Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > NIS2, DORA und der EU AI Act: Warum europäische Unternehmen Mühe haben, Schritt zu halten

NIS2, DORA und der EU AI Act: Warum europäische Unternehmen Mühe haben, Schritt zu halten

von Marc ten Eikelder updated Juni 5, 2026 Regulatorische Compliance
Lesezeit: 8 Minuten

Europäische Unternehmen scheitern nicht an der Compliance mit gesetzlichen Vorgaben, weil es ihnen an Engagement fehlt. Sie scheitern, weil drei große regulatorische Rahmenwerke nahezu zeitgleich eingeführt wurden – mit sich überschneidenden, aber unterschiedlichen Anforderungen, uneinheitlichen Umsetzungsfristen in den Mitgliedstaaten und jeweils eigenen Dokumentations-, Prüf- und Nachweispflichten. Das Ergebnis ist eine Compliance-Landschaft, die nicht nur anspruchsvoll ist – sie ist strukturell nicht auf die Sicherheits- und Governance-Programme der meisten Unternehmen abgestimmt.

Auf der Span Cyber Security Arena-Konferenz bezifferte die Cybersecurity-Governance-Expertin Antonija Vojnović das Problem: 96 % der Finanzdienstleister in EMEA berichten, dass ihre Datenresilienz die Anforderungen von DORA noch nicht erfüllt. Das ist keine Statistik über die am wenigsten vorbereiteten Unternehmen. Es ist ein nahezu einhelliges Ergebnis in einer Branche, die seit Jahrzehnten erhebliche Ressourcen in Compliance investiert.

NIS2, DORA und der EU AI Act verfolgen ein gemeinsames Ziel – den Schutz von Unternehmen und der Personen, deren Daten sie verarbeiten, vor systemischen Cyber- und KI-Risiken. Sie operationalisieren dieses Ziel jedoch mit unterschiedlichen Geltungsbereichen, Nachweisanforderungen und Aufsichtsbehörden. Für Unternehmen, die allen drei Rahmenwerken unterliegen, vervielfacht sich der Compliance-Aufwand.

5 Wichtige Erkenntnisse

1. Drei zentrale EU-Regelwerke werden gleichzeitig durchgesetzt, mit jeweils nur teilweiser Orientierungshilfe.

Die Durchsetzung von NIS2 variiert je nach Mitgliedstaat. Die technischen Standards (RTS) von DORA werden noch finalisiert. Die Frist für Hochrisiko-Anwendungen des EU AI Act im August 2026 wird für bestimmte Kategorien verlängert. Unternehmen können nicht auf Klarheit warten – sie müssen jetzt eine Compliance-Infrastruktur aufbauen, obwohl sich die Anforderungen noch weiterentwickeln.

2. 96 % der Finanzdienstleister in EMEA erfüllen die Datenresilienz-Anforderungen von DORA nicht.

DORA ist kein Zielbild, sondern operativ bindend – mit klaren Vorgaben für das ICT-Risikomanagement, die Klassifizierung und Meldung von Vorfällen, die Überwachung von Drittanbietern und das Testen der digitalen Resilienz. Eine Misserfolgsquote von 96 % bedeutet, dass die Branche mit einem erheblichen Defizit startet – und die fehlenden Kontrollen sind genau die, die auch NIS2 und der EU AI Act verlangen.

3. Die Umsetzung von NIS2 unterscheidet sich erheblich zwischen den EU-Mitgliedstaaten.

Multinationale Unternehmen, die grenzüberschreitend tätig sind, stehen vor unterschiedlichen Prüfungsfristen, nationalen Behördenprozessen und möglicherweise abweichenden Auslegungen desselben Richtlinientextes. Die 24-Stunden-Pflicht zur Erstmeldung ist nicht flexibel – der Audit-Trail muss vor dem Vorfall existieren, nicht erst währenddessen erstellt werden.

4. Die Frist für Hochrisiko-Verarbeitung nach dem EU AI Act im August 2026 rückt näher – das Bewusstsein für KI-Datenabfluss ist gering.

Die EU-Investitionen in KI werden bis 2029 auf 290 Milliarden US-Dollar prognostiziert. Unternehmen, die nicht wissen, wo KI regulierte Daten verarbeitet, sind bereits im Rückstand – bei einer Pflicht, für deren Nichteinhaltung Bußgelder bis zu 7 % des weltweiten Jahresumsatzes drohen. Schatten-KI – Tools außerhalb des Governance-Rahmens – ist relevant, da das Gesetz eine dokumentierte KI-Inventarisierung als Grundvoraussetzung fordert.

5. Die architektonische Lösung ist eine Plattform, die Compliance-Nachweise für alle drei Rahmenwerke gleichzeitig generiert.

NIS2, DORA und der EU AI Act verlangen jeweils Zugriffskontrollen, verschlüsselte Datenverarbeitung, Vorfallprotokollierung und Audit-Trails. Unternehmen, die diese Kontrollen einmalig in einer einheitlichen Plattform umsetzen, erfüllen alle Anforderungen – ohne drei separate Nachweisketten, die Kosten und Prüfungsrisiko vervielfachen.

Welche Data-Compliance-Standards sind entscheidend?

Jetzt lesen

Was NIS2 von europäischen Unternehmen tatsächlich verlangt

NIS2 erweitert die ursprüngliche Richtlinie über Netz- und Informationssysteme auf Energie, Transport, Finanzinfrastruktur, Gesundheit und digitale Infrastruktur – und führt eine direkte persönliche Haftung der Geschäftsleitung bei Compliance-Verstößen ein. Geschäftsführende und leitende Angestellte in betroffenen Unternehmen können für systematische NIS2-Verstöße persönlich haftbar gemacht werden. Damit ist Cybersecurity-Governance von der IT-Abteilung auf die Vorstandsebene gerückt.

Zu den wesentlichen Anforderungen der Richtlinie gehören technische und organisatorische Maßnahmen, die dem Risiko angemessen sind – mit besonderem Fokus auf Lieferkettensicherheit, Zugriffskontrolle und verschlüsselte Kommunikation. Unternehmen müssen nationale Behörden innerhalb von 24 Stunden nach Bekanntwerden eines schwerwiegenden Vorfalls benachrichtigen und innerhalb von 72 Stunden einen detaillierten Bericht vorlegen.

Die 24- und 72-Stunden-Meldepflichten sind der operative Engpass. Um sie einzuhalten, müssen Audit-Logs und Zuordnungsnachweise bereits vor einem Vorfall vorhanden sein – nicht erst währenddessen erstellt werden. Unternehmen, die auf verstreute Systemprotokolle aus verschiedenen Plattformen – E-Mail, Dateitransfer, Cloud-Speicher, Managed File Transfer – angewiesen sind, um eine Vorfallkette zu rekonstruieren, werden feststellen, dass 24 Stunden sehr schnell vergehen, wenn sie mit Log-Aggregation statt mit Vorfallanalyse beschäftigt sind.

NIS2-Compliance ist auch eine Verpflichtung für die Lieferkette. Betroffene Unternehmen müssen sicherstellen, dass ihre kritischen ICT-Dienstleister gleichwertige Sicherheitsstandards erfüllen – durch Lieferantenbewertungen, vertragliche Sicherheitsanforderungen und die Fähigkeit, nachzuweisen, dass die Compliance auch auf Drittparteien ausgeweitet wird.

Was DORA verlangt, was die meisten Finanzunternehmen noch nicht erfüllen

DORA gilt für auf EU-Ebene regulierte Finanzunternehmen – Banken, Investmentfirmen, Versicherungen, Zahlungsinstitute und deren kritische ICT-Dienstleister – und schafft einen einheitlichen Rahmen für digitale Resilienz im EU-Finanzsektor. Im Gegensatz zu NIS2, das Mindestanforderungen setzt und den Mitgliedstaaten zusätzliche Vorgaben erlaubt, ist DORA eine Verordnung, keine Richtlinie. Die Anforderungen gelten unmittelbar und einheitlich in allen EU-Mitgliedstaaten.

Die 96 % Misserfolgsquote in EMEA zeigt die Lücke zwischen DORAs operativen Erwartungen und der bisherigen Struktur des ICT-Risikomanagements in den meisten Finanzinstituten. DORA verlangt ein umfassendes ICT-Risikomanagement, das Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung abdeckt. Unternehmen müssen ICT-Vorfälle nach DORA-Kriterien klassifizieren und schwerwiegende Vorfälle innerhalb festgelegter Fristen melden.

DORAs Anforderungen an die Risikominderung erstrecken sich darauf, wie Finanzinstitute Daten während der Übertragung und im ruhenden Zustand in ihren Betriebsprozessen behandeln. Die verschlüsselten Managed File Transfer-Systeme, über die Finanzinstitute sensible Daten mit Geschäftspartnern, Aufsichtsbehörden und Dienstleistern austauschen, müssen DORAs Sicherheitsstandards erfüllen. Viele Unternehmen stellen fest, dass ihre bestehende MFT-Infrastruktur, die auf Performance und nicht auf Compliance ausgelegt ist, nicht die Audit-Tiefe bietet, die DORA fordert.

DORAs Vorgaben zum Drittparteienrisiko verlangen von Finanzunternehmen, ein Register aller ICT-Dienstleister für kritische oder wichtige Funktionen zu führen, Sorgfaltspflichten zu erfüllen, spezifische Vertragsklauseln zu Sicherheit und Vorfallmeldung aufzunehmen und die laufende Überwachung der Dienstleister nachzuweisen. Für Unternehmen, die bisher auf informelle Lieferantenbeziehungen gesetzt haben, ist der Aufbau dieses Registers und der erforderlichen Vertragsstruktur ein mehrmonatiges Projekt.

Warum der EU AI Act in eine bereits überforderte Umgebung kommt

Der EU AI Act fügt der durch NIS2 und DORA bereits belasteten Compliance-Landschaft eine dritte Dimension hinzu. Die Anforderungen an Hochrisiko-KI-Systeme – etwa im Personalwesen, bei Kreditentscheidungen, Bildung, Strafverfolgung und kritischer Infrastruktur – umfassen Risikomanagementsysteme, Daten-Governance, Transparenz und menschliche Kontrolle, geregelt durch einen eigenen Rechtsrahmen mit eigenen Durchsetzungsmechanismen.

Vojnovićs Beobachtung – dass das Bewusstsein für KI-Datenabfluss durch Unternehmens-KI-Tools gering ist – ist entscheidend. Unternehmen, die dem EU AI Act unterliegen, müssen nicht nur die von ihnen eingesetzten KI-Systeme steuern, sondern auch KI, die über eingebettete Funktionen in Unternehmenssoftware, Drittanbieter-Integrationen und von Mitarbeitern genutzte Tools in die Umgebung gelangt. Das Schatten-KI-Problem ist relevant, weil das Gesetz eine dokumentierte KI-Inventarisierung als ersten Schritt fordert, bevor weitere Pflichten erfüllt werden können.

Das Problem der sich überschneidenden Nachweise

Die besondere Herausforderung im NIS2-DORA-EU AI Act-Umfeld ist nicht, dass die Anforderungen einzeln betrachtet unzumutbar wären. Das Problem ist operativ: Um alle drei gleichzeitig zu erfüllen, müssen Nachweise in drei regulatorischen Sprachen, aus drei technischen Systemen, für drei separate Prüfprozesse generiert werden.

NIS2 verlangt Nachweise für Vorfallerkennung und -meldung. DORA fordert Dokumentation zum ICT-Risikomanagement und Protokolle zur Vorfallklassifizierung. Der EU AI Act verlangt Risikoanalysen für KI-Systeme und Dokumentation zur Daten-Governance. Die zugrunde liegenden Kontrollen – Zugriffprotokollierung, verschlüsselte Datenverarbeitung, Audit-Trails, Vorfallreaktionsprozesse – sind weitgehend identisch. Das Problem: Die meisten Unternehmen haben diese Kontrollen isoliert implementiert – ein Log für E-Mail, ein weiteres für Dateitransfer, ein drittes für Cloud-Speicher, ohne einheitlichen Nachweis, der alle drei Rahmenwerke aus einer zentralen Quelle bedient.

Zero-trust-Architektur löst dieses Problem, indem jeder Datenzugriff und jede Datenbewegung als Richtlinienentscheidung behandelt wird, die authentifiziert, autorisiert, zugeordnet und protokolliert werden muss. In einer zero trust-Umgebung ist der Audit-Trail kontinuierlich und lückenlos – und liefert die Nachweise, die NIS2 für Vorfallmeldungen, DORA für das ICT-Risikomanagement und der EU AI Act für die Daten-Governance verlangt, aus einer einzigen, konsistent zugeordneten Quelle.

Was sich durch den Unified Platform-Ansatz ändert

Die Kiteworks-Plattform bietet NIS2-Compliance, DORA-Compliance und DSGVO-Compliance aus einer einzigen Architektur. FIPS 140-3-validierte Verschlüsselung, ABAC-basierte Zugriffskontrollen und manipulationssichere Audit-Logs gelten für jede Datenbewegung – sichere E-Mails, SFTP, Managed File Transfer und sicheres Filesharing – über dieselbe Policy Engine und denselben Audit-Trail.

Für DORA sind Nachweise zur Klassifizierung von ICT-Vorfällen, Kommunikationsprotokolle mit Drittparteien und Zugriffsdokumentation, die Aufsichtsbehörden bei einer DORA-Prüfung verlangen, bereits im Kiteworks-Audit-Trail vorhanden. Für NIS2 werden die 24-Stunden-Erstmeldung und die 72-Stunden-Detailmeldung beherrschbar, wenn der Audit-Trail bereits existiert. Für den EU AI Act steuern der Kiteworks Secure MCP Server und das AI Data Gateway, auf welche Daten KI-Agents zugreifen können, und protokollieren jede Interaktion im selben manipulationssicheren Audit-Trail wie menschliche Interaktionen.

Das Ziel ist nicht, jede Regulierung als separates Projekt zu behandeln. Das Ziel ist, die Sicherheits- und Governance-Infrastruktur, die alle drei Rahmenwerke gemeinsam verlangen, einmalig aufzubauen und daraus die Nachweise für jedes einzelne zu generieren. Das Kiteworks Private Data Network ist diese Grundlage.

Erfahren Sie mehr darüber, wie Sie Compliance mit diesen und weiteren Datenschutzgesetzen nachweisen können – vereinbaren Sie eine individuelle Demo.

Häufig gestellte Fragen

NIS2 ist eine Richtlinie – EU-Mitgliedstaaten müssen sie in nationales Recht umsetzen, was zu unterschiedlichen Umsetzungsfristen führt. Sie gilt für Energie, Transport, Finanzinfrastruktur und digitale Dienste. DORA ist eine Verordnung, gilt unmittelbar und einheitlich in allen EU-Mitgliedstaaten und richtet sich speziell an Finanzunternehmen. Für Finanzinstitute, die beiden Regelwerken unterliegen, gibt es Überschneidungen. Wer Kontrollen nach dem höchsten gemeinsamen Standard umsetzt – manipulationssichere Audit-Logs, verschlüsselte Datenverarbeitung, Überwachung von Drittanbietern – reduziert den doppelten Aufwand in beiden Programmen.

Finanzunternehmen müssen ein Register aller ICT-Dienstleister für kritische Funktionen führen, mit Verträgen zu Sicherheitsstandards, Vorfallmeldungen, Audit-Rechten und Datenstandort. Zudem müssen sie die laufende Überwachung gegenüber Aufsichtsbehörden nachweisen. Die größte Lücke ist meist nicht die Vertragssprache, sondern die Nachweiserbringung – also die Protokolle, die die laufende Überwachung belegen, nicht nur der vertragliche Wortlaut. Drittparteien-Programme, die sich auf vertragliche Compliance ohne operative Überwachung stützen, sind bei einer DORA-Prüfung strukturell angreifbar.

Der 2. August 2026 ist das Durchsetzungsdatum für Hochrisiko-KI-Systeme, mit gestaffelten Verlängerungen – 16 Monate für neue oder wesentlich geänderte Annex-III-Systeme, 12 Monate für KI, die in EU-Produktsicherheitsvorschriften eingebettet ist. Unabhängig von diesen Fristen gilt die Grundanforderung – die Inventarisierung aller KI-Systeme und Risikoklassifikationen – ab dem 2. August. Bußgelder bei Nichteinhaltung können bis zu 7 % des weltweiten Jahresumsatzes betragen. Unternehmen, die noch kein KI-System-Audit begonnen haben, sind bereits im Rückstand.

Identifizieren Sie Kontrollen, die alle drei Rahmenwerke verlangen, und implementieren Sie diese einmalig in einer einheitlichen Architektur. Zugriffskontrollen, verschlüsselte Datenverarbeitung, Vorfallprotokollierung und Audit-Trails sind für alle drei erforderlich – in unterschiedlicher Terminologie, aber mit ähnlichen technischen Maßnahmen. Eine Plattform, die diese Kontrollen einmalig umsetzt – mit ABAC-Steuerung, FIPS-validierter Verschlüsselung und manipulationssicherer Protokollierung – liefert die Nachweise, die jedes Rahmenwerk aus einer zentralen Quelle fordert. Die für DORAs ICT-Risikomanagement aufgebaute Daten-Governance erfüllt auch die Meldepflichten von NIS2 und die Governance-Anforderungen des EU AI Act.

Starten Sie mit Kontrollen, die den größten Nachweisumfang generieren: Zugriffprotokollierung für jede Datenbewegung mit Identitätszuordnung und Zeitstempel, verschlüsselte Kommunikation über alle Kanäle und einen dokumentierten Vorfallreaktionsplan mit getesteten Meldeverfahren. Diese drei Maßnahmen liefern Compliance-relevante Nachweise für die NIS2-Meldepflicht, DORAs ICT-Vorfallklassifizierung und die operativen Überwachungspflichten des EU AI Act gleichzeitig. Die Inventarisierung von KI-Systemen sollte parallel erfolgen – zu wissen, welche KI in Ihrer Umgebung aktiv ist, ist Voraussetzung für alle weiteren Pflichten nach dem AI Act.

Weitere Ressourcen

  • Blogbeitrag Der Kampf um Ihre Daten: Wie CLOUD und SHIELD Act Sicherheit und Datenschutz gegeneinander ausspielen
  • Blogbeitrag Sensible Daten schützen: So hilft DSPM bei Ihren Compliance-Zielen
  • Kurzüberblick Die 3 häufigsten FERPA-Verstöße und wie Sie sie vermeiden
  • Blogbeitrag Executive Order 14117: Schutz sensibler personenbezogener Massendaten von US-Bürgern
  • Blogbeitrag Sie benötigen NIS2-Compliance? Starten Sie mit ISO 27001

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks