NeuStrompreise vergleichen und günstigeren Stromanbieter findenzum Stromvergleich
8°C
25. June 2026
alle Vergleiche
Register Now
Business

NIS-2, DORA und EU AI Act: Wie Risikomanager regulatorische Verdichtung in einen strategischen Vorteil verwandeln

Tobias

Tobias

  • Juni 1, 2026
  • 6 min read
  • 332 Views
NIS-2, DORA und EU AI Act: Wie Risikomanager regulatorische Verdichtung in einen strategischen Vorteil verwandeln

Der Druck auf den Mittelstand hat in den vergangenen zwei Jahren eine neue Qualität angenommen. Nicht etwa, weil ein einzelnes Gesetz besonders schwierig wäre, sondern weil gleich mehrere Regelwerke mit großer operativer Wirkung nahezu gleichzeitig in Kraft treten oder ihre volle Schärfe entfalten. NIS-2, der EU AI Act und DORA bilden zusammen ein regulatorisches Dreieck, das Compliance-Verantwortliche, Geschäftsführer und Vorstände vor eine Aufgabe stellt, die sich mit klassischen Verwaltungsroutinen so nicht mehr bewältigen lässt. Wer jetzt methodisch ans Werk geht, kann daraus einen messbaren Wettbewerbsvorteil ziehen.

Drei Regelwerke, ein operatives Problem

Die NIS-2-Richtlinie verpflichtet seit Oktober 2024 eine deutlich größere Zahl von Unternehmen zur Umsetzung technischer und organisatorischer Maßnahmen für Cyber-Resilienz. Der persönliche Haftungsrahmen für Geschäftsleitungen wurde dabei erheblich ausgeweitet. Parallel dazu wird der Finanzsektor ab Januar 2025 mit dem Digital Operational Resilience Act (DORA) belastet, der detaillierte Anforderungen an IKT-Risikomanagement, Incident-Reporting und das Drittanbieterrisiko stellt. Der EU AI Act, der ab 2026 schrittweise verpflichtend wird, erfordert für Hochrisiko-KI-Systeme eine nachvollziehbare Governance-Struktur, die aber ohne funktionierendes Risikomanagement nicht zu erreichen ist.

Das operative Problem liegt doch nicht in der Akzeptanz einzelner Anforderungen. Das Problem liegt in der Gleichzeitigkeit. Viele Mittelständler haben weder eigene Compliance-Abteilungen noch genügend Personal, das in der Lage ist, drei hochkomplexe Regelwerke gleichzeitig zu bearbeiten. Die Ressourcen werden fragmentiert, die Zuständigkeiten werden unklar, die Dokumentation wir schlampt und am Ende steht man bei einer Prüfung oder einem Schadensereignis rechtlich exponiert da.

Vom Verwalter zum Strategen: Methodik als Befreiungsschlag

Hier setzt modernes Risikomanagement: vom Verwalter zum Strategen an. Die Kernaussage dieses Ansatzes lautet: Risikomanagement nicht als abschreckende Dokumentation Übung verstehen, sondern als Steuerungsinstrument, das dem Management belastbare Entscheidungsgrundlagen bietet.

Für methodische Vorgaben können die internationale Norm ISO 31000 und die dazu veröffentlichte Guidance in Anspruch genommen werden. Dort wird Risikomanagement als integrierter Prozess beschrieben, der Risikoidentifikation, Bewertung, Behandlung und Monitoring in einen Kreislauf eingebettet und auf die strategischen Ziele der Organisation ausrichtet. Was ISO 31000 konzeptionell vorgibt, lässt sich mit einem strukturierten Management Framework leicht in konkrete Prozessschritte übersetzen. Der Vorteil: Unternehmen, die NIS-2, DORA und den EU AI Act nicht isoliert, sondern über ein gemeinsames Risikoframework „abhandeln“, sparen erheblich Bearbeitungsaufwand und schaffen sich gleichzeitig eine auditfähige Dokumentationsstruktur.

Ein durchdachtes Risikomanagementsystem (RMS) ermöglicht es, Cyberrisiken nach NIS-2, IKT-Ausfallrisiken nach DORA und KI-Systemrisiken nach dem AI Act in einer einheitlichen Risikomatrix zu erfassen und zu priorisieren. Die Überschneidungen werden sichtbar, doppelte Maßnahmen vermieden, und das Management erhält eine Konsolidierung der Risikolage statt isolierte Complianceberichte.

Die persönliche Haftung und die Business Judgment Rule

Ein Punkt wird dabei gerne unterschätzt. NIS-2 und DORA regeln nicht nur organisatorische Dinge, sie wenden sich direkt an die Geschäftsleitung. Verletzung der Pflichten führt zur persönlichen Haftung, gleichgültig, ob die Führungskraft operativ überhaupt in die Entscheidung involviert war.

Der rechtliche Schutzschirm für Entscheidungsträger heißt Business Judgment Rule. Sie schützt Vorstände und Geschäftsführer vor Haftung für unternehmerische Fehlentscheidungen unter der Voraussetzung, dass die Entscheidung auf einer hinreichenden Informationsgrundlage, ohne Interessenkonflikte und zum Wohle der Gesellschaft getroffen wurde. Wer nachweisen kann, dass er ein nach allen Regeln der Methodik aufgebautes und funktionierendes Risikomanagementsystem betrieben und auf dessen Grundlage entschieden hat, der steht erheblich besser da.

Wesentlich ist das Wort „nachweisen“. Im Streitfall trägt die Führungskraft die Beweislast dafür, dass die Entscheidungsgrundlage sachgerecht war. Ein strukturiertes, dokumentiertes Risikomanagementsystem ist in dieser Situation kein allgemeines Qualitätsmerkmal, sondern ein konkret beizubringendes Beweismittel. Fehlt die Dokumentation, greift die Business Judgment Rule schlicht nicht ein, auch wenn die Entscheidung inhaltlich sachgerecht gewesen wäre.

Die zertifizierte Sachkunde im Risikomanagement spielt hierbei eine sehr konkrete Rolle. Sie dokumentiert, daß der Entscheidungsträger die notwendige Fachgrundlage hat, regulatorische Anforderungen wie MaRisk, StaRUG oder die EBA-Leitlinien zur IKT und Sicherheitsrisiken zu kennen, einzuordnen und in operative Entscheidungen zu übersetzen. Das ist kein akademischer Formalismus. Das ist der Schritt, der im Haftungsfall den Unterschied macht, weil er belegt, daß die Entscheidungsgrundlage nicht aus dem Bauchgefühl, sondern aus einer anerkannten fachlichen Methodik heraus gewachsen ist.

S+P Risikomanager-Lehrgänge 2026 und die S+P Tool Box

Wer das Risikomanagementsystem seines Unternehmens strukturiert aufbauen oder auf den aktuellen regulatorischen Stand bringen möchte, findet in den S+P Risikomanager-Lehrgängen 2026 ein praxisnahes Qualifizierungsangebot. Die Lehrgänge sind auf Senior-Management-Niveau konzipiert und vermitteln theoretische Grundlagen und sofort anwendbare Methoden.

Ein zentrales Element ist die S+P Tool Box, die vorgefertigte Instrumente bietet, um Risikoanalysen nach MaRisk, StaRUG und den aktuellen EBA-Leitlinien zu dokumentieren. Das bedeutet in der Praxis: Weniger Zeit für den Aufbau von Templates und Strukturen, mehr Zeit für die inhaltliche Arbeit. Die im Lehrgang erarbeiteten Ergebnisse können direkt in die operative Arbeit überführt werden. Das Zertifikat am Ende des Lehrgangs ist kein Papiertiger. Es bescheinigt die Sachkunde für ein zeitgemäßes Risikomanagement, das digitale Resilienz nach NIS-2 und DORA, KI-Governance nach dem EU AI Act und klassische betriebswirtschaftliche Risikosteuerung integrierend denkt. Für Unternehmen in regulierten Märkten oder über einer gewissen Größenordnung ist das eine nachprüfbare Qualifikationsgrundlage.

Risikomanagement als Steuerungsinstrument: Drei Ansätze

Wenn wir Risiken aufgrund der NIS-2, DORA oder KI immer noch in verschiedenen Silos dokumentieren, nutzen wir viel zu viele Synergien nicht. Eine zentrale Risikoliste, die alle regulatorischen Anforderungen auf eine einheitliche Bewertungslogik herunterbricht, spart Ressourcen und schafft Überblick. Der praktikable Ansatz liegt darin, Risikokategorien so zu definieren, dass sie mehrere Regelwerke gleichzeitig abdecken. Ein Ausfall kritischer IT-Infrastruktur ist nicht nur ein NIS-2-Tatbestand und ein DORA-relevantes IKT-Risiko, sondern auch dann ein AI-Act-relevanter Vorfall, wenn KI-Systeme betroffen sind. Wer von vornherein Überschneidungen dieser Art in seiner Risikoarchitektur berücksichtigt, der vermeidet Doppelarbeit, minimiert Dokumentationsaufwand und schafft eine Datenbasis, aus der das Management die konsolidierte Risikolage ablesen kann, statt drei Dokumente nebeneinanderlegen zu müssen. Risikoberichte managementtauglich aufbereiten. Ein Risikomanagementsystem, das nur für die Compliance-Abteilung produziert, verfehlt sein strategisches Ziel. Berichte müssen so gestaltet sein, dass Vorstände und Geschäftsführer darauf basierend operative Entscheidungen treffen können. Dazu müssen Risiken nicht nur beschrieben, sondern auch quantifiziert werden, mit Eintrittswahrscheinlichkeiten, Schadenspotenzialen und Gegenmaßnahmen.

Dokumentation als Haftungsschutz verstehen. Jede wesentliche Risikoentscheidung muss nachvollziehbar dokumentiert sein: Welche Informationen lagen vor? Welche Handlungsoptionen wurden erwogen? Warum wurde die gewählte Maßnahme bevorzugt? Diese Dokumentationslogik ist genau das, was die Business Judgment Rule zur Voraussetzung für den Haftungsausschluss verlangt.

Unternehmen, die jetzt in ein methodisch sauberes Risikomanagementsystem investieren, schaffen keine Bürokratie. Vielmehr schaffen sie Klarheit, Entscheidungssicherheit und eine nachweisbare Schutzmauer für die am Ruder stehenden Personen.

Tobias
About Author

Tobias

Tobias Friedrich, Jahrgang 1971, lebt mit seiner Familie in Berlin. Er absolvierte ein Studium im Bereich Wirtschaftsrecht und arbeitet seither als unabhängiger Journalist. Im Laufe seiner Karriere verfasste er Artikel für renommierte Zeitungen wie die Frankfurter Allgemeine und die Süddeutsche Zeitung.

Sinnvolle Sprüche zum 70. Geburtstag: Inspiration für eine besondere Feier
Letzter Beitrag

Filme und Serien von Drew Starkey: Ein Blick auf seine beeindruckende Karriere und Rollen
Nächster Beitrag

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ähnliche Artikel

KI als Innovationstreiber – wie wird sich der Arbeitsmarkt verändern?
TobiasTobias

KI als Innovationstreiber – wie wird sich der Arbeitsmarkt verändern?

Künstliche Intelligenz (KI) hat in den letzten Jahren einen enormen Einfluss auf verschiedene Bereiche genommen.

Business
Mai 12
4 min read
Werbeschilder, die wirken: Wie Außenschilder in der Werbetechnik den Unterschied machen
TobiasTobias

Werbeschilder, die wirken: Wie Außenschilder in der Werbetechnik den Unterschied machen

Ein Werbeschild ist weit mehr als nur ein Mittel, um den Namen Deines Unternehmens nach außen zu

Business Technik
August 12
4 min read
Automatisierung von Geschäftsprozessen durch RPA
TobiasTobias

Automatisierung von Geschäftsprozessen durch RPA

Einer der revolutionärsten Ansätze zur Geschäftsautomatisierung ist die robotergestützte Prozessautomatisierung (RPA). Wie genau verändert RPA

Business Technik
August 13
4 min read