Die EU verfolgt mit zwei zentralen Regulierungen – der NIS-2-Richtlinie und DORA – das Ziel, Cybersicherheit und digitale Widerstandsfähigkeit in Unternehmen zu verankern. Beide sind keine freiwilligen Standards, sondern rechtlich durchsetzbare Anforderungen. Die ursprüngliche NIS-Richtlinie nahm Versorger und Betreiber kritischer Dienste wie Energie und Wasser, Verkehr, Gesundheit oder Cloud in die Pflicht. Sie müssen geeignete organisatorische und technische Schutzmaßnahmen einführen und sicherstellen, dass gravierende Sicherheitsvorfälle gemeldet werden.

NIS-2 hat den Geltungsbereich deutlich ausgeweitet – unter anderem auf Postdienste, Entsorgungswirtschaft und Hersteller kritischer Produkte – und die Anforderungen verschärft. In Deutschland wird dies durch das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) geregelt, das im Herbst 2025 in Kraft treten soll.

DORA ist dagegen für den Finanzsektor konzipiert: Banken, Versicherer, Zahlungsdienstleister und auch deren IT-Dienstleister müssen ihre digitale Betriebsstabilität nachweisen können. Dazu schreibt DORA unter anderem ein umfassendes Risikomanagement für Informations- und Kommunikationstechnologien (IKT), standardisierte Meldungen bei Cybervorfällen, regelmäßige Belastungs- und Penetrationstests sowie klare Regeln für das Auslagern von IT-Diensten vor. In Deutschland gilt hierfür das Finanzmarktdigitalisierungsgesetz (FinmadiG), das Ende 2024 veröffentlicht wurde und inzwischen wirksam ist.

Der Kern der Vorgaben

NIS-2 und DORA greifen ineinander: Beide setzen auf überprüfbare, auditierbare und systemische Sicherheitsmaßnahmen, die nicht punktuell, sondern dauerhaft etabliert sein müssen.

• NIS-2 legt Schwerpunkte auf Kryptografie, Zugriffskontrollen, Authentifizierung und Kommunikationssicherheit.
• DORA reguliert insbesondere IKT-Risikomanagement, Schlüssel- und Kommunikationssicherheit sowie die Kontrolle externer Dienstleister.

Für Unternehmen bedeutet das: Prozesse und IT-Infrastrukturen müssen umfassend auf den Prüfstand, häufig grundlegend angepasst und dauerhaft dokumentiert werden. Wer die Vorgaben ignoriert, riskiert nicht nur Sicherheitslücken, sondern auch hohe Sanktionen.

Kryptografische Verfahren und Verschlüsselung

Verschlüsselung wird gleichermaßen von NIS-2 (Art. 21) und DORA (Art. 5 und Art. 9) gefordert. Beide Regulierungen verlangen definierte Konzepte, eine sichere Implementierung und den Schutz sensibler Schlüsselmaterialien. Zur Erfüllung dieser Vorgabe ist eine Public Key Infrastructure (PKI) unerlässlich, die das Fundament für digitale Identitäten bereitstellt – für Benutzer, Geräte und Systeme. Sie ist die Basis für zertifikatsbasierte Authentifizierung, Verschlüsselung und digitale Signaturen und schafft Vertrauen in die Kommunikation.

In Kombination mit einem Hardware Security Module (HSM) und einem Key Management System (KMS) entsteht ein technisch robustes und regulatorisch überprüfbares Setup: Das HSM speichert kryptografische Schlüssel in physisch geschützten Umgebungen und führt sensible Krypto-Operationen sicher aus. Das KMS ermöglicht die zentrale Verwaltung, Rotation und Zugriffskontrolle von kryptografischen Schlüsseln im operativen Betrieb, und zwar unabhängig davon, ob sie lokal, in der Cloud oder im HSM liegen. Das Zusammenspiel der Systeme ermöglicht einen nachvollziehbaren, kontrollierten und automatisierten Einsatz von Verschlüsselung, genau, wie von den Verordnungen gefordert.

Zugriffskontrolle und Multifaktor-Authentifizierung

Auch Zugriffskontrolle und MFA werden ebenfalls von beiden Regelwerken verlangt – bei NIS-2 (Art. 21 (2) i + j) und bei DORA  (Art. 5 Abs. 2 lit. a, c und Art. 6 Abs. 4 lit. b). Der Zugriff auf IT-Systeme muss klar geregelt, nachvollziehbar und abgesichert erfolgen. Idealerweise geschieht dies auf Basis einer starken Authentifizierung, mindestens aber über MFA. In diesem Fall stellt ein Credential Management System (CMS) zentrale Funktionen bereit: Es verwaltet physische oder virtuelle Identitätsträger (zum Beispiel Smartcards oder USB-Tokens) unternehmensweit und ermöglicht deren sichere Ausgabe, Nutzung und Sperrung.

Das CMS steuert Richtlinien wie PIN-Vergabe und sperrt verlorene Medien. Es stellt eine zentrale Komponente innerhalb des Identity and Access Managements (IAM) dar. Mit einer zertifikatsbasierten Authentifizierung, die durch die PKI bereitgestellt wird, entsteht eine starke, phishing-resistente Multifaktor-Authentifizierungsstruktur. Diese Kombination erfüllt die regulatorischen Forderungen nach sicherem Zugriff, Benutzeridentifikation und rollenbasierter Kontrolle und bietet dennoch eine hohe Benutzerfreundlichkeit.

Zertifikats- und Schlüsselmanagement

Diese Anforderungen sind in NIS-2 (Art. 21 (2) h) sowie in DORA (Art. 8 Abs. 2 lit. a, e und Art. 21 Abs. 1 lit. d) niedergelegt. Kryptografische Materialien müssen kontrolliert, aktuell und nachvollziehbar verwaltet werden, und zwar über ihren gesamten Lebenszyklus hinweg. Hier kommen das Certificate Lifecycle Management (CLM) und das Key Management System zum Einsatz. Das CLM steuert den kompletten Lebenszyklus digitaler Zertifikate von der Ausstellung über Erneuerung bis zur Sperrung und dem Widerruf – automatisiert und auditierbar. Es ist ein zentrales Element eines unternehmensweiten kryptografischen Konzepts für das Lifecycle-Management von kryptografischem Schlüsselmaterial.

CLM und KMS übernehmen die automatisierte Ausstellung, Erneuerung, Sperrung und Überwachung von Zertifikaten und Schlüsseln. In Kombination mit einem Credential Management System (CMS) entsteht ein vollständiges Bild über alle digitalen Identitäten im Unternehmen. Die Systeme gewährleisten nicht nur Verfügbarkeit und Integrität, sondern auch Compliance durch Reporting- und Auditfunktionen.

Sichere Kommunikation und Fernzugriff

Sowohl nach NIS-2 (Art. 21 Abs. 2 j) als auch nach DORA (Art. 5 Abs. 2 lit. b, f und Art. 9 Abs. 2 lit. a) müssen Unternehmen ihre Kommunikationswege absichern, intern wie extern. Besonders relevant ist das in hybriden Arbeitsmodellen und bei Remote-Zugängen. Eine PKI ermöglicht die Ausstellung von Zertifikaten für verschlüsselte Verbindungen, etwa TLS, S/MIME oder VPN. Diese Zertifikate lassen sich direkt in Endgeräte, Browser oder Mailprogramme einbinden und über ein Certificate Lifecycle Management (CLM) zentral verwalten. So sind nicht nur sichere Kommunikationskanäle möglich, auch deren Integrität und Ausfallsicherheit lässt sich technisch nachweisen.

Auditierbarkeit und Nachvollziehbarkeit

Die Pflicht zur Dokumentation ergibt sich bei NIS-2 (implizit in Art. 21 Abs. 2 i + j) ebenso wie bei DORA (Art. 8 Abs. 2 lit. f, Art. 11 Abs. 1–2). Ohne Dokumentation gibt es weder Prüfbarkeit noch eine belastbare Verteidigungsgrundlage. Nachvollziehbarkeit ist daher ein Kernelement beider Regelwerke. Systeme wie CLM, CMS und KMS liefern hierfür umfassende Protokollierungs- und Auditfunktionen. Jede Ausstellung von Zertifikaten, jeder Zugriff mit Credentials und jede Schlüsselnutzung kann lückenlos aufgezeichnet und ausgewertet werden – intern zur Analyse oder extern als Nachweis gegenüber Aufsichtsbehörden. Unternehmen bauen damit eine überprüfbare Sicherheitsarchitektur auf, die im Ernstfall auch Reputationsverluste verhindern kann.

Die technologischen Bausteine und ihr Zusammenspiel

Diese fünf Systeme, Public Key Infrastructure, Hardware Security Module, Key Management System, Credential Management System und Certificate Lifecycle Management bilden nicht nur die Basis für eine belastbare Sicherheitsarchitektur für die Unternehmens-IT, sie entsprechen auch den Anforderungen der Regulatorik. Sie schützen Daten, Prozesse und Systeme und erlauben gleichzeitig klare Verantwortlichkeiten und eine Auditierbarkeit, wenn sie ineinandergreifen. Denn für die Erfüllung der Anforderung sind eben keine isolierten Tools oder Prozesse sinnvoll, sondern vielmehr ein systematischer Ansatz, in dem funktionale Technologien interagieren.

Fazit

NIS-2 und DORA markieren einen Wendepunkt in der Regulierung von Cybersicherheit: Sie machen aus Empfehlungen bindende Pflichten. Unternehmen müssen ihre Strukturen und Systeme so aufstellen, dass sie Angriffe abwehren, Störungen verkraften und die Einhaltung der Vorgaben belegen können. Dabei reicht es nicht, einzelne Tools einzusetzen – erforderlich ist ein ganzheitlicher, auditierbarer Ansatz. Das gelingt mit einer Sicherheitsarchitektur, die bekannte und bewährte Komponenten wie PKI, HSM, CLM oder CMS vereint.

Über den Autor: Dr. Michael Jahnich ist Director Cybersecurity Systems bei der achelos GmbH.