Prävention Sicherheitskonzepte

Praktischer Leitfaden durch den „Resilienzdschungel“

16. Juli 2025
von Holger Berens
Protection concept. Protect mechanism, system privacy. Vector illustration.
© Alex - stock.adobe.com

Holger Berens, Vorstandsvorsitzender Bundesverband Schutz Kritischer Infrastrukturen (BSKI e.V.) sowie Managing Partner der Concepture Group, liefert einen Überblick über aktuelle EU-Regulierungen für Cybersicherheit und Resilienz – und ihre Bedeutung für den deutschen Mittelstand.

Die geopolitische Lage Europas hat sich in den letzten Jahren drastisch verändert. Der russische Angriffskrieg gegen die Ukraine, zunehmende Spannungen zwischen den USA und China, hybride Bedrohungen sowie gezielte Cyberangriffe auf kritische Infrastrukturen, staatliche Einrichtungen und den Mittelstand haben gezeigt, wie verwundbar moderne Staaten und Wirtschaftssysteme sind. Besonders in Deutschland, dem wirtschaftlichen Herz Europas, rücken die Themen Cybersicherheit und Resilienz immer stärker in den Mittelpunkt der politischen und wirtschaftlichen Debatte.

Neue Bedrohungslage, neue Regeln

Die Europäische Union hat auf diese Herausforderungen mit einer Reihe neuer Richtlinien und Verordnungen reagiert, die die Widerstandsfähigkeit gegenüber Cyberrisiken stärken sollen – von der aktualisierten NIS2-Richtlinie über das neue KRITIS-Dachgesetz und den Cyber Resilience Act (CRA) bis hin zur Finanzmarktregulierung DORA.

Diese Regelwerke verfolgen ein gemeinsames Ziel: Sie sollen dafür sorgen, dass Unternehmen, Behörden und Organisationen künftig besser auf Cyberangriffe und systemische Risiken vorbereitet sind.

Für viele Unternehmen – insbesondere des Mittelstands – stellen diese Vorgaben jedoch einen regelrechten „Resilienzdschungel“ dar. Begriffe wie „kritische Infrastruktur“, „Pflichten zur Cyberhygiene“ oder „Meldepflichten bei Sicherheitsvorfällen“ sind nicht nur neu, sondern werfen auch zahlreiche Fragen auf: Bin ich betroffen? Was muss ich tun? Und ab wann?

Dieser Aufsatz bietet einen praktischen Überblick über die vier wichtigsten EU-Regelwerke und ihre Umsetzung in Deutschland. Er dient als Einstieg in eine Serie vertiefender Beiträge zu den einzelnen Themen. Diese sollen Ihnen helfen, die Anforderungen praktisch in Ihrem Unternehmen umzusetzen.

Was sind EU-Richtlinien bzw. EU-Verordnungen?

Am einfachsten ist es, wenn wir in den Vertrag über die Arbeitsweise der Europäischen Union (AEUV) schauen:

Artikel 288 AEUV lautet:

„Zur Ausübung ihrer Befugnisse erlässt das Europäische Parlament gemeinsam mit dem Rat durch Verordnungen, Richtlinien, Beschlüsse sowie Empfehlungen und Stellungnahmen.“

„Die Verordnung hat allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.“

„Die Richtlinie ist für jeden Mitgliedstaat, an den sie gerichtet ist, hinsichtlich des zu erreichenden Ziels verbindlich, überlässt jedoch den innerstaatlichen Stellen die Wahl der Form und der Mittel.“

Daraus ergeben sich zwei zentrale Rechtsakte:

EU-Richtlinie (z. B. NIS2, RCE)

Definition: Eine EU-Richtlinie ist ein mittelbar wirkender Rechtsakt. Sie verpflichtet die Mitgliedstaaten, innerhalb einer bestimmten Frist ein bestimmtes Ziel zu erreichen. Die konkrete Ausgestaltung und Umsetzung bleiben jedoch dem nationalen Gesetzgeber überlassen.

Rechtswirkung: Eine Richtlinie ist nicht unmittelbar anwendbar. Sie muss zunächst in nationales Recht umgesetzt werden. Dabei haben die Mitgliedstaaten einen gewissen Gestaltungsspielraum, wie sie die Vorgaben der Richtlinie konkret umsetzen. Eine Richtlinie gilt nur für die jeweils adressierten Mitgliedstaaten und nicht zwingend für alle, beispielsweise bei Sonderwegen einzelner Länder wie Dänemark.

Beispiele:

NIS2-Richtlinie (EU) 2022/2555: Diese Richtlinie dient der Verbesserung der Cybersicherheit kritischer und wichtiger Einrichtungen in der EU. Die Mitgliedstaaten sind verpflichtet, sie bis Oktober 2024 in nationales Recht umzusetzen, etwa durch das deutsche NIS2-Umsetzungsgesetz. Die Richtlinie enthält Mindeststandards, lässt jedoch Raum für nationale Abweichungen, beispielsweise bei der Festlegung von Schwellenwerten. Wie wir alle wissen, hat Deutschland es bisher nicht geschafft, die Richtlinie umzusetzen.

Dies wird unser BSIG 3.0.

RCE-Richtlinie (EU) 2022/2557 (Resilience of Critical Entities): Diese Richtlinie ergänzt die NIS2-Richtlinie auf der Ebene der physischen Sicherheit kritischer Infrastrukturen. Sie richtet sich an Betreiber sog. „kritischer Anlagen“ und verlangt von ihnen Maßnahmen zum Schutz vor sämtlichen Arten von Risiken – von Cyberangriffen bis hin zu Naturkatastrophen. Auch diese Richtlinie ist nicht unmittelbar anwendbar und bedarf der Umsetzung in nationales Recht. Dies ist ebenfalls in Deutschland noch nicht geschehen.

Das wird sehr wahrscheinlich unser „KRITIS-Dachgesetz“.

EU-Verordnung (z. B. CRA, DORA)

Definition: Eine EU-Verordnung ist ein unmittelbar anwendbarer Rechtsakt der Europäischen Union. Sie gilt automatisch in allen Mitgliedstaaten, ohne dass es nationaler Umsetzungsgesetze bedarf.

Rechtswirkung: Eine Verordnung ist vollständig verbindlich in allen Teilen. Sie gilt unmittelbar in jedem Mitgliedstaat – so wie ein nationales Gesetz. Es besteht kein Umsetzungsspielraum, was eine einheitliche Anwendung in der gesamten EU gewährleistet.

Beispiele:

Cyber Resilience Act (CRA): Der Cyber Resilience Act ist eine Verordnung, die im Jahr 2025 in Kraft getreten ist. Ziel ist es, Sicherheitsanforderungen für Produkte mit digitalen Elementen über deren gesamten Lebenszyklus hinweg festzulegen. Die Verordnung betrifft Hersteller, Importeure und Händler von Hard- und Software. Als EU-Verordnung gilt der CRA direkt in jedem Mitgliedstaat – ein nationales Umsetzungsgesetz ist nicht erforderlich. Die Verordnung legt einheitliche Anforderungen an die CE-Kennzeichnung, Risikobewertung, Sicherheitsupdates und weitere sicherheitsrelevante Aspekte fest.

DORA – Digital Operational Resilience Act (EU) 2022/2554: DORA regelt die digitale Betriebssicherheit im Finanzsektor. Die Verordnung gilt u. a. für Banken, Versicherungen, Börsenbetreiber sowie Cloud-Dienstleister. Sie ist am 17. Januar 2025 vollständig in Kraft getreten und ist als EU-Verordnung direkt anwendbar. Alle Mitgliedstaaten und betroffenen Unternehmen müssen sich an die gleichen Regeln halten – ein nationaler Spielraum zur Umsetzung besteht nicht.

NIS2 – Die neue Cybersicherheitsgrundlage für Europa

Die NIS2-Richtlinie (Network and Information Security Directive) wurde im Januar 2023 in Kraft gesetzt und ersetzt die bisherige NIS-Richtlinie von 2016. Ihr Ziel ist es, die Cybersicherheitsstandards in der EU zu harmonisieren und zu verschärfen – mit deutlich erweiterten Anforderungen und einem erweiterten Anwendungsbereich.

Deutschland steht aktuell mitten in der Umsetzung dieser Richtlinie. Der deutsche Gesetzgeber plant ein neues „NIS2-Umsetzungsgesetz“, das voraussichtlich bis Oktober 2025 verabschiedet werden muss. Betroffen sind deutlich mehr Unternehmen als bisher – darunter auch viele mittelständische Betriebe, etwa aus den Bereichen Energie, Transport, Gesundheit, Maschinenbau, IKT oder Chemie.

Unternehmen müssen künftig u. a.:

  • Cybersicherheits-Risikomanagementsysteme implementieren,
  • Sicherheitsvorfälle innerhalb von 24 Stunden melden,
  • Verantwortlichkeiten im Management verankern,
  • regelmäßige Audits und Schulungen durchführen.

NIS2 markiert damit den Beginn einer neuen Ära der verpflichtenden Cybersicherheits-Governance – auch für Unternehmen, die sich bisher kaum mit dem Thema befasst haben.

KRITIS-Dachgesetz – Rahmen für Schutz kritischer Infrastrukturen

Parallel zur NIS2-Umsetzung wird in Deutschland das KRITIS-Dachgesetz auf den Weg gebracht. Es wird die RCE-Richtlinie umsetzen, verfolgt aber auch einen nationalen Ansatz und zielt darauf ab, den Schutz kritischer Infrastrukturen (KRITIS) übergreifend zu regeln.

Das Gesetz definiert 11 KRITIS-Sektoren – darunter Energie, Wasser, Ernährung, Gesundheit, aber auch Staat und Verwaltung. Es verpflichtet Betreiber zu organisatorischen und technischen Vorkehrungen zur Widerstandsfähigkeit, z. B.:

  • Erstellung von Resilienzplänen,
  • Durchführung von Risikoanalysen,
  • Sicherstellung der physischen Sicherheit.

Für viele Unternehmen bedeutet das: Sie müssen sich nicht nur auf IT-bezogene Gefahren vorbereiten, sondern ganzheitlich resilient werden – auch gegenüber Stromausfällen, Lieferkettenunterbrechungen oder Naturkatastrophen.

CRA – Sicherheit von Produkten mit digitalen Elementen

Der Cyber Resilience Act bezieht sich auf den gesamten Lebenszyklus von Hard- und Softwareprodukten mit digitalen Komponenten. Ziel ist es, sichere Produkte-by-Design auf den EU-Markt zu bringen – ein Paradigmenwechsel in der Produktentwicklung.

Besonders betroffen sind Hersteller, Vertreiber und Importeure von:

  • IoT-Geräten,
  • industriellen Steuerungssystemen,
  • Consumer-Software,
  • „embedded systems“.

Pflichten umfassen u. a.:

  • Cybersicherheitsbewertung vor Inverkehrbringen,
  • Sicherheits-Updates über den gesamten Lebenszyklus,
  • verpflichtende Sicherheitsdokumentation und CE-Kennzeichnung.

Der CRA ist direkt anwendbares EU-Recht – ohne nationale Umsetzungsgesetze. Seine Auswirkungen auf den deutschen Mittelstand, insbesondere im Maschinen- und Anlagenbau, sind erheblich und erfordern frühzeitige Vorbereitung.

DORA – Digital Operational Resilience Act für den Finanzsektor

Der Digital Operational Resilience Act (DORA) zielt speziell auf den Finanzsektor ab – also Banken, Versicherungen, Zahlungsdienste und relevante IT-Dienstleister. Er soll sicherstellen, dass diese Institute widerstandsfähig gegenüber IT-Ausfällen und Cyberangriffen sind.

Zu den zentralen Vorgaben gehören:

  • einheitliches IT-Risikomanagement,
  • Meldepflichten bei ICT-Vorfällen,
  • strengere Anforderungen an Outsourcing-Partner (insbesondere Cloud-Dienste),
  • regelmäßige Penetrationstests.
„Resilienz“ als roter Faden durch den Dschungel

Nach Art. 2 Nr. 2 der RCE-Richtlinie bedeutet Resilienz:

„Artikel 2

Begriffsbestimmungen

Für die Zwecke dieser Richtlinie bezeichnet der Ausdruck

2. ‚Resilienz‘ die Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen;“

Mit dieser ganzheitlichen Definition legt die RCE-Richtlinie einen klaren und umfassenden Rahmen fest: Von der Vorbeugung und dem Schutz bis zur ständigen Anpassung und vollständigen Erholung nach einem Zwischenfall.

Die einzelnen Tatbestandsmerkmale lassen sich in acht Phasen aufteilen, die auf alle Anforderzungen ganzheitlich anwendbar sind.

Dies wird Thema des nächsten Artikels sein.

Fazit: Zwischen Bürokratie und echter Resilienz

Die Vielzahl neuer Regelungen ist für Unternehmen zweifellos eine Herausforderung – zumal die Anforderungen nicht immer klar voneinander abgrenzbar sind. Gleichzeitig bieten sie aber auch die Chance, strukturelle Schwächen zu erkennen und gezielt in die eigene Sicherheitskultur zu investieren.

Für den Mittelstand in Deutschland, oft ohne eigene Compliance-Abteilungen oder CISOs, ist jetzt der richtige Zeitpunkt, um sich strukturiert mit der neuen Regulierungslage auseinanderzusetzen.

Der „Resilienzdschungel“ lässt sich durch einen praktischen, systematischen Leitfaden durchqueren – genau das ist das Ziel der folgenden Einzelbeiträge zu:

  • Resilienzmaßnahmen als einheitliche Vorgehensweise
  • NIS2: Wer ist betroffen und wie beginnt man mit der Umsetzung?
  • KRITIS-Dachgesetz: Resilienz als ganzheitliche Pflicht
  • Cyber Resilience Act: Technische Produktsicherheit neu gedacht
  • DORA: Finanzmarktregulierung trifft IT-Risikomanagement

Das könnte Sie auch interessieren