Die regulatorischen Anforderungen an Cybersicherheit steigen – und mit ihnen die Komplexität der Meldepflichten. Wer gleichzeitig unter die EU-Verordnung DORA und die NIS2-Richtlinie fällt, steht vor einer besonderen Herausforderung: Fristen, Meldewege und Empfänger unterscheiden sich teils erheblich.
Wie lassen sich diese Pflichten sinnvoll verzahnen?
DORA: Gilt seit Januar 2025 direkt für Finanzunternehmen. Sicherheitsvorfälle sind nur noch an die BaFin zu melden.
NIS2: Noch nicht in deutsches Recht umgesetzt, aber verbindlich, mit Meldepflichten an das BSI.
Gerade dort, wo Unternehmen als Dienstleister für kritische Infrastrukturen und zugleich für regulierte Finanzunternehmen tätig sind, drohen Meldeüberschneidungen.
Ohne klare Governance entstehen mitunter Fristversäumnisse, Mehraufwand und Aufsichtsrisiken.
Zuständig: ISB / CISO
Tipp: Verankern Sie Meldepflichten und eine Eskalationslogik verbindlich im ISMS. Rollen, Zuständigkeiten und Entscheidungswege sollten dokumentiert und regelmäßig überprüft werden.
Zuständig: IT-Betrieb, ISB / CISO, Risikomanagement (OpRisk)
Tipp: Nutzen Sie ein einheitliches Vorfallklassifikationsschema, das DORA- und NIS2-relevante Kriterien berücksichtigt und überleitet.
Zuständig: IT-Betrieb, ISB / CISO
Tipp: Integrieren Sie Fristen und Formate in Ihr Ticketsystem oder eine SOAR-Plattform (Security Orchestration, Automation and Response (Sicherheitsorchestrierung, Automatisierung und Reaktion). Das spart Zeit im Ernstfall.
Zuständig: IT-Betrieb, Unternehmenskommunikation, ISB / CISO
Tipp: Richten Sie ein 24/7-Funktionspostfach als technische Kontaktstelle ein. Die operative Meldeverantwortung sollte gesondert geregelt sein.
Zuständig: ISB/ CISO, HR
Tipp: Üben Sie regelmäßig, mindestens einmal jährlich reale Meldekaskaden mit zeitkritischen Vorfällen, inklusive Eskalationswegen.
Empfehlung: Trennen Sie klar zwischen technischer Erreichbarkeit (Kontaktstelle), operativer Meldeverantwortung und strategischer Steuerung. Diese Aufgaben müssen integriert, aber nicht vermischt werden – etwa durch ein etabliertes ISMS mit Eskalationsmatrix.
Weniger melden ist keine Lösung – klüger melden schon. Mit einer abgestimmten Governance-Struktur lassen sich Doppelmeldungen vermeiden, Fristen einhalten und Aufwände reduzieren – bei voller Aufsichtssicherheit.
Im nächsten Teil: Worauf bei der Einbindung von IKT-Drittanbietern zu achten ist.
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von hCaptcha laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von Turnstile laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Google Maps. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von hCaptcha laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
