Cyber Resilience
⚖️

NIS2 & DORA Compliance

NIS2- und DORA-Compliance für KRITIS-Betreiber und Finanzinstitute – Gap-Analysen, Readiness Assessments und Risikomanagement-Frameworks.

NIS2-Check starten Alle Cyber Resilience Services

Was wir bieten

NIS2 Gap-Analysen & Readiness Assessments
DORA ICT Risk Management Framework
Incident Response & Reporting
Third-Party Risk Management
Business Continuity Planning
Cybersecurity Governance
Audit-Vorbereitung & Dokumentation
Kontinuierliche Compliance-Überwachung

NIS2 & DORA – Compliance als Chance

Die neuen EU-Regularien NIS2 und DORA setzen neue Maßstäbe für Cybersecurity und Resilienz. Wir helfen Ihnen, compliant zu werden – pragmatisch und ohne Overengineering.

Was ist NIS2?

Die NIS2-Richtlinie (Network and Information Security) verpflichtet KRITIS-Betreiber und wichtige Dienstleister zu höheren Cybersecurity-Standards:

  • Erweiterter Anwendungsbereich – Mehr Branchen betroffen
  • Strengere Anforderungen – Risikomanagement, Incident Response, Supply Chain Security
  • Meldepflichten – Sicherheitsvorfälle innerhalb von 24h melden
  • Persönliche Haftung – Geschäftsführung trägt Verantwortung

Was ist DORA?

Der Digital Operational Resilience Act richtet sich an Finanzinstitute (Banken, Versicherungen, Payment Provider):

  • ICT Risk Management – Umfassendes IT-Risikomanagement
  • Incident Reporting – Strukturierte Meldeprozesse
  • Third-Party Risk – Strikte Anforderungen an Dienstleister
  • Testing – Regelmäßige Penetration Tests und Resilience-Tests

Unser Ansatz

Phase 1: Gap-Analyse

Wo stehen Sie heute? Was fehlt für Compliance?

  • As-Is Assessment Ihrer aktuellen Cybersecurity-Posture
  • Mapping zu NIS2/DORA-Anforderungen
  • Priorisierung der Maßnahmen

Phase 2: Roadmap & Umsetzung

Pragmatische Implementierung der notwendigen Maßnahmen:

  • Risikomanagement-Framework
  • Incident Response Playbooks
  • Supply Chain Risk Management
  • Technische Schutzmaßnahmen (Zero Trust, MFA, Monitoring)

Phase 3: Dokumentation & Audit

Compliance nachweisen:

  • Vollständige Dokumentation aller Maßnahmen
  • Audit-Support
  • Kontinuierliche Überwachung und Anpassung

Typische Maßnahmen

Governance & Prozesse:

  • Cybersecurity-Richtlinien & Policies
  • Incident Response & Crisis Management
  • Business Continuity & Disaster Recovery
  • Schulungen & Awareness

Technische Umsetzung:

  • Zero Trust Architecture
  • Multi-Faktor-Authentifizierung (MFA)
  • Security Monitoring & SIEM
  • Vulnerability Management
  • Backup & Recovery

Third-Party Management:

  • Vendor Risk Assessments
  • SLA-Vereinbarungen mit Security-Anforderungen
  • Kontinuierliches Monitoring kritischer Dienstleister

Warum alfatier?

  • Pragmatisch – Wir implementieren, was nötig ist – nicht mehr
  • Technisch fundiert – Keine Berater-Folien, sondern echte Umsetzung
  • Erfahrung – Wir kennen die Frameworks und Tools
  • End-to-End – Von der Gap-Analyse bis zur Audit-Begleitung

Häufige Fragen

Ist mein Unternehmen von NIS2 betroffen?

NIS2 betrifft Unternehmen in 18 definierten Sektoren (u. a. Energie, Transport, Gesundheit, digitale Infrastruktur, IT-Dienstleister) ab 50 Mitarbeitenden oder 10 Mio. Euro Jahresumsatz. Auch kleinere Unternehmen können betroffen sein, wenn sie als kritisch eingestuft werden. Wir prüfen Ihre Betroffenheit in einem kostenlosen Erstgespräch.

Was ist der Unterschied zwischen NIS2 und DORA?

NIS2 ist eine branchenübergreifende EU-Richtlinie für Cybersicherheit bei kritischen und wichtigen Einrichtungen. DORA (Digital Operational Resilience Act) richtet sich spezifisch an den Finanzsektor und regelt die digitale Betriebsresilienz von Banken, Versicherungen und Finanzdienstleistern. Beide können gleichzeitig gelten.

Welche Strafen drohen bei Nicht-Compliance?

NIS2 sieht Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes vor (je nachdem, welcher Betrag höher ist). Bei DORA können Bußgelder bis zu 1 % des durchschnittlichen Tagesumsatzes betragen. Zusätzlich haften Geschäftsführer persönlich für die Umsetzung.