Compliance & IT-Sicherheit: Neue Anforderungen für IT-Dienstleister

Patchmanagement, Backups, Firewalls – das sind klassische Aufgaben, mit denen viele IT-Dienstleister tagtäglich betraut werden. Sie stellen sicher, dass die IT-Systeme ihrer Kunden betriebsfähig bleiben. Doch während sie für Stabilität und Verfügbarkeit sorgen, verändert sich das regulatorische Umfeld rasant. Neue gesetzliche Vorgaben und Richtlinien fordern von Unternehmen zunehmend konkrete Maßnahmen in den Bereichen Cybersicherheit, Informationssicherheit und Resilienz.

Ob DORA, NIS2, CRA oder branchenindividuelle Vorgaben – die Anforderungen an Cybersecurity und Compliance steigen rapide. Und das hat direkte Auswirkungen auf die Rolle der IT-Dienstleister.

Warum wird Compliance immer wichtiger?

Die digitale Transformation hat Geschäftsprozesse in nahezu allen Branchen stark verändert – und damit auch neue Risiken geschaffen. Cyberangriffe, Datendiebstahl und IT-Ausfälle bedrohen heute nicht nur einzelne Unternehmen, sondern ganze Wertschöpfungsketten. Gleichzeitig steigen die Erwartungen an Datenschutz, Informationssicherheit und die Nachvollziehbarkeit von Prozessen.

Regulierungsbehörden und Gesetzgeber reagieren auf diese Entwicklungen, indem sie klare Vorgaben zur Absicherung von IT-Infrastrukturen schaffen.

Ziel ist es, die digitale Resilienz von Unternehmen zu stärken und einheitliche Standards zu etablieren. Mit zunehmender Digitalisierung steigen also zwangsläufig auch die Anforderungen an Sicherheit und Compliance.

Compliance als neue Pflicht-Aufgabe für IT-Dienstleister

Mittelständische Unternehmen wenden sich in IT-Fragen immer an ihre Systemhäuser und Dienstleister. Dabei geht es längst nicht mehr nur um funktionierende Netzwerke oder die Bereitstellung von Endgeräten. Viele Unternehmen müssen inzwischen eine Vielzahl regulatorischer Anforderungen erfüllen, beispielsweise durch die neue NIS2-Richtlinie oder die DORA-Verordnung im Finanzwesen.

Auch wenn IT-Dienstleister nicht immer selbst von den Gesetzen betroffen sind, sind es ihre Kunden – und diese erwarten Unterstützung. Denn viele Vorgaben verlangen technische und organisatorische Sicherheitsmaßnahmen, die typischerweise durch externe IT-Dienstleister umgesetzt werden müssen.

Daraus entsteht ein Erwartungsdruck: Wer die Systeme betreut, soll auch deren Sicherheit und Compliance gewährleisten.

Welche Gesetze und Verordnungen sind relevant?

Die regulatorischen Anforderungen nehmen stetig zu. Besonders hervorzuheben sind:

• DORA-Verordnung (Digital Operational Resilience Act): Gilt für Banken, Versicherungen und Finanzdienstleister
• NIS2-Richtlinie: Betrifft eine Vielzahl von Unternehmen verschiedener Branchen in kritischen Infrastrukturen
• Cyber Resilience Act: Adressiert Hersteller digitaler Produkte und Dienste
• DSGVO, IT-Sicherheitsgesetz (2.0), ISO/IEC 27001 und BSI-Grundschutz: Gelten teils branchenübergreifend

All diese Regelwerke greifen inhaltlich ineinander. Sie fordern zum Beispiel Risikomanagement, Informationssicherheitsmanagementsysteme (ISMS), technische Schutzmaßnahmen, Meldeprozesse für Sicherheitsvorfälle und umfassende Dokumentation.

Es entsteht ein komplexes Geflecht an Vorgaben, deren Umsetzung für Kunden zur Herausforderung wird – insbesondere, wenn das interne Know-how fehlt.

Welche Maßnahmen kommen auf IT-Dienstleister zu?

Unabhängig davon, welche konkrete Verordnung greift, ähneln sich die geforderten Maßnahmen in vielen Punkten. Unternehmen müssen …

• regelmäßige Schwachstellenscans und Sicherheitstests durchführen
• Penetrationstests beauftragen
• ein ISMS einführen oder aktualisieren
• Notfallhandbücher und Incident-Response-Pläne erstellen
• technische Maßnahmen wie Segmentierung, Zugriffskontrolle oder Protokollierung nachweisen
• Schulungen und Trainings zur Sensibilisierung der Mitarbeitenden umsetzen
• externe Dienstleister und Lieferanten auditieren

Je nach Branche und Unternehmensgröße unterscheidet sich oftmals lediglich der konkrete Anwendungsbereich. Die technische Umsetzung jedoch erfordert fast immer die Mitwirkung des IT-Dienstleisters.

Handlungsempfehlung: Nicht alle Maßnahmen sind von IT-Systemhäusern ohne Weiteres umsetzbar. Oftmals fehlt die Spezialisierung auf Cybersicherheit. Holen Sie sich daher einen Partner für Informationssicherheit und Cyber-Resilienz ins Boot.

Admijalo greift auf eine Vielzahl an digitalen und analogen Leistungen zurück, um die Compliance Ihrer Kunden umfassend zu gewährleisten. Als ISO 27001-Lead Auditor und zertifizierte Pen-Tester mit militärischem Hintergrund stehen wir Ihren Kunden nicht nur beratend zur Seite, sondern packen auch aktiv mit an. Lassen Sie uns ins Gespräch kommen.

Übrigens sind auch IT-Dienstleister betroffener Unternehmen zumindest teilweise von den Compliance-Anforderungen betroffen. So müssen sie sich beispielsweise regelmäßig auditieren lassen, damit Kunden dies wiederum als Compliance-Nachweis nutzen können.

Wer haftet bei Verstößen?

Die Nichteinhaltung von regulatorischen Vorgaben kann für Unternehmen erhebliche Folgen haben. Neben empfindlichen Bußgeldern – etwa durch die DSGVO oder DORA – drohen auch rechtliche Konsequenzen, Haftungsfragen für Geschäftsleitungen und der Verlust von Geschäftspartnern oder Zertifizierungen.

Im Rahmen der NIS2-Richtlinie beispielsweise können Geschäftsführer bei vorsätzlichen Verstößen behördlich abgeordnet werden.

Darüber hinaus leidet auch das Vertrauen von Kunden, Investoren und Aufsichtsbehörden. Sicherheitsvorfälle, die auf mangelnde Compliance zurückzuführen sind, können Imageschäden und finanzielle Verluste verursachen, die weit über die eigentlichen Strafzahlungen hinausgehen.

Im Fall der sächsischen Kreisel GmbH führte ein Cyberangriff zur Insolvenz (Februar 2025). Der jüngste Fall von Wirtschaftskriminalität bei der Volksbank Düsseldorf-Neuss kostete beide Vorstände ihren Posten und ist auf die Nicht-Einhaltung von klar definierten Prozessen sowie Social Engineering zurückzuführen (Sommer 2024).

Und beinah täglich warnt das BIS vor neuen kritischen Schwachstellen zum Beispiel in Google-, Fortinet- oder Microsoft-Anwendungen; pro Minute passieren rund 30.000 automatisierte Bot-Angriffe (die Dunkelziffer dürfte deutlich höher liegen).

Compliance ist somit nicht nur eine rechtliche Pflicht, sondern ein wesentlicher Bestandteil unternehmerischer Verantwortung und Wettbewerbsfähigkeit.

Was bedeuten die Compliance-Anforderungen für Sie als IT-Dienstleister?

Die klassische Rolle als technischer Dienstleister greift heute zu kurz. Kunden erwarten zunehmend Unterstützung bei der Einhaltung von Sicherheitsstandards und gesetzlichen Vorgaben.

IT-Dienstleister, die diesen Bedarf erkennen, können sich strategisch neu positionieren und Kunden langfristig an sich binden. Dazu gehören:

• Aufbau von Wissen zu regulatorischen Anforderungen wie NIS2, DORA oder ISO 27001
• die Zusammenarbeit mit spezialisierten Partnern für Themen wie Compliance, Pentesting oder Social Engineering
• Entwicklung auditierbarer Prozesse für ihre eigenen Leistungen
• transparente Dokumentation der durchgeführten Maßnahmen

Kurzum: IT-Dienstleister müssen sich als verlässliche Schnittstelle zwischen technischer Umsetzung und regulatorischer Anforderung positionieren. Wer das schafft, schafft Vertrauen und Differenzierung im Markt.

Compliance ist der neue Auftrag

Die Anforderungen an IT- und Cybersicherheit steigen – nicht nur technisch, sondern auch regulatorisch. Kunden werden zunehmend daran gemessen, wie gut sie ihre Schutzmaßnahmen dokumentieren, prüfen und belegen können. IT-Dienstleister, die hier nicht mitziehen, riskieren langfristig den Verlust ihrer Relevanz.

Gleichzeitig liegt in dieser Entwicklung eine Chance: Wer vorbereitet ist, unterstützt seine Kunden nicht nur beim Betrieb, sondern wird zum strategischen Partner für Sicherheit, Resilienz und Compliance.