Führung, Scope, Risiko – Entscheider‑ready in 14 Tagen​

HUG GmbH

Belege, die entscheiden – DORA/NIS2 für Dienstleister

Für Finanzunternehmen gilt die DORA (EU‑Verordnung 2022/2554). In Deutschland gilt außerdem das NIS2‑Umsetzungsgesetz (Novelle des BSI‑Gesetzes zur Umsetzung der EU‑Richtlinie 2022/2555). Wer als Dienstleister Leistungen der Informations‑ und Kommunikationstechnologie für Finanzunternehmen erbringt – von Cloud‑Software über Plattform‑ und Infrastrukturdienste bis hin zu Entwicklungs‑ und Betriebsleistungen, beschleunigt Sorgfaltsprüfungen, wenn wirksame Kontrollen mit belastbaren Belegen sichtbar werden. Diese Serie zeigt genau diese Belege.

kontakt
DORA/NIS2 für Dienstleister

Der Rechtsrahmen im kompakten Überblick​

  • DORA: EU‑weit einheitliche Anforderungen an Führung, Risikosteuerung, den Umgang mit Sicherheitsvorfällen, Tests und die Steuerung von Drittparteien.

 

  • Deutsches NIS2‑Umsetzungsgesetz: Einordnung in wichtige und besonders wichtige Einrichtungen, Aufsicht durch das Bundesamt für Sicherheit in der Informationstechnik, Pflichten zu Risikomanagement, Meldefristen (Erstinformation binnen 24 Stunden, weiterer Bericht binnen 72 Stunden), Lieferkette und Verantwortung der Leitung. Es drohen Bußgelder bis 10 Millionen Euro beziehungsweise bis zu zwei Prozent des weltweiten Umsatzes (besonders wichtig) sowie bis zu 7 Millionen Euro beziehungsweise bis zu 1,4 Prozent (wichtig).

Warum mit Führung, Geltungsbereich und Risikolage beginnen?

Bevor Fachabteilungen in Details zu Vorfällen, Lieferkette oder Tests einsteigen, wollen Entscheidungsträger drei Dinge sehen: gelebte Verantwortung, ein zum beauftragten Leistungsumfang passender Geltungsbereich des Informationssicherheits‑Managementsystems sowie eine aktuelle Risikolage der Informations‑ und Kommunikationstechnologie mit erkennbarer Wirkung der Maßnahmen. Diese drei Bausteine bilden Ihre Entscheidungsübersicht – die erste komprimierte Darstellung, auf der alles zusammenläuft.

1. Verantwortung sichtbar machen – Führung mit Wirkung

Worum es geht:Rollen, Entscheidungs‑ und Eskalationswege müssen klar beschrieben und nachweislich gelebt sein – von der Geschäftsführung über Informationssicherheit und Betrieb bis zu Stellvertretungen.

 

Belege, die zählen:

  • Ein aktuelles Governance‑Bild mit Rollen, Gremien und Eskalationswegen.
  • Zwei jüngere Protokolle aus Leitungssitzungen (zum Beispiel Managementbesprechung, Risikokomitee) mit konkreten Beschlüssen, Verantwortlichen und Fristen.
  • Nachweise verpflichtender Schulungen der Leitung.

 

Warum das überzeugt: Die Führungspflichten aus dem europäischen und nationalen Rechtsrahmen werden als gelebte Praxis sichtbar – kein Papiergebäude. Rückfragen zur Verantwortlichkeit erübrigen sich weitgehend.

2. Geltungsbereich des Informationssicherheits‑Managementsystems treffsicher definieren

Worum es geht:Der Geltungsbereich muss exakt die Systeme, Standorte und Unterauftragnehmer abdecken, mit denen die beauftragte Leistung erbracht wird. Zu breite Geltungsbereiche verwässern Verantwortung, zu schmale öffnen Lücken.

 

Belege, die zählen:

  • Ein gültiges Zertifikat nach ISO/IEC 27001:2022 mit klar ausgewiesenem Geltungsbereich oder eine begründete Maßnahmenauswahl bezogen auf ISO/IEC 27002.
  • Eine kompakte Skizze des Geltungsbereichs mit Leistungen, Systemen, Standorten, Datenflüssen, relevanten Unterauftragnehmern sowie den Schnittstellen zum Kunden.

 

Warum das überzeugt: Der Nachweis passt präzise zum Einkaufsvorhaben. Das häufigste Nein – ein Zertifikat am Bedarf vorbei – wird vermieden.

3. Risikolage mit Maß und Messbarkeit – Risiken, Ziele, Ergebnisse

Worum es geht: Eine aktuelle, leistungsbezogene Risikoübersicht mit definierter Risikotoleranz, belastbarem Maßnahmenstatus und belegter Wirkung.

 

Belege, die zählen:

  • Eine quartalsaktuelle Übersicht mit den wichtigsten Risiken je kritischer Leistung einschließlich Zielrisiko.
  • Ein konsolidiertes Maßnahmenboard mit Zuständigkeiten und Fristen.
  • Drei belastbare Wirksamkeitsbelege, zum Beispiel:
  1. Eine nachweisliche Reduktion kritischer Schwachstellen in einem definierten Zeitraum.
  2. Die termingerechte Einspielung von Sicherheitsaktualisierungen in priorisierten Zielgruppen.
  3. Ein erfolgreicher Wiederanlauf innerhalb der festgelegten Wiederanlauf‑Zielzeit und des Wiederherstellungs‑Zielpunkts.

 

Warum das überzeugt: Risiken werden nicht nur dokumentiert, sondern gesteuert – mit nachvollziehbaren Ergebnissen. Genau diese Verbindung aus Pflicht und Praxis schafft Vertrauen.

So greifen die Bausteine ineinander

Führung schafft Entscheidungs‑ und Eskalationsfähigkeit. Der Geltungsbereich legt fest, worauf diese Steuerung wirkt. Die Risikolage zeigt, ob die Maßnahmen tragen – und wo nachgeschärft werden muss. Das Ergebnis ist eine konsistente Entscheidungsübersicht, die Rückfragen antizipiert und den roten Faden für die nächsten Teile legt: Vorfälle, Lieferkette und Informationsregister, Resilienztests.

DORA/NIS2 für Dienstleister

Der 14‑Tage‑Plan zur entscheidungsreifen Entscheidungsübersicht

Tage 1 bis 4 – sichten und schärfen

  • Rollen, Stellvertretungen, Gremien und Eskalationswege aktualisieren, Lücken schließen.
  • Den Geltungsbereich mit Leistungs‑ und Systemlandschaft spiegeln.
  • Die wichtigsten Risiken je kritischer Leistung samt Risikotoleranz aktualisieren.

Tage 5 bis 9 – Belege kuratieren

  • Zwei Leitungssitzungen auswählen, die Verantwortung und Nachverfolgung belegen.
  • Den Geltungsbereich des Zertifikats oder die Maßnahmenauswahl auf einer Seite verdichten und um die Skizze des Geltungsbereichs ergänzen.
  • Das Maßnahmenboard konsolidieren, überfällige Punkte mit klaren Fristen und Zuständigkeiten versehen.

Tage 10 bis 14 – Wirkung zeigen

  • Drei Wirksamkeitsbelege auswählen und verständlich visualisieren (zum Beispiel als einfache Zeitreihe mit Ampellogik).
  • Die Entscheidungsübersicht fertigstellen – Governance‑Bild, Geltungsbereich, Risikolage mit Fortschritt.
  • Interne Probe aus Sicht von Einkauf und Informationssicherheit: letzte Rückfragen vorwegnehmen.

Selbstcheck vor dem Versand

  • Sind Verantwortung und Eskalationsweg dokumentiert – und belegen Protokolle Entscheidungen und deren Nachverfolgung?
  • Deckt der Geltungsbereich genau die beauftragte Leistung ab (Systeme, Standorte, Unterauftragnehmer, Schnittstellen)?
  • Liegen zu den wichtigsten Risiken konkrete Maßnahmen und drei aktuelle Wirksamkeitsbelege vor?
DORA/NIS2 für Dienstleister

Wie wir Sie unterstützen

Pragmatisch und ohne Overhead hinterfragen wir Ihre Governance‑Darstellung, den Geltungsbereich und die Risikolage in einem fokussierten 45‑Minuten‑Sparring und liefern ein priorisiertes Maßnahmenboard. Im Gespräch stellen wir eine Arbeitsvorlage für die Entscheidungsübersicht bereit. In einem zehntägigen Sprint kuratieren wir Belege, schließen Lücken und bereiten die Entscheidungsübersicht prüfsicher für die nächste Sorgfaltsprüfung auf.

DORA/NIS2 für Dienstleister

Ausblick auf Teil 2 – Betriebssicherheit und Vorfälle

Im nächsten Teil zeigen wir Ihnen, wie Sie von Protokollierung und Überwachung zu einem durchgängigen Prozess für Erkennung, Reaktion und Meldung gelangen – prüfsicher für die europäische Verordnung 2022/2554 sowie das deutsche Umsetzungsgesetz der Richtlinie 2022/2555, mit klaren Fristen und Rollen, ohne Doppelarbeit.

Kontakt
Nach oben scrollen