EU-Verordnung zur Erhöhung der Robustheit des Finanzsektors gegenüber Cyberbedrohungen. Ziel ist es, bestehende Regelungen zu harmonisieren und einen einheitlichen Rahmen für die Bewältigung von Cybersicherheitsrisiken in der Informations- und Kommunikationstechnologie zu schaffen. DORA betrifft Zahlungs- und Kreditinstitute, Wertpapierfirmen, Versicherungsunternehmen und IKT-Dienstleister.
DORA unterliegende Unternehmen müssen Maßnahmen ergreifen, um ihren Geschäftsbetrieb bei Cyberangriffen aufrechtzuerhalten. Dazu gehören u. a.:
der Aufbau stabiler IT-Systeme,
die Überwachung von IT-Risikoquellen,
die Implementierung von Notfallplänen,
die Durchführung von Penetrationstests und
die Dokumentation und Meldung von IKT-Vorfällen.
DORA gilt seit dem 16. Januar 2023 und ist unmittelbar in allen EU-Mitgliedstaaten anwendbar bzw. umzusetzen. Anpassungen in landesspezifischen Gesetzen können erforderlich sein. In Deutschland z. B. unterstützt das Finanzmarktdigitalisierungsgesetz (FinmadiG) die Umsetzung von DORA. Ab dem 17. Januar 2025 ist die Verordnung vollständig anwendbar.
Der Cyber Resilience Act (CRA) schafft einen konsistenten rechtlichen Rahmen innerhalb der EU, um Nutzer von Produkten mit digitalen Elementen, gegen Cyberangriffe zu schützen. Betroffen sind Hardware- und Softwareprodukte mit Datenverarbeitungs- oder Steuerungsfunktionen, wie Smartwatches oder IoT-Geräte.
Hersteller, Importeure und Distributoren müssen die Cybersicherheit über den gesamten Produktlebenszyklus gewährleisten, regelmäßige Sicherheitsupdates durchführen und Schwachstellen managen. Sicherheitsvorfälle sind an die Europäische Agentur für Cybersicherheit (ENISA) und die Nutzer zu melden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der CRA trat am 12. März 2024 in Kraft; Hersteller haben 36 Monate Zeit, die Anforderungen zu erfüllen. Ab 2027 dürfen Produkte ohne entsprechende Sicherheitsaspekte nicht mehr in der EU angeboten werden. Verstöße können zu Geldstrafen bis zu 15 Millionen Euro oder 2,5 Prozent des globalen Jahresumsatzes führen; in schweren Fällen ist außerdem eine Marktrücknahme möglich.
6. Data Governance Act
Der EU Data Governance Act (DGA) zielt darauf ab, den Datenaustausch innerhalb der EU zu erleichtern, um altruistische Projekte wie Klimaschutz, Gesundheitsversorgung und Verkehrskonzepte zu fördern. Er stärkt das Vertrauen in den freiwilligen Datenaustausch und bietet einen sicheren Rahmen für das Teilen von Informationen, indem technische Hürden für die Wiederverwendung beseitigt werden.
Der DGA betrifft Datenintermediäre, öffentliche Stellen und Unternehmen, die Daten des öffentlichen Sektors nutzen möchten. Diese müssen Datenschutz- und Datensicherheitsanforderungen erfüllen, die Rechte Dritter wahren und transparente Prozesse für einen fairen und sicheren Informationshandel etablieren. Der Act steuert auch die Aktivitäten von Datenvermittlungsdiensten, die den Austausch zwischen Dateninhabern und -nutzern ermöglichen.
7. EU Data Act
Der EU Data Act, der am 11. Januar 2024 in Kraft trat und ab dem 12. September 2025 EU-weit gilt, zielt auf eine gerechtere Verteilung der von vernetzten Geräten generierten Daten ab. Ziel ist es, sowohl den Dateninhabern (meist die Produkthersteller) als auch den Nutzern und Drittparteien Zugang zu den gesammelten Informationen zu gewähren.
Der Data Act betrifft alle Unternehmen in der EU, die Informationen vernetzter Geräte sammeln und nutzen. Er fordert Transparenz und Kontrolle über die Daten und verlangt von Dateninhabern, diese dem Endverbraucher, einem von diesem genannten Dritten oder behördlichen Stellen zur Verfügung zu stellen.
Bei Nichteinhaltung drohen Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, ausgenommen Kleinstunternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz unter 10 Millionen Euro.
Podcast zum Thema
8. US Cloud Act
Der US Cloud Act erlaubt US-Behörden weltweit den Zugriff auf Daten, die bei US-Unternehmen und deren Tochtergesellschaften gespeichert sind, selbst wenn diese Daten in Rechenzentren außerhalb der USA, etwa in der EU, aufbewahrt werden. Dies betrifft auch Unternehmen, die Dienste US-basierter Anbieter nutzen.
Der Cloud Act steht im Widerspruch zur europäischen Datenschutz-Grundverordnung (DSGVO). Unternehmen müssen daher abwägen, ob sie den Cloud Act befolgen und gegen die DSGVO verstoßen oder umgekehrt. Technologien wie Confidential Computing können den Schutz sensibler Daten gewährleisten und den Zugriff seitens US-Behörden verhindern. Rechenzentren in Ländern mit starkem Datenschutz wie Deutschland bieten zusätzliche Sicherheit.
Fazit: Proaktivität ist nun gefragt
Unternehmen müssen neue und aktualisierte Sicherheitsvorschriften beachten und proaktiv Maßnahmen ergreifen, um Risiken zu minimieren und Sanktionen zu vermeiden. Innovative Technologien wie Confidential Computing und virtuelle Datenräume helfen dabei, Compliance-Anforderungen zu erfüllen und umfassende Datensicherheit zu gewährleisten.
* Der Autor Louis Woisetschläger ist Compliance und Audit Specialist bei idgard, wo er für die Überwachung und Einhaltung aller relevanten rechtlichen, regulatorischen und internen Anforderungen verantwortlich ist.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/df/fa/dffa6a55b202c1f0a15862734e0cbeca/0128866846v1.jpeg "Die Digital Office Conference 2026 am 18. März in Berlin: Innovation, Verantwortung und digitale Souveränität im Fokus. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cf/b4/cfb4b211d1f189c2c25d976ed92153ca/0128857194v1.jpeg "So optimieren Sie Nextcloud: Zielgerichtete Anpassungen in PHP und Datenbank für schnellere Reaktionszeiten und verbesserte Systemleistung. (Bild: © Olivier Le Moal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/1b/b41b9c6e88bd8483a2db60f509d61131/0128435735v2.jpeg "KMU ringen vor allem mit klassischen DSGVO-Pflichten. Aufsichtsbehörden unterstützen mit Vorlagen, Sprechstunden und Checklisten, während Vereinfachungen beraten werden. (Bild: © sam richter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/0d/260d4ace38f8375d654c966e8b4ec1f2/0128861157v1.jpeg "Die Cloud-Branche steht 2026 vor entscheidenden Umbrüchen. Welche Trends sind für Cloud-Landschaften zu erwarten? (Bild: © FATEMA3.0 - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/97/6c/976cff4c82dd3a99f7fdd0fe4704feea/0129049626v1.jpeg "Der IT-Branche geht es gut, vor allem Software und Cloud sind Erfolgsgaranten. (Bild: © metamorworks - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/da/e6/dae656cdda32066f36e03455976a60f4/0128697357v1.jpeg "Vorinstallierte Browser sind praktisch, aber nicht immer die beste Wahl. Worauf Nutzer bei Datenschutz, Features und KI achten sollten – und wie leicht ein Wechsel gelingt. (Bild: © Sentavio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/10/fd10e4216843219ced118a6c8f6f73f8/0128768369v1.jpeg "Deutsche zeigen ein konservativeres Speicherverhalten und greifen lieber auf externe Datenträger wie Festplatten zurück, statt die Cloud zu nutzen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/43/7b4346180c4889f1b8e5f26af7125718/0128436273v2.jpeg "Das LG München sah eine Urheberrechtsverletzung, weil ChatGPT geschützte Liedtexte wörtlich ausgab. Was hat das Landgericht München in diesem Fall entschieden? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/52/5f522be9df29a2344dee1cdb55de0e33/0128622890v1.jpeg "Effiziente, zuverlässige und digital vernetzte Kühllösungen sind entscheidend für zukunftsfähige Rechenzentren. (Bild: ebm‑papst)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/31/9d/319dbf15338c914968fa3bfe762351b2/0114536324.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/22/4322b92244f35ca42bb7c5023ef629dc/0125079430v1.jpeg "Es gibt zwei EU-Richtlinien, die unterschiedliche Bereiche kritischer Infrastrukturen betreffen – die NIS2-Richtlinie zur Cybersicherheit und die CER-Richtlinie zur Resilienz. Beide müssen in nationales Recht transponiert werden. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/95/1b/951b04143b912e98f8fab569cc54485e/0125831444v1.jpeg "Die EZB bemüht sich, die Bankenlandschaft gegen den Sturm der Cyberbedrohungen abzusichern. Neue Richtlinien zum Umgang mit Cloud-Dienstleistern wie DORA und strenge IT-Standards sollen die Resilienz der Finanzinstitute fördern. (Bild: © Саша Федюк - stock.adobe.com)")