Viele Unternehmen betrachten Informationssicherheit immer noch als eine Disziplin, die irgendwo tief in der IT-Abteilung angesiedelt ist. Dort sitzen die Administratoren, die Passwortrichtlinien einführen, Firewalls konfigurieren, Updates einspielen und im Ernstfall versuchen, Angriffe abzuwehren. Diese Sichtweise hat sich über Jahrzehnte gehalten, weil IT-Sicherheit tatsächlich in den Serverräumen, Rechenzentren und Netzwerken beginnt. Doch sie ist gefährlich verkürzt – und im Jahr 2025 schlicht nicht mehr haltbar. Informationssicherheit ist längst keine rein technische Aufgabe mehr, sondern ein strategisches Kernthema, das das gesamte Unternehmen betrifft, von der Produktentwicklung über die Lieferkette bis hin zur externen Kommunikation. Und weil sie alle Bereiche betrifft, ist sie letztlich eine Führungsaufgabe, die an der Spitze beginnt und nicht delegierbar ist.

Warum die alte IT-Sicht nicht mehr reicht

Der Grund dafür ist einfach: Informationssicherheit schützt nicht nur Dateien auf Festplatten, sondern das Fundament des Unternehmens – seine Daten, Prozesse, Beziehungen und seinen Ruf. Wer glaubt, man könne diese Verantwortung komplett an die IT „auslagern“, verkennt zwei Realitäten. Erstens: Die meisten Sicherheitsvorfälle beginnen nicht mit einer komplizierten Zero-Day-Schwachstelle, sondern mit menschlichen Fehlern, organisatorischen Schwächen oder fehlender Priorisierung. Zweitens: Die juristische Verantwortung bleibt in der Unternehmensleitung. Wenn vertrauliche Kundendaten durch einen Angriff oder eine Unachtsamkeit abfließen, wird nicht nur der IT-Leiter befragt, sondern vor allem das Management. In regulierten Branchen wie dem Finanzwesen, im Gesundheitssektor oder bei Betreibern kritischer Infrastrukturen ist diese Verantwortung sogar ausdrücklich in Gesetzen und Aufsichtsregeln verankert.

„GRC“ war über Jahre ein Sammelbegriff, hinter dem sich vieles und damit oft zu wenig verbarg: Richtlinienbibliotheken, Risikomatrizen, Kontrollen-Kataloge, Auditkalender. Das war nützlich, aber selten spürbar wertschöpfend. Heute kippt die Perspektive. Märkte reagieren in Stunden, Lieferketten sind digital verschaltet, Vorfälle verbreiten sich viral, Regulierungen greifen tiefer in Produkte und Prozesse ein. In dieser Welt kann Governance, Risk & Compliance nicht mehr die Disziplin der Nachreichungen sein. Sie muss führen – durch Echtzeitfähigkeit, Anschluss an den operativen Takt und Investitionssteuerung. Genau das meint GRC Next: Governance als Betriebsleistung, die Risiken nicht nur inventarisiert, sondern Zeit gewinnt, Renditen schützt und Wachstum ermöglicht. Es ist der Schritt vom „ordnet“ hin zu „entscheidet“.

Warum das alte GRC an Grenzen stößt

Das klassische GRC versprach Kontrolle durch Vollständigkeit: jede Policy erfasst, jedes Risiko bewertet, jedes Kontrollziel beschrieben, jedes Audit geplant. In stabilen Umfeldern reichte das. Doch drei Entwicklungen haben dieses Modell überholt.

Mit der NIS2-Richtlinie rückt ein Aspekt besonders in den Fokus, der in vielen Unternehmen bisher unterschätzt wurde: die persönliche Haftung von Führungskräften. Während Cybersicherheit früher zu oft als „IT-Thema“ betrachtet wurde, macht NIS2 unmissverständlich klar: Die Verantwortung liegt an der Spitze – und sie lässt sich nicht delegieren. Das verändert Entscheidungswege, Prioritäten und auch die Art, wie über Risiken gesprochen wird.

Im Kern verpflichtet NIS2 Unternehmensleitungen, angemessene (und nachweisbar wirksame) Sicherheits- und Risikomanagementmaßnahmen zu etablieren, deren Umsetzung zu überwachen und ausreichende Ressourcen bereitzustellen. Unterbleibt dies, drohen nicht nur Unternehmenssanktionen, sondern auch persönliche Konsequenzen – zivilrechtlich, aufsichtsrechtlich und in Extremfällen strafrechtlich. Dieser Beitrag erklärt den rechtlichen Rahmen, typische Haftungsfallen, praxisnahe Schutzmechanismen und liefert konkrete Vorlagen, wie Leitungsgremien ihre Sorgfaltspflichten geordnet wahrnehmen und belegen können.

Wer DORA zum ersten Mal liest, stößt unweigerlich auf den Begriff ICT-Risikomanagement, im Deutschen meist als IKT-Risikomanagement bezeichnet. Er steht im Zentrum der gesamten Verordnung und ist weit mehr als nur eine formale Pflicht. Im Kern geht es darum, Risiken, die aus der Nutzung von Informations- und Kommunikationstechnologien entstehen, systematisch zu erkennen, zu bewerten, zu steuern und zu überwachen. Das klingt zunächst vertraut, denn Risikomanagement gehört schon lange zu den Aufgaben jedes regulierten Finanzunternehmens. Der entscheidende Unterschied unter DORA: Die Anforderungen werden einheitlich, detailliert und verbindlich für alle Marktteilnehmer definiert – und das auf einem Niveau, das deutlich über bisherige nationale Standards hinausgeht. Es reicht nicht mehr aus, einmal im Jahr eine Risikoübersicht zu erstellen oder Risiken vage zu kategorisieren. Gefordert ist ein kontinuierlicher, ganzheitlicher Ansatz, der tief in den täglichen Betrieb integriert ist und bis ins Top-Management hineinwirkt.

Was DORA als IKT-Risiko versteht

Das beginnt bei der Definition dessen, was überhaupt als IKT-Risiko gilt. DORA macht klar, dass es sich nicht nur um klassische Cyberangriffe handelt. Auch Systemausfälle, fehlerhafte Software-Updates, Konfigurationsfehler, Datenverluste, Störungen durch Dritte oder physische Schäden an Rechenzentren fallen darunter. Selbst Risiken aus der Lieferkette, etwa durch Ausfälle eines Cloud-Anbieters, eine kritische Schwachstelle in einer verbreiteten Bibliothek oder Sicherheitslücken in genutzter Standardsoftware, müssen erfasst werden. Das Ziel ist, alle Ereignisse, die die Funktionsfähigkeit kritischer Systeme oder die Verfügbarkeit wichtiger Daten beeinträchtigen können, systematisch zu berücksichtigen. Dabei sollen nicht nur technische Aspekte betrachtet werden, sondern auch organisatorische, personelle und prozessuale Faktoren. Ein System mag technisch sicher sein, doch wenn es keine klaren Eskalationswege im Störungsfall gibt, ist das Risiko dennoch hoch. DORA rückt damit das Zusammenspiel von Technik, Prozessen und Menschen ins Zentrum – also genau jene Schnittstellen, an denen es in der Praxis häufig knirscht.

Jede Organisation, egal ob kleines Start-up oder globaler Konzern, muss sich mit Risiken auseinandersetzen. Dabei geht es nicht nur um Cyberangriffe oder IT-Ausfälle, sondern um alles, was den Geschäftsbetrieb stören, den Ruf schädigen oder finanzielle Verluste verursachen kann. Die entscheidende Frage lautet: Wie viel Risiko ist akzeptabel – und ab wann wird es gefährlich?

Die Antwort darauf ist nicht so einfach, wie sie klingt. Ein Null-Risiko gibt es nicht, schon gar nicht in einer komplex vernetzten Welt. Jede Sicherheitsmaßnahme kostet Geld, Zeit und oft auch Komfort. Deshalb muss jedes Unternehmen den Punkt finden, an dem der Nutzen zusätzlicher Sicherheit den Aufwand rechtfertigt – und darüber hinaus erkennen, wann es besser ist, ein Risiko bewusst einzugehen, anstatt es um jeden Preis zu vermeiden.