Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
Compliance

DORA + NIS-2 + ISO 27001: Wie ein CISO drei Mandate ohne Burnout managt

SecTepe Redaktion
|
|
6 Min. Lesezeit

Ein typischer CISO im deutschen Mittelstand 2026 bekommt drei Briefe in einem Monat: NIS-2-Anwendbarkeit bestätigt, Holding fordert ISO 27001-Zertifizierung, und ein Finanzdienstleistungs-Kunde fragt nach DORA-Konformität. Die drei Mandate sind nicht optional, der CISO bleibt einer.

Wo die drei Frameworks sich überlappen – und wo nicht

Die gute Nachricht: ~70 % der Anforderungen überschneiden sich. Die schlechte: die restlichen 30 % sind framework-spezifisch und dürfen nicht ignoriert werden.

  • ISO 27001 (allgemein, Annex A): 93 Controls über alle Sicherheitsbereiche, ISMS-zentriert.
  • NIS-2 (EU, Art. 21): 10 Mindest-Maßnahmen-Bereiche, KRITIS-orientiert, mit verbindlichen Melde-Pflichten.
  • DORA (EU, Art. 5–14, für Finanzbranche): ICT-Risiko-Management, Vorfalls-Reporting, ICT-Drittanbieter-Risiko, operationale Resilienz-Tests.

Die drei Burnout-Treiber – und ihre Antagonisten

Treiber 1: Doppelarbeit pro Framework

Klassisch pflegt der CISO drei Risiko-Register, drei Maßnahmen-Listen, drei Audit-Vorbereitungen parallel. Antagonist: Multi-Framework-Modul mit Cross-Mapping. Eine Maßnahme bedient drei Framework-Anforderungen, der Beleg gilt für alle drei. Pflegeaufwand minus 60–70 %.

Treiber 2: Different Reporting-Formate

Vorstand will ISO-konformen Bericht, Aufsicht will NIS-2-Frühwarnung, Finanzkunde will DORA-Self-Assessment. Antagonist: konfigurierbare Reports aus einer Datenquelle. Vorstands-Tab, Aufsichts-Tab, Kunden-Tab – eine Plattform, drei Sichten.

Treiber 3: Audit-Wellen

Drei Mandate = drei jährliche Audits, drei Surveillance-Termine, drei Re-Zertifizierungen. Ohne Plattform: drei mal 3 Monate Vorbereitung. Mit Audit-Vorbereitung in 4 Wochen: 12 statt 36 Wochen, Faktor 3 Reduktion.

Die fünf konkreten Hebel

  1. Cross-Mapping als Tabellenkalkulation der Pflichten: ISO A.5.34 ↔ NIS-2 Art. 21(2)(a) ↔ DORA Art. 9. Eine Maßnahme bedient alle drei.
  2. Lieferanten-Modul mit DORA-Pflichten: DORA-spezifische Anforderungen an ICT-Drittanbieter (Konzentrations-Analyse, Exit-Strategie) ergänzen das TPRM-Datenmodell, ohne separates Tool.
  3. Vorfalls-Reporting aus einer Quelle: ein Vorfall, mehrere Meldepflicht-Templates (BSI für NIS-2, Aufsicht für DORA, Datenschutz für DSGVO).
  4. Resilienz-Tests dokumentiert: DORA Art. 24 fordert TIBER-EU-ähnliche Penetrations-Tests; ISO 27001 fordert Wirksamkeits-Reviews. Beides in einem Test-Kalender, mit Belegen.
  5. Geschäftsleiter-Genehmigungen einmal: NIS-2 Art. 20 und DORA Art. 5 verlangen beide explizite Geschäftsleiter-Genehmigung – eine eIDAS-signierte Genehmigung gilt für beide.

Was DORA-spezifisch dazu kommt

Für Finanzdienstleister oder Lieferanten dieser:

  • ICT-Risk-Management-Framework: dokumentiert, von der Geschäftsleitung genehmigt, jährlich aktualisiert.
  • Vorfalls-Klassifizierung mit RTS: regulatorische technische Standards präzisieren, ab wann ein Vorfall „signifikant" ist – Meldepflicht-Trigger.
  • ICT-Drittanbieter-Register: zentralisiertes Verzeichnis mit Konzentrations-Risiken, Exit-Plänen, Kontroll-Rechten.
  • Threat-Led Penetration Testing (TLPT): für signifikante Finanzunternehmen alle 3 Jahre.
  • Operationale Resilienz-Tests: jährlich, dokumentiert, mit Lessons-Learned.

Eine Plattform, die das Lieferanten-Modul um DORA-Felder ergänzt und das Test-Kalender-Modul um TLPT-Workflow erweitert, deckt diese Punkte ohne separates Tool ab.

Was der CISO der GF erklären muss

  • „Ohne Plattform mit Cross-Mapping pflegen wir drei Welten parallel – das skaliert nicht mit einer Person."
  • „Das initiale Setup einer integrierten Plattform kostet weniger als die FTE-Kapazität, die ich sonst zusätzlich bräuchte."
  • „Die jährlichen Audit-Wellen sind ohne Plattform 36 Wochen vorhersehbares Engpass-Risiko."
  • „Reports an Vorstand, Aufsicht und Kunden müssen aus einer Datenquelle kommen, sonst widersprechen sie sich irgendwann."

Compliance-Mapping

  • ISO 27001 Annex A: 93 Controls, ISMS-übergreifend.
  • NIS-2 Art. 20–23: Geschäftsleiter-Pflicht, Mindest-Maßnahmen, Melde-Pflichten.
  • DORA Art. 5–14: ICT-Risiko, Vorfall, Resilienz-Tests.
  • DORA Art. 28–44: ICT-Drittanbieter-Risiko und -Aufsicht.

Fazit

Drei Mandate parallel sind ohne Plattform-Unterstützung Burnout-Programme. Mit einer integrierten Multi-Framework-GRC-Plattform werden 70 % der Pflichten einmal erledigt und für alle drei Frameworks gewertet, die restlichen 30 % framework-spezifisch ergänzt. Der CISO behält Bandbreite für strategische Arbeit – und die GF die Sicherheit, dass alle drei regulatorischen Pflichten dokumentiert erfüllt sind.

Alle Artikel ansehen Mehr aus dieser Kategorie