Zum Inhalt springen
Horizon Scanner
Demo buchen

Für wen

CISO

DORA, NIS2 und die IKT-Drittparteien-Pflichten gleichzeitig im Blick — jede neue RTS, jede ESA-Q&A, jede nationale Umsetzung klassifiziert und an Ihr Security-Team geroutet, am Tag der Veröffentlichung. Damit die 4-Stunden-Meldeuhr nie an veralteten Vorgaben scheitert.

Stand:

Ihre Realität

Sie verantworten die digitale operationale Resilienz eines Finanzinstituts: das IKT-Drittparteienregister, die Sub-Outsourcing-Kette bis Stufe N, das Major-Incident-Reporting binnen vier Stunden, Threat-Led Penetration Testing und die NIS2-Abgrenzung für die Konzern­töchter, die nicht unter DORA fallen. Das Regelwerk ist 2025 in Kraft getreten — aber es bewegt sich weiter: neue RTS, ITS, ESA-Q&As, nationale CSIRT-Vorgaben. Übersieht Ihr Team eine Änderung an der Meldevorlage, meldet es im Ernstfall nach veralteten Regeln.

01Ihre Woche als CISO eines Finanzinstituts

Montag, 8:00. SOC-Review. Über Nacht gab es einen Dienstausfall bei einem IKT-Drittdienstleister — und die erste Frage ist nicht „was war kaputt“, sondern „ist das ein schwerwiegender Vorfall nach DORA, und wenn ja, läuft schon die 4-Stunden-Uhr?“. Die Klassifizierung entscheidet über die Meldepflicht; die Vorgaben dazu stehen in einer RTS, die zuletzt 2025 nachgeschärft wurde.

Dienstag — Donnerstag. DORA-Inspektions­vorbereitung und TLPT-Scoping parallel. Die Aufsicht prüft nicht mehr, ob ein IKT-Drittparteienregister existiert, sondern ob es vollständig ist — inklusive Sub-Outsourcing-Kette und Konsistenz mit den Incident-Reports. Gleichzeitig fragt die Konzern­rechtsabteilung, welche Tochter­gesellschaften eigentlich unter NIS2 statt DORA fallen.

Freitag, 15:00. Cyber-Bericht an den Vorstand. Unter DORA und NIS2 ist Cybersicherheit Vorstands­thema mit persönlicher Verantwortung — und die ehrliche Frage lautet: Hat das Team diese Woche jede relevante Aufsichts­änderung gesehen, oder berichten wir über das, was zufällig im Postfach landete?

02Was sich 2026 für Ihre Rolle verändert

Erstens: DORA-Inspektionen verlassen den Setup-Modus. Über ein Jahr nach Anwendungsbeginn (17.01.2025) prüfen ESAs und NCAs Vollständigkeit, nicht Existenz — die Sub-Outsourcing-Kette im Register nach Art. 28, die Konsistenz mit den Incident-Reports, die Vorstands­briefing-Spur [1].

Zweitens: Die Melde-Mechanik ist jetzt fest verdrahtet. Die Klassifizierung schwerwiegender Vorfälle steht in der RTS (EU) 2024/1772, die Fristen und Inhalte in der RTS (EU) 2025/301 (Art. 5: 4 Stunden ab Einstufung / 24 ab Kenntnis, 72 Stunden Zwischenbericht, ein Monat Abschluss), die Meldebögen in der ITS (EU) 2025/302 [2][3]. Jede spätere Änderung an diesen Vorlagen ändert Ihr Notfall-Playbook.

Drittens: NIS2 ist national in Kraft. Deutschland (NIS2UmsuCG / neues BSIG, seit 6.12.2025) und Österreich (NISG 2026, seit 24.12.2025) haben umgesetzt [4]. Für Finanzunternehmen verdrängt DORA als Lex specialis die NIS2-IKT-Pflichten — aber Konzern­töchter, die keine DORA-Finanzunternehmen sind (konzerneigene IT-Dienstleister, Energie- oder Telekom-Ableger), können direkt unter NIS2 fallen. Diese Grenze müssen Sie je Rechtsträger ziehen.

03Was Ihr Vorstand wirklich von Ihnen sehen will

DORA macht das Leitungsorgan ausdrücklich verantwortlich für den IKT-Risikomanagement­rahmen; NIS2 Art. 20 verlangt, dass die Geschäftsleitung die Cyber-Maßnahmen genehmigt, ihre Umsetzung überwacht und dafür haftet — plus verpflichtende Schulungen. Das deutsche BSIG schärft eine nicht voll delegierbare persönliche Verantwortung [4].

Das verschiebt die Erwartung an den CISO: nicht „wir haben Tools im Einsatz“, sondern ein nachweisbarer, prüffähiger Governance-Faden — wann eine Anforderung erkannt, wer informiert, was entschieden wurde. Eine manuelle Detection-Schicht, die auf Postfach-Sortierung beruht, liefert diesen Nachweis nicht zuverlässig.

Was sich ändert

Sechs Aufgaben, die Horizon Scanner Ihnen abnimmt

Konkrete Mechanik gegen die fünf Friktionen Ihrer Woche. Jedes Element ist im Tool live verfügbar — keine Roadmap.

  • 01

    Den gesamten DORA-Instrumenten-Stack parallel verfolgen

    DORA (Reg. (EU) 2022/2554) plus die nachgelagerten RTS/ITS, die ESA-Q&As und die nationalen Aufsichts­erwartungen laufen parallel durch dieselbe Erfassung. Jede neue oder geänderte Vorgabe — Klassifizierung, Reporting, Register, TLPT, Drittparteien — wird erkannt und der richtigen Security-Funktion zugeordnet, statt im Compliance-Postfach zu versickern.

  • 02

    Die 4-Stunden-Meldeuhr aktuell halten

    Horizon Scanner meldet keine Vorfälle für Sie — aber es hält die Vorgaben aktuell, gegen die Sie melden: jede Änderung an der Klassifizierungs-RTS (2024/1772) und an der Reporting-RTS/ITS (2025/301, 2025/302) wird erfasst und an Ihr Incident-Team geroutet, damit das Playbook nie auf einem veralteten Schwellenwert oder Meldebogen steht.

  • 03

    IKT-Drittparteienregister und Informationsregister im Blick

    Das Drittparteienregister nach Art. 28 und das Informationsregister-ITS (EU) 2024/2956 haben eigene, sich entwickelnde Anforderungen. Änderungen an Meldeformaten, Feldern und Einreichungs­fristen werden erkannt und an Third-Party-Risk und Procurement geroutet — die häufigste Inspektions­lücke 2026.

  • 04

    Die DORA-NIS2-Grenze je Rechtsträger taggen

    Findings werden als „DORA“, „NIS2“ oder „beide“ markiert. Ein bereits unter DORAs Lex-specialis-Status fallendes Thema erzeugt kein paralleles NIS2-Finding — aber die Nicht-IKT-NIS2-Pflichten (Art. 20 Geschäftsleitungs-Verantwortung, Supply-Chain-Security) und die NIS2-pflichtigen Nicht-Finanz-Töchter erreichen die zuständige Stelle korrekt.

  • 05

    An IT-Sec, Third-Party-Risk und Legal routen

    Technische Risikomanagement­maßnahmen an das Security-Team, Drittparteien-Klauseln an Procurement/Legal, Geschäftsleitungs- und Schulungs-Items an die Governance-Funktion, meldepflichtige Vorfalls-Themen an das Incident-Team. Defaults sitzen ab Tag 1; jede Regel ist editierbar.

  • 06

    Prüffähige Governance-Spur — „wann wussten Sie das?“

    Jede Aktion — Erfassung, Klassifizierung, Routing, Bestätigung, Eskalation — wird unveränderbar mit Zeitstempel und Akteur protokolliert, 5 Jahre, CSV-/JSON-Export. Die Inspektions­frage „wann erlangten Sie Kenntnis von dieser Anforderung?“ hat damit eine objektive Antwort statt eines „so um den Dreh herum“.

Die Zahlen, die Ihr Vorstand sieht

Übersetzt von Compliance-Sprache in Vorstands-Sprache.

  • < 4 Stunden

    Mediane Zeit von der Aufsichts-Veröffentlichung bis zum bestätigten Eintrag bei der zuständigen Security-Funktion — passend zur DORA-Meldelogik gedacht.

  • ≥ 90 %

    Default-Routing-Genauigkeit ab Tag 1 — der Anteil der Findings, der ohne manuelle Korrektur an die richtige Security-/Risk-/Legal-Funktion gelangt.

  • 5 Jahre

    Unveränderbare Audit-Trail-Retention für jede Erfassungs-, Klassifizierungs- und Routing-Aktion — deckt die DORA- und NIS2-Dokumentations­erwartung ab.

  • 0 FTE

    Zusätzliche Stellen pro neuem Regelwerk in Ihrem Scope. Die Detection-Schicht skaliert über Technologie, nicht über Headcount.

Fragen, die Sie sich stellen werden

  • Reicht ihr unsere Incident-Meldungen für uns ein?

    Nein. Horizon Scanner ist ein Regulatorik-Intelligenz- und Routing-Werkzeug, kein Meldegateway. Wir halten die Vorgaben aktuell, gegen die Sie melden (Klassifizierung 2024/1772, Reporting 2025/301, Meldebögen 2025/302), und dokumentieren prüffähig, wann Sie von einer Änderung Kenntnis erlangten. Die Meldung selbst bleibt bei Ihrem Incident-Team.

  • Gilt für uns DORA oder NIS2?

    Für ein DORA-Finanzunternehmen verdrängt DORA als Lex specialis (Art. 4 NIS2 / Art. 1 Abs. 2 DORA) die NIS2-IKT-Pflichten — Sie melden über den DORA-Kanal an Ihre Finanzaufsicht, nicht über NIS2 ans CSIRT. Konzern­töchter, die keine DORA-Finanzunternehmen sind, können direkt unter NIS2 fallen. Wir taggen jedes Finding entsprechend.

  • Wie helft ihr konkret bei der 4-Stunden-Frist?

    Wir betreiben die Uhr nicht — Sie tun das. Wir sorgen dafür, dass Ihr Klassifizierungs- und Meldeverfahren die aktuellen RTS/ITS abbildet, sodass eine geänderte Schwelle oder ein neuer Meldebogen erkannt und an Ihr Team geroutet wird, bevor der nächste Vorfall eintritt — und nicht erst, wenn die Aufsicht eine veraltete Meldung beanstandet.

  • Lässt sich das in unser SIEM/GRC integrieren?

    Ja — pro Routing-Regel ein Webhook (ab Professional), voller API-Zugang ab Enterprise für Archer, ServiceNow GRC oder ein eigenes Register. Wir liefern Regulatorik-Änderungs-Events, keine Security-Telemetrie — die beiden Datenströme ergänzen sich, statt sich zu duplizieren.

Quellen

  1. [1]DORA — Verordnung (EU) 2022/2554 (Art. 28 Drittparteienregister) — EUR-Lex
  2. [2]Klassifizierungs-RTS — Delegierte Verordnung (EU) 2024/1772 — EUR-Lex
  3. [3]Reporting-RTS/ITS — Delegierte Verordnung (EU) 2025/301 (Art. 5) + Durchführungs­verordnung (EU) 2025/302 — EUR-Lex
  4. [4]NIS2 — Richtlinie (EU) 2022/2555 (Art. 20) + DE NIS2UmsuCG/BSIG (BGBl. 2025 I Nr. 301)

Lassen Sie uns die Realität Ihrer Woche durchgehen.

Zwanzig Minuten. Konkrete Use-Cases aus Ihrem Konzern.

Gespräch vereinbaren