KRITIS, NIS2, DORA: Eine Landkarte der Pflichten – ohne Nebel und Buzzwords

KRITIS, NIS2, DORA: Eine Landkarte der Pflichten – ohne Nebel und Buzzwords

KRITIS, NIS2, DORA – drei Kürzel, die in vielen Unternehmen gerade gleichzeitig aufschlagen. Und fast immer passiert dabei dasselbe: Es wird erst mal gesammelt. Anforderungen, Pflichten, Leitfäden, Listen, Zuständigkeiten. Dann entstehen Workstreams. Dann entstehen Überschneidungen. Und irgendwann stellt jemand die richtige Frage: „Moment – was davon betrifft uns wirklich, und wie vermeiden wir Doppelarbeit?“

Dieser Beitrag ist eine Landkarte. Nicht im Sinne eines juristischen Kommentars, sondern als Orientierung für Praktiker: Welche Themen liegen wo, was ist ähnlich, was ist wirklich anders – und welche Entscheidungen sollten Sie früh treffen, damit Sie nicht ein Jahr lang parallel aneinander vorbeiarbeiten. Ich vermeide bewusst Nebelbegriffe. Stattdessen arbeite ich mit einem einfachen Prinzip: Pflichten sind nur dann hilfreich, wenn sie sich in einen betrieblichen Ablauf übersetzen lassen.

Das wichtigste Missverständnis gleich am Anfang: KRITIS, NIS2 und DORA sind keine drei Varianten derselben Sache. Sie haben Überschneidungen, ja. Aber sie wurden für unterschiedliche Zielgruppen und unterschiedliche Risikorealitäten gebaut. Wenn man das nicht akzeptiert, macht man entweder zu viel (teuer, zäh, ungeliebt) oder zu wenig (Audit- und Aufsichtsstress).

Damit die Landkarte funktioniert, brauchen wir zwei einfache Blickrichtungen. Erstens: Für wen gilt was? (Branche, Rechtsraum, Rolle im Markt.) Zweitens: Was ist der Kernmechanismus? (Schutz, Meldung, Steuerung, Nachweis, Resilienz.) Wenn Sie diese zwei Fragen sauber beantworten, wird vieles automatisch klarer.

1) Der schnelle Überblick: Worum es in den drei Regimen im Kern geht

KRITIS (vereinfacht gesagt) betrachtet kritische Infrastrukturen: Die Gesellschaft soll auch dann funktionieren, wenn es Störungen gibt. KRITIS ist damit sehr stark am „Versorgungsauftrag“ orientiert und setzt häufig an Mindeststandards, Meldewegen und konkreter Schutzorganisation an.

NIS2 ist breiter und stärker als NIS1: Es adressiert eine große Menge an „wichtigen“ und „wesentlichen“ Einrichtungen, setzt Erwartungen an Sicherheitsmaßnahmen, Verantwortlichkeit und Meldung. Es ist weniger „Sektor-Sonderwelt“ als KRITIS, aber dafür mit einer klaren Erwartung: Sicherheit und Resilienz sind Chefsache und müssen im Betrieb funktionieren.

DORA ist wiederum sehr spezifisch: Finanzsektor und dessen IKT-Risiken – mit einem starken Fokus auf operative Resilienz, Nachweise, Tests und Drittparteiensteuerung. DORA fragt weniger: „Habt ihr ein ISMS?“ und mehr: „Kann das Unternehmen Störungen und Abhängigkeiten beherrschen – und kann es das belegen?“

Wenn Sie es als Bild mögen: KRITIS ist stark auf „Versorgungsschutz“ und strukturierte Sicherheitsorganisation ausgerichtet, NIS2 ist die breite „Sicherheits- und Governance-Schicht“ für viele Branchen, und DORA ist die „Resilienz- und Nachweismaschine“ für den Finanzsektor.

2) Die erste Landkarten-Achse: Geltungsbereich ohne Panik

Die häufigste Ursache für Nebel ist nicht Unwissen, sondern Unsicherheit: „Sind wir betroffen?“ und „Wenn ja, wie stark?“ Hier hilft eine pragmatische Vorgehensweise, die ohne stundenlange Legal-Diskussionen auskommt.

Frage A: In welchem Sektor sind wir unterwegs?
Wenn Sie klar im Finanzsektor unterwegs sind (oder dort als Dienstleister tief eingebunden), ist DORA sehr wahrscheinlich relevant – entweder direkt oder indirekt, weil Kunden die Anforderungen in Verträge, Kontrollen und Nachweise drücken. Wenn Sie in vielen anderen Sektoren sind, ist NIS2 häufig der dominante Rahmen. Wenn Sie in kritischen Versorgungsbereichen sind, können KRITIS-Logiken zusätzlich greifen.

Frage B: Welche Rolle haben wir in der Wertschöpfung?
Viele Unternehmen sind nicht „Regulierte“, aber sie sind Teil der Lieferkette. Das ist praktisch oft fast genauso relevant: Wenn Ihr Kunde reguliert ist, werden Sie über Third-Party-Anforderungen, Audits, Mindeststandards und Eskalationswege in die Pflicht genommen. Das ist keine Paragrafenfrage, sondern eine Marktrealität. Wer zentrale IT-Services liefert, kann sich der Erwartung nicht entziehen.

Frage C: Welche Services sind kritisch?
Unabhängig vom Rechtsrahmen: Kritische Services sind der Punkt, an dem Aufsicht, Audit und Betrieb zusammenkommen. Wenn Sie diese Services sauber identifizieren und steuern, können Sie Pflichten viel leichter bündeln.

Das klingt banal, ist aber in vielen Unternehmen der Unterschied zwischen „wir sind betroffen“ und „wir wissen, was wir tun müssen“.

3) Die zweite Landkarten-Achse: Themenblöcke, die wirklich zählen

Statt Pflichten in Paragraphen zu sortieren, sortieren wir sie in sechs Themenblöcke. Diese sechs Blöcke decken in der Praxis 90% dessen ab, was später im Audit und im Betrieb zählt. Und sie zeigen sehr klar, wo Überschneidungen liegen – und wo echte Unterschiede beginnen.

Block 1: Governance & Verantwortlichkeit
Alle drei Regime wollen Verantwortlichkeit. Der Unterschied liegt in der Schärfe und in der Erwartung an Sichtbarkeit. NIS2 betont Managementverantwortung sehr deutlich. DORA erwartet nicht nur Verantwortlichkeit, sondern auch eine Steuerungslogik, die in Kennzahlen, Tests und Nachweisen sichtbar wird. KRITIS ist stark in konkreter Sicherheitsorganisation und Mindeststandards, oft mit klaren Melde- und Schutzpflichten.

Praktischer Schluss: Wenn Sie heute Governance aufsetzen, designen Sie sie nicht als „Gremium“, sondern als Entscheidungsmechanik: Wer entscheidet, wer eskaliert, wie wird dokumentiert, wie werden Maßnahmen verfolgt. Damit bedienen Sie alle drei Welten mit derselben Grundlogik.

Block 2: Risikomanagement & Maßnahmen
ISO-Logik (Risiko → Maßnahme → Wirksamkeit) passt grundsätzlich gut. Der Unterschied ist, worauf der Fokus liegt. DORA will IKT-Risiken sehr betriebsnah sehen: Abhängigkeiten, Resilienz, Tests. NIS2 will ein robustes Sicherheitsniveau und erwartet, dass Risiken in Entscheidungen und Schutzmaßnahmen übersetzt werden. KRITIS ist häufig sehr konkret in Mindestmaßnahmen und Schutzorganisation.

Praktischer Schluss: Halten Sie das Risikoregister nicht als Verwaltung. Verankern Sie Risiko an drei Decision Points: Go-Live kritischer Services, wesentliche Provider-Änderungen, schwere Incidents. Das macht Risiko „wirksam“ und reduziert Papier.

Block 3: Incident Handling & Meldewesen
Hier entstehen im Alltag die meisten Probleme, weil es schnell, unangenehm und öffentlich werden kann. NIS2 und KRITIS haben klare Erwartungen an Meldung und Umgang mit Vorfällen. DORA hat zusätzlich eine ausgeprägte Nachweis- und Prozesssicht, die stark auf End-to-end-Fähigkeit zielt: erkennen, einstufen, kommunizieren, wiederherstellen, lernen – und das alles sauber dokumentiert.

Praktischer Schluss: Bauen Sie Incident Management nicht als „IT-Prozess“, sondern als Service-Prozess. Entscheidend sind Auswirkung, Entscheidungspunkte, Kommunikationsfreigaben und Maßnahmenverfolgung. Wenn das sauber ist, wird Meldewesen deutlich einfacher, weil die Informationen nicht gesucht werden müssen.

Block 4: Drittparteien & Lieferkette
Das ist der Block, in dem DORA besonders „zieht“. DORA betrachtet Third-Party Risk nicht als Fragebogen-Thema, sondern als betrieblichen Steuerungstakt: Reviews, Eskalation, Exit/Notbetrieb, Nachweise. NIS2 adressiert Lieferkette ebenfalls stark, oft als Erwartung an sichere Beschaffung und laufende Steuerung. KRITIS kann je nach Sektor zusätzliche, konkrete Vorgaben an Dienstleisterbeziehungen nach sich ziehen.

Praktischer Schluss: Für kritische Provider brauchen Sie einen wiederkehrenden Review-Takt und eine getestete Eskalationslogik. Bewertung ist nicht Steuerung. Wenn Sie das einmal als Standard eingeführt haben, können Sie es für alle Rahmenwerke wiederverwenden.

Block 5: Kontrollen, Nachweise, Auditfähigkeit
DORA macht „prüfbar“ zu einem echten Kernprinzip. NIS2 und KRITIS verlangen ebenfalls Nachweise, aber DORA zwingt viele Organisationen dazu, das Thema professioneller aufzuziehen: Evidenzpakete, klare Ablage, schnelle Auffindbarkeit. Die typische Falle ist, dass Unternehmen Nachweise als separate Welt pflegen. Das funktioniert kurzfristig, ist aber teuer und bricht unter Last.

Praktischer Schluss: Definieren Sie Evidenzpakete nach Betriebsereignissen: Incident-Paket, Provider-Review-Paket, Test-/Übungspaket, Change-Paket für kritische Services, Management-Entscheidungspaket. Wenn diese Pakete sitzen, sind Audits deutlich ruhiger – unabhängig davon, ob es um NIS2, KRITIS oder DORA geht.

Block 6: Tests, Übungen, Verbesserung
KRITIS kennt in vielen Bereichen Übungen und Nachweislogik. NIS2 verlangt, dass Maßnahmen wirksam sind und Sicherheitsniveau erhalten bleibt. DORA geht besonders weit in Richtung strukturiertes Testen operativer Resilienz (und in Teilen sehr anspruchsvoll). In der Praxis scheitert es selten daran, dass man „nie übt“, sondern daran, dass Übungen zu wenig Ergebnislogik haben: Was war das Ziel, was ist das Ergebnis, welche Maßnahmen folgen, wann wird nachgetestet?

Praktischer Schluss: Übungen müssen nicht groß sein. Tabletop-Übungen können sehr wirksam sein, wenn sie konsequent in Maßnahmen und Re-Tests übersetzt werden. Das ist die einfache Brücke zwischen Pflicht und echter Verbesserung.

4) Eine Landkarte, die Sie sofort in Ihrer Organisation nutzen können

Wenn Sie das Thema intern sauber erklären wollen, hilft eine sehr einfache Darstellung: Sie sagen nicht „wir müssen NIS2 und DORA umsetzen“, sondern: „Wir bauen ein stabiles Betriebs- und Nachweissystem, das diese Rahmenwerke bedient.“ Dann ordnen Sie Ihre Arbeit in drei Ebenen:

Ebene 1: Gemeinsamer Kern
Alles, was Sie sowieso brauchen: klare Verantwortlichkeit, saubere Incident-Kette, Risiko in Decision Points, kontrollierte Changes, Grundschutzmaßnahmen, Management-Review mit Entscheidungen, definierte Evidenzablage.

Ebene 2: Schärfungen je Rahmenwerk
DORA schärft besonders: Drittparteiensteuerung, Resilienztests, Nachweis- und Evidenzlogik, teils detaillierte Prozessanforderungen.
NIS2 schärft besonders: Managementverantwortung, organisatorische Maßnahmen und Meldelogik, breite Abdeckung über viele Unternehmenstypen hinweg.
KRITIS schärft besonders: sektorale Mindestanforderungen und Schutzorganisation, häufig mit sehr konkreten Pflichten je kritischer Infrastruktur.

Ebene 3: Nachweispakete
Nicht „noch ein Dokument“, sondern Pakete, die zeigen: Entscheidung → Umsetzung → Ergebnis. Diese Ebene macht im Audit den Unterschied, weil sie zeigt, dass Sie nicht nur planen, sondern betreiben.

Das ist eine Landkarte, die Praktiker sofort verstehen – und die verhindert, dass jede Einheit ihre eigene Liste baut.

5) Was Sie vermeiden sollten (weil es fast immer zu Chaos führt)

„Drei Programme parallel“
Wenn Sie KRITIS, NIS2 und DORA als getrennte Programme mit eigenen Kontrollen, eigenen Reportings und eigener Evidenz aufsetzen, gewinnen Sie kurzfristig Struktur – und verlieren langfristig Kontrolle. Sie erzeugen Widersprüche, doppelte Nachweise und Frust. Besser ist ein gemeinsames Operating Model mit klaren Schärfungen.

„Alles ist kritisch“
Wenn alles kritisch ist, ist nichts steuerbar. Kritikalität ist ein Instrument zur Priorisierung. Ohne Priorisierung wird jede Pflicht zur Dauerlast. Legen Sie klare Kriterien fest, und halten Sie die Liste der wirklich kritischen Services und Provider bewusst klein und belastbar.

„Nachweise nachträglich sammeln“
Das ist der Klassiker: Im Betrieb passiert viel, im Audit wird gesammelt. Das kostet Zeit, produziert Lücken und erzeugt Misstrauen. Nachweise müssen aus dem Prozess entstehen. Das ist weniger Arbeit, wenn man es einmal sauber gestaltet.

6) Ein realistischer Start: 5 Schritte, die Ordnung in Wochen bringen (nicht in Jahren)

Wenn Sie das Thema jetzt pragmatisch in den Griff bekommen wollen, empfehle ich einen kurzen, fokussierten Einstieg, der in vielen Organisationen funktioniert, ohne den Betrieb zu blockieren.

• Schritt 1: Kritische Services definieren (Owner, Ausfalltoleranz, wichtigste Abhängigkeiten).
• Schritt 2: Drittparteien-Liste daraus ableiten (Top-Provider, die an kritischen Services hängen).
• Schritt 3: Incident-Kette schließen (Auswirkung, Entscheidung, Kommunikation, Maßnahmen, Ablage als Paket).
• Schritt 4: Evidenzorte festlegen (ein Ort pro Nachweispaket, klares Benennungsschema).
• Schritt 5: Einen Steuerungstakt etablieren (monatlich kurz: Risiken/Maßnahmen; quartalsweise: Provider-Reviews; halbjährlich: Übung + Re-Test).

Sie werden sehen: Sobald diese fünf Schritte greifen, wird die „Regulatorik-Diskussion“ ruhiger. Nicht, weil Pflichten verschwinden, sondern weil Sie sie an ein System hängen, das ohnehin funktioniert.

7) Schlussgedanke: Die beste Landkarte ist die, die im Alltag benutzt wird

Regulatorische Rahmenwerke wirken schnell groß und abstrakt. In der Praxis gewinnt aber fast immer derjenige, der sie auf Betrieb herunterbricht: klare Services, klare Verantwortlichkeiten, klare Entscheidungspunkte, klare Nachweise. Wenn Sie KRITIS, NIS2 und DORA so verstehen, wird aus „drei Baustellen“ eine gemeinsame Struktur mit wenigen Schärfungen. Und genau das ist am Ende das Ziel: weniger Nebel, weniger Buzzwords – mehr Steuerung, die auch dann trägt, wenn es stressig wird.