Es gibt Momente, in denen Regulierung nicht nur Regeln setzt, sondern eine ganze Organisation in den Spiegel schauen lässt. DORA und NIS2 sind genau solche Momente. Die eine Verordnung richtet sich mitten ins Herz der Finanzwelt und macht digitale Resilienz zur Chefsache. Die andere spannt den Bogen über große Teile der europäischen Wirtschaft und hebt Cybersicherheit auf ein neues, sektorübergreifendes Niveau. Zusammen erzeugen sie einen Druck, der weit über Checklisten hinausreicht: Governance wird zur Bewährungsprobe. Nicht mehr die Frage, ob Richtlinien existieren, sondern ob Steuerung messbar wirkt, entscheidet darüber, wie belastbar ein Unternehmen wirklich ist.

Der Doppeldruck: Zwei Wellen, ein Kernproblem

Viele Häuser erleben gerade zwei Wellen gleichzeitig. Von DORA her rollt die Erwartung, digitale Betriebsfähigkeit selbst unter Störung nachweislich zu sichern – mit Risikomanagement, Meldung, Tests und streng geführter Lieferkette. Von NIS2 her wächst der Anspruch, Cyberrisiken querschnittlich zu beherrschen – vom Vorstand über Technik bis hin zu Partnern und Dienstleistern. Auf den ersten Blick zwei Welten; in Wahrheit ein Kernproblem: Führung unter Unsicherheit. Wer beide Rahmen ernst nimmt, erkennt schnell: Governance ist nicht die Summe von Einzelanforderungen, sondern ein lebendes System, das Ziele, Risiken, Kontrollen, Daten und Entscheidungen miteinander verzahnt – und zwar so, dass man es jederzeit belegen kann.

Wer digitale Produkte in Europa verkaufen will, kennt das Spiel mit der CE-Kennzeichnung: technische Unterlagen zusammenstellen, Konformität erklären, Label aufkleben, fertig. Zumindest war es lange so. Mit dem Cyber Resilience Act (CRA) beginnt eine neue Ära. Das CE-Zeichen bleibt, doch sein Inhalt wandelt sich grundlegend. Neben elektrischer Sicherheit, EMV und Produkthaftung rückt nun Cybersicherheit in den Mittelpunkt – nicht als freiwillige Beigabe, sondern als zwingende Marktzutrittsbedingung.

Dieser Text erklärt – ohne Angst, aber ohne Beschönigung – was das praktisch bedeutet. Er richtet sich an Produktmanager, CTOs, Compliance-Verantwortliche, Gründerinnen und Gründer, Einkäufer und Integratoren. Er erzählt, wie man vom ersten Architekturentwurf bis zur letzten Seriennummer CE-fähig bleibt, warum die Dokumentation plötzlich strategisch wird, wieso Vulnerability-Handling und Meldepflichten zu einem neuen „Betriebssystem“ für Hersteller werden – und an welchen Stellen Unternehmen erfahrungsgemäß stolpern. Alles in flüssigem Text, mit punktuellen Einschüben dort, wo es das Verständnis erleichtert.

Ein Audit ist für viele Unternehmen wie eine Mischung aus Zahnarzttermin und Bewerbungsgespräch: Man weiß, dass es wichtig ist, man weiß, dass es nicht ausbleibt – und trotzdem sorgt der Gedanke daran bei manchen für Nervosität. Ob es sich um ein ISO-27001-Audit, eine BSI-Prüfung, eine NIS2-Überprüfung, ein Lieferantenaudit oder ein internes Review handelt: Audits sind keine reinen Kontrollübungen, sondern strukturierte Chancen, die eigene Organisation auf den Prüfstand zu stellen, Schwachstellen zu erkennen und Verbesserungen einzuleiten. Der Schlüssel zum Erfolg liegt in der Vorbereitung – und zwar nicht nur in der Dokumentenpflege, sondern vor allem in der mentalen und organisatorischen Einstellung des gesamten Teams. Wer Audits als wiederkehrenden Prozess begreift, dem gelingt etwas Entscheidendes: Prüfungen werden kalkulierbar, vorhersehbar und produktiv.

Was wird eigentlich geprüft? Auditarten, Erwartungen, Spielregeln

Bevor man in das „Wie“ der Vorbereitung einsteigt, hilft ein klarer Blick auf das „Was“. Ein Zertifizierungsaudit (z. B. ISO 27001) verifiziert, ob das Managementsystem normkonform geplant, umgesetzt, überwacht und verbessert wird. Ein Überwachungsaudit prüft in kürzerem Takt die Wirksamkeit und die Beibehaltung des Niveaus. Rezertifizierungen gehen wieder tiefer. BSI-Prüfungen oder aufsichtsrechtliche Reviews (z. B. MaRisk, MaGO, BAIT/VAIT/DORA-Bezüge) haben teilweise andere Schwerpunkte, bleiben methodisch aber ähnlich: Es wird anhand von Dokumenten, Interviews und Stichproben beurteilt, ob Prozesse wie beschrieben funktionieren und Risiken im Griff sind. Kunden- und Lieferantenaudits fokussieren zusätzlich die Vertragserfüllung, Informationssicherheit in der Lieferkette und Servicequalität.

Stell dir vor, dein Auto kennt dich besser als deine Werkstatt. Dein Staubsauger weiß, wie du wohnst. Deine Armbanduhr kennt deine Fitnesskurve, deinen Stresslevel und manchmal sogar deinen Schlafrhythmus präziser als du selbst. All diese Geräte erzeugen Daten – über dich, durch dich, mit dir. Bisher lagen diese Daten oft in den Silos der Hersteller: schwer zugänglich, teils in intransparenten Formaten, vertraglich eingeschlossen. Mit dem EU Data Act will Europa das ändern. Der Slogan klingt verheißungsvoll: „Deine Daten, deine Wahl.“ Aber was bedeutet das konkret für Verbraucherinnen und Verbraucher? Welche Vorteile verspricht das Gesetz – und wo lauern Fallstricke?

Dieser Artikel führt dich durch die Chancen und Risiken des Data Act aus Kundensicht. Ohne Juristendeutsch, aber mit Substanz. Mit vielen Beispielen aus dem Alltag – vom smarten Auto über die vernetzte Küche bis zur Cloud, die plötzlich nicht mehr festgeschraubt ist. Und mit einem Blick darauf, was du schon heute vorbereiten kannst, um die neuen Rechte wirklich zu nutzen.

In vielen Unternehmen ist Security Awareness ein Pflichtprogramm, das Mitarbeitende mit derselben Begeisterung erwarten wie eine Steuerprüfung. Jedes Jahr eine Pflichtschulung, ein paar Folien, vielleicht ein Multiple-Choice-Test am Ende – und fertig. Das Problem: Diese Form von Sensibilisierung erreicht selten ihr Ziel. Im besten Fall haken die Teilnehmenden sie ab, im schlimmsten Fall sorgt sie für kollektives Augenrollen und den Eindruck, dass Sicherheit nur Bürokratie ist. Dabei ist Security Awareness einer der entscheidendsten Faktoren für die Informationssicherheit überhaupt. Die meisten Sicherheitsvorfälle haben menschliche Ursachen – sei es ein Klick auf einen schädlichen Link, das Teilen sensibler Daten oder das Ignorieren von Sicherheitswarnungen. Wenn Awareness-Programme nicht hängen bleiben, bleiben Lücken offen, die keine Firewall der Welt schließen kann.

Der Schlüssel zu wirksamer Awareness liegt darin, die Perspektive zu wechseln: weg von der Pflichtveranstaltung, hin zu einer Erfahrung, die relevant, verständlich und einprägsam ist. Genau das verlangt ein didaktisches Re-Design: Storytelling statt Paragrafen, Rollenrelevanz statt Gießkanne, Interaktion statt Vorlesen, Kontinuität statt Jahresmarathon, Vorbild statt Verordnung – und Messbarkeit statt Bauchgefühl.