NIS2. DORA. C5. AI Act. CSRD. Alles gleichzeitig.
Der Regulierungs-Stack überfordert Ihr Team. Fünf Gesetze, vier Deadlines, null Übergangsfrist. Ihr Cloud-Provider sollte die Lösung sein, nicht noch ein Problem auf der Liste.
Fünf Regulierungen. Ein Team.
NIS2, DORA, BSI C5, EU AI Act, CSRD. Jede einzelne wäre ein Projekt. Zusammen sind sie ein Compliance-Tsunami, der Ihr IT-Team überrollt. Und jede davon betrifft Ihren Cloud-Provider.
Regulierungs-Stacking
NIS2 verlangt ein ISMS. DORA verlangt ICT-Risikomanagement. C5 verlangt Cloud-Sicherheitsnachweise. AI Act verlangt KI-Governance. Einzeln machbar, gleichzeitig ein Ressourcenproblem, das die meisten IT-Teams überfordert.
Cloud-Provider in der Lieferkette
Jede dieser Regulierungen macht Ihren Cloud-Provider zum Teil Ihrer Compliance-Kette. DORA verlangt explizit Audit-Rechte und Exit-Strategien. NIS2 verlangt Lieferketten-Transparenz. Wenn Ihr Provider das nicht kann, haften Sie.
Keine Übergangsfrist
NIS2 gilt seit Dezember 2025. DORA seit Januar 2025. BSI C5 ist seit Juli 2025 Pflicht für KRITIS und Gesundheit. EU AI Act Literacy-Pflicht seit Februar 2025. Die Deadlines sind vorbei, es geht um Umsetzung, nicht Planung.
„Die parallele Umsetzung von NIS2, DORA und EU AI Act wird zur größten Compliance-Herausforderung, die der europäische Mittelstand je bewältigen musste."
– Sinngemäß nach Bitkom-Befragungen zur digitalen Regulierung, 2025
Alle fünf im Detail
Was gilt seit wann, für wen und was bedeutet das für Ihren Cloud-Provider?
NIS2
In Kraft seit 12/202529.500 Unternehmen in 18 Sektoren betroffen. Persönliche, nicht-delegierbare GF-Haftung nach §38 BSIG. 24-Stunden-Meldefrist bei Vorfällen. 10 definierte Risikomanagement-Maßnahmen.
DORA
In Kraft seit 01/2025Finanzsektor: Banken, Versicherungen, Zahlungsdienstleister. Verpflichtend für alle ICT-Dienstleister des Finanzsektors. Explizite Audit-Rechte, Exit-Strategien und Konzentrationsrisiko-Bewertung erforderlich.
BSI C5
Pflicht seit 07/2025Cloud Computing Compliance Criteria Catalogue. Seit Juli 2025 gesetzlich verpflichtend für KRITIS und Gesundheitswesen. Wird branchenübergreifend zum Marktzugangs-Standard, ohne C5-Testat kein Zugang zu regulierten Kunden.
EU AI Act
Literacy seit 02/2025 · Hochrisiko ab 08/2026KI-Literacy-Pflicht seit Februar 2025 für alle Unternehmen, die KI einsetzen. Hochrisiko-KI-Anforderungen ab August 2026. Erfordert KI-Inventar, Risiko-Klassifizierung und Governance, auch für KI auf Cloud-Infrastruktur.
CSRD
Schrittweise seit 2024Corporate Sustainability Reporting Directive: Nachhaltigkeitsberichterstattung, die auch die IT-Infrastruktur-Emissionen umfasst. Ihr Cloud-Provider muss CO2-Daten liefern können, die auditierbar sind. Rechenzentren in Deutschland mit modernem Energiemanagement erleichtern die Berichterstattung erheblich.
Was das für Ihre Cloud-Provider-Wahl bedeutet
Ihr Cloud-Provider wird automatisch Teil Ihrer Compliance-Kette. Entweder er löst das Problem, oder er ist das Problem.
Zertifiziertes ISMS
ISO 27001 als Mindeststandard. Deckt 70–80 % der NIS2-Anforderungen und bildet die Basis für DORA-Compliance.
Pflicht für NIS2, DORA, C5Audit-Rechte & Exit-Strategie
DORA verlangt explizit: vertraglich fixierte Audit-Rechte, dokumentierte Exit-Strategien und Konzentrationsrisiko-Bewertung. Kein Nice-to-have.
Pflicht für DORA, empfohlen für NIS2BSI C5-Testat
Wird zum Marktzugangs-Gatekeeper, ohne C5 kein Zugang zu regulierten Branchen. Für KRITIS und Gesundheit bereits Pflicht.
Pflicht für KRITIS/Health, Standard für alleDatenresidenz in DE/EU
Alle Regulierungen setzen DSGVO-Konformität voraus. CLOUD Act-Risiko bei US-Providern wird zum Deal-Breaker für regulierte Branchen.
Pflicht für alle RegulierungenLieferketten-Transparenz
NIS2 und DORA verlangen volle Transparenz über Subunternehmer. Jeder Dienstleister in der Kette wird zum Compliance-Risiko oder zum Nachweis.
Pflicht für NIS2, DORAKI-Governance-Fähigkeit
EU AI Act erfordert KI-Inventar und Risiko-Klassifizierung, auch für KI-Tools auf Cloud-Infrastruktur. Ihr Provider muss DSGVO-konforme KI-Plattformen bieten können.
Pflicht ab 08/2026 für Hochrisiko-KIRegulatorik als System lösen, nicht Vorschrift für Vorschrift
Ob Sie den Status quo bewerten, den Provider wechseln oder Ihren bestehenden Stack compliance-fähig machen wollen, wir begleiten Sie.
Compliance-Readiness-Assessment
Wir analysieren Ihr aktuelles Cloud-Setup gegen alle relevanten Regulierungen: NIS2, DORA, C5, AI Act. Sie erhalten einen klaren Report: Was bereits erfüllt ist, wo Lücken bestehen und was priorisiert werden muss.
- Gap-Analyse gegen alle fünf Regulierungen in einem Assessment
- Bewertung Ihres Cloud-Providers als Teil Ihrer Lieferkette
- Priorisierter Maßnahmenplan: Überschneidungen nutzen, Doppelarbeit vermeiden
- Ergebnis in 2–3 Wochen, nicht 6 Monaten
Migration auf zertifizierte Infrastruktur
Wenn Ihr aktueller Provider die Anforderungen nicht erfüllt, migrieren wir Ihre Workloads auf Infrastruktur, die Compliance als Betriebseigenschaft mitbringt, nicht als nachträgliches Projekt.
- ISO 27001, TISAX, PS 951, ISAE 3402: vier Zertifizierungen ab Tag 1
- DORA-konforme Vertragsvorlagen mit Audit-Rechten und Exit-Strategie
- Eigene Cloud-Infrastruktur in Frankfurt & München, deutsches Recht, kein CLOUD Act
- BSI C5 Typ 1 in Vorbereitung (Erst-Audit geplant H2 2026)
Compliance-Add-on für bestehende Plattformen
Sie nutzen bereits Adacor oder eine andere Plattform? Wir ergänzen die fehlenden Compliance-Bausteine: Incident-Response-Dokumentation, Audit-Vorbereitung, regulatorisches Reporting.
- Incident-Response-Playbooks nach NIS2- und DORA-Standard
- Audit-Dokumentation für §30 BSIG und DORA-Anforderungen
- KI-Inventar und Governance-Framework für EU AI Act
- Regelmäßige Compliance-Reviews und BSI-Meldeketten-Integration
Compliance als Betriebsdisziplin, nicht als einmaliges Projekt
Wir werden von den gleichen Prüfern auditiert, die auch Ihre Branche prüfen. Unsere Zertifizierungen sind nicht Marketing. Sie sind die Grundlage unseres Betriebs.
Inhabergeführt seit 2003
Compliance-Entscheidungen trifft bei uns die Geschäftsführung, nicht ein Konzern-Compliance-Board in Übersee. Inhabergeführt, persönlich verantwortlich, seit über 20 Jahren.
ISO 27001 · TISAX · PS 951 · ISAE 3402
Vier Zertifizierungen, jährlich auditiert. ISO 27001 deckt 70–80 % der NIS2-Anforderungen. TISAX für Automotive. PS 951 und ISAE 3402 für Wirtschaftsprüfer-kompatible Nachweise.
BSI C5 Typ 1 in Vorbereitung
Der BSI Cloud-Computing Compliance Criteria Catalogue wird zum Branchenstandard. Unser Erst-Audit ist für H2 2026 geplant, auf Basis unserer bereits zertifizierten Infrastruktur.
Eigene Infrastruktur in Frankfurt & München
Unsere Cloud-Plattform läuft in NTT-Rechenzentren, Tier-3+, mehrfach zertifiziert. Deutsches Recht, kein CLOUD Act, keine US-Jurisdiktion.
DORA-konforme Vertragsvorlagen
Audit-Rechte, Exit-Strategien, dokumentierte Lieferkettensicherheit, unsere Vertragsvorlagen sind auf die Anforderungen regulierter Branchen ausgelegt. Keine Überraschungen beim BaFin-Audit.
„Vier Zertifizierungen, ein Ansprechpartner. Für Ihren Prüfer bedeutet das: kürzere Audits, weniger Rückfragen, schnellere Freigabe."
Compliance-Anforderungen besprechen
In einem 30-minütigen Gespräch ordnen wir ein, welche Regulierungen für Sie relevant sind und wie Ihr aktueller Cloud-Provider aufgestellt ist. Sie erhalten eine ehrliche Einschätzung, auch wenn Ihr Setup bereits gut aufgestellt ist.
- Regulierungs-Check: NIS2, DORA, C5, AI Act. Was gilt für Sie?
- Provider-Bewertung: Erfüllt Ihr Cloud-Provider die Anforderungen?
- Synergien nutzen: Welche Überschneidungen können Sie für sich arbeiten lassen?
- Unverbindlich, auch wenn die Antwort „Sie sind auf gutem Weg" lautet