NIS2, DORA, C5, AI Act, CSRD · gleichzeitig

NIS2. DORA. C5. AI Act. CSRD. Alles gleichzeitig.

Der Regulierungs-Stack überfordert Ihr Team. Fünf Gesetze, vier Deadlines, null Übergangsfrist. Ihr Cloud-Provider sollte die Lösung sein, nicht noch ein Problem auf der Liste.

Zuletzt geprüft:
Regulatorik im Griff: bereichsübergreifende Abstimmung zu NIS2, DORA und C5
Die Situation

Fünf Regulierungen. Ein Team.

NIS2, DORA, BSI C5, EU AI Act, CSRD. Jede einzelne wäre ein Projekt. Zusammen sind sie ein Compliance-Tsunami, der Ihr IT-Team überrollt. Und jede davon betrifft Ihren Cloud-Provider.

5
Regulierungen mit Deadlines zwischen 2025 und 2026: NIS2, DORA, BSI C5, EU AI Act, CSRD. Alle betreffen Cloud-Infrastruktur.
70 %
der Compliance-Anforderungen überschneiden sich. Wer es richtig aufbaut, schafft eine Basis statt fünf Einzelprojekte
10 Mio. €
oder 2 % des weltweiten Umsatzes, das maximale Bußgeld bei NIS2-Verstößen. Bei DORA drohen ähnliche Konsequenzen.

Regulierungs-Stacking

NIS2 verlangt ein ISMS. DORA verlangt ICT-Risikomanagement. C5 verlangt Cloud-Sicherheitsnachweise. AI Act verlangt KI-Governance. Einzeln machbar, gleichzeitig ein Ressourcenproblem, das die meisten IT-Teams überfordert.

Cloud-Provider in der Lieferkette

Jede dieser Regulierungen macht Ihren Cloud-Provider zum Teil Ihrer Compliance-Kette. DORA verlangt explizit Audit-Rechte und Exit-Strategien. NIS2 verlangt Lieferketten-Transparenz. Wenn Ihr Provider das nicht kann, haften Sie.

Keine Übergangsfrist

NIS2 gilt seit Dezember 2025. DORA seit Januar 2025. BSI C5 ist seit Juli 2025 Pflicht für KRITIS und Gesundheit. EU AI Act Literacy-Pflicht seit Februar 2025. Die Deadlines sind vorbei, es geht um Umsetzung, nicht Planung.

„Die parallele Umsetzung von NIS2, DORA und EU AI Act wird zur größten Compliance-Herausforderung, die der europäische Mittelstand je bewältigen musste."

– Sinngemäß nach Bitkom-Befragungen zur digitalen Regulierung, 2025
Der Compliance-Stack

Alle fünf im Detail

Was gilt seit wann, für wen und was bedeutet das für Ihren Cloud-Provider?

NIS2

In Kraft seit 12/2025

29.500 Unternehmen in 18 Sektoren betroffen. Persönliche, nicht-delegierbare GF-Haftung nach §38 BSIG. 24-Stunden-Meldefrist bei Vorfällen. 10 definierte Risikomanagement-Maßnahmen.

Cloud: ISMS, Incident Response, Lieferketten-Transparenz

DORA

In Kraft seit 01/2025

Finanzsektor: Banken, Versicherungen, Zahlungsdienstleister. Verpflichtend für alle ICT-Dienstleister des Finanzsektors. Explizite Audit-Rechte, Exit-Strategien und Konzentrationsrisiko-Bewertung erforderlich.

Cloud: DORA-konforme Verträge, Audit-Rechte, Exit-Plan

BSI C5

Pflicht seit 07/2025

Cloud Computing Compliance Criteria Catalogue. Seit Juli 2025 gesetzlich verpflichtend für KRITIS und Gesundheitswesen. Wird branchenübergreifend zum Marktzugangs-Standard, ohne C5-Testat kein Zugang zu regulierten Kunden.

Cloud: C5-Testat Typ 1 oder 2 erforderlich

EU AI Act

Literacy seit 02/2025 · Hochrisiko ab 08/2026

KI-Literacy-Pflicht seit Februar 2025 für alle Unternehmen, die KI einsetzen. Hochrisiko-KI-Anforderungen ab August 2026. Erfordert KI-Inventar, Risiko-Klassifizierung und Governance, auch für KI auf Cloud-Infrastruktur.

Cloud: DSGVO-konforme KI-Plattform, Datenresidenz

CSRD

Schrittweise seit 2024

Corporate Sustainability Reporting Directive: Nachhaltigkeitsberichterstattung, die auch die IT-Infrastruktur-Emissionen umfasst. Ihr Cloud-Provider muss CO2-Daten liefern können, die auditierbar sind. Rechenzentren in Deutschland mit modernem Energiemanagement erleichtern die Berichterstattung erheblich.

Cloud: Auditierbare CO2-Daten, Green-IT-Nachweise
Die gute Nachricht: 70 % der Anforderungen überschneiden sich. Ein ISO-27001-zertifizierter Cloud-Provider mit dokumentierten Prozessen deckt den Großteil von NIS2, DORA und C5 ab. Der Schlüssel liegt nicht in fünf Einzelprojekten, sondern in einer soliden Compliance-Basis und einem Provider, der diese bereits mitbringt.
Die Konsequenz

Was das für Ihre Cloud-Provider-Wahl bedeutet

Ihr Cloud-Provider wird automatisch Teil Ihrer Compliance-Kette. Entweder er löst das Problem, oder er ist das Problem.

Zertifiziertes ISMS

ISO 27001 als Mindeststandard. Deckt 70–80 % der NIS2-Anforderungen und bildet die Basis für DORA-Compliance.

Pflicht für NIS2, DORA, C5

Audit-Rechte & Exit-Strategie

DORA verlangt explizit: vertraglich fixierte Audit-Rechte, dokumentierte Exit-Strategien und Konzentrationsrisiko-Bewertung. Kein Nice-to-have.

Pflicht für DORA, empfohlen für NIS2

BSI C5-Testat

Wird zum Marktzugangs-Gatekeeper, ohne C5 kein Zugang zu regulierten Branchen. Für KRITIS und Gesundheit bereits Pflicht.

Pflicht für KRITIS/Health, Standard für alle

Datenresidenz in DE/EU

Alle Regulierungen setzen DSGVO-Konformität voraus. CLOUD Act-Risiko bei US-Providern wird zum Deal-Breaker für regulierte Branchen.

Pflicht für alle Regulierungen

Lieferketten-Transparenz

NIS2 und DORA verlangen volle Transparenz über Subunternehmer. Jeder Dienstleister in der Kette wird zum Compliance-Risiko oder zum Nachweis.

Pflicht für NIS2, DORA

KI-Governance-Fähigkeit

EU AI Act erfordert KI-Inventar und Risiko-Klassifizierung, auch für KI-Tools auf Cloud-Infrastruktur. Ihr Provider muss DSGVO-konforme KI-Plattformen bieten können.

Pflicht ab 08/2026 für Hochrisiko-KI
Ihre Optionen

Regulatorik als System lösen, nicht Vorschrift für Vorschrift

Ob Sie den Status quo bewerten, den Provider wechseln oder Ihren bestehenden Stack compliance-fähig machen wollen, wir begleiten Sie.

01
Empfohlen als Einstieg

Compliance-Readiness-Assessment

Wir analysieren Ihr aktuelles Cloud-Setup gegen alle relevanten Regulierungen: NIS2, DORA, C5, AI Act. Sie erhalten einen klaren Report: Was bereits erfüllt ist, wo Lücken bestehen und was priorisiert werden muss.

  • Gap-Analyse gegen alle fünf Regulierungen in einem Assessment
  • Bewertung Ihres Cloud-Providers als Teil Ihrer Lieferkette
  • Priorisierter Maßnahmenplan: Überschneidungen nutzen, Doppelarbeit vermeiden
  • Ergebnis in 2–3 Wochen, nicht 6 Monaten
Assessment anfragen
02
Empfohlen für regulierte Branchen

Migration auf zertifizierte Infrastruktur

Wenn Ihr aktueller Provider die Anforderungen nicht erfüllt, migrieren wir Ihre Workloads auf Infrastruktur, die Compliance als Betriebseigenschaft mitbringt, nicht als nachträgliches Projekt.

  • ISO 27001, TISAX, PS 951, ISAE 3402: vier Zertifizierungen ab Tag 1
  • DORA-konforme Vertragsvorlagen mit Audit-Rechten und Exit-Strategie
  • Eigene Cloud-Infrastruktur in Frankfurt & München, deutsches Recht, kein CLOUD Act
  • BSI C5 Typ 1 in Vorbereitung (Erst-Audit geplant H2 2026)
Migrations-Beratung buchen
03
Empfohlen für bestehende Kunden

Compliance-Add-on für bestehende Plattformen

Sie nutzen bereits Adacor oder eine andere Plattform? Wir ergänzen die fehlenden Compliance-Bausteine: Incident-Response-Dokumentation, Audit-Vorbereitung, regulatorisches Reporting.

  • Incident-Response-Playbooks nach NIS2- und DORA-Standard
  • Audit-Dokumentation für §30 BSIG und DORA-Anforderungen
  • KI-Inventar und Governance-Framework für EU AI Act
  • Regelmäßige Compliance-Reviews und BSI-Meldeketten-Integration
Compliance-Beratung anfragen
Warum Adacor

Compliance als Betriebsdisziplin, nicht als einmaliges Projekt

Wir werden von den gleichen Prüfern auditiert, die auch Ihre Branche prüfen. Unsere Zertifizierungen sind nicht Marketing. Sie sind die Grundlage unseres Betriebs.

Inhabergeführt seit 2003

Compliance-Entscheidungen trifft bei uns die Geschäftsführung, nicht ein Konzern-Compliance-Board in Übersee. Inhabergeführt, persönlich verantwortlich, seit über 20 Jahren.

ISO 27001 · TISAX · PS 951 · ISAE 3402

Vier Zertifizierungen, jährlich auditiert. ISO 27001 deckt 70–80 % der NIS2-Anforderungen. TISAX für Automotive. PS 951 und ISAE 3402 für Wirtschaftsprüfer-kompatible Nachweise.

BSI C5 Typ 1 in Vorbereitung

Der BSI Cloud-Computing Compliance Criteria Catalogue wird zum Branchenstandard. Unser Erst-Audit ist für H2 2026 geplant, auf Basis unserer bereits zertifizierten Infrastruktur.

Eigene Infrastruktur in Frankfurt & München

Unsere Cloud-Plattform läuft in NTT-Rechenzentren, Tier-3+, mehrfach zertifiziert. Deutsches Recht, kein CLOUD Act, keine US-Jurisdiktion.

DORA-konforme Vertragsvorlagen

Audit-Rechte, Exit-Strategien, dokumentierte Lieferkettensicherheit, unsere Vertragsvorlagen sind auf die Anforderungen regulierter Branchen ausgelegt. Keine Überraschungen beim BaFin-Audit.

Compliance-Beratung bei Adacor: zwei Kollegen im fachlichen Austausch im Büro

„Vier Zertifizierungen, ein Ansprechpartner. Für Ihren Prüfer bedeutet das: kürzere Audits, weniger Rückfragen, schnellere Freigabe."

5 Regulierungen, ein Compliance-Framework
70–80 % der NIS2-Anforderungen durch ISO 27001 bereits abgedeckt
Nächster Schritt

Compliance-Anforderungen besprechen

In einem 30-minütigen Gespräch ordnen wir ein, welche Regulierungen für Sie relevant sind und wie Ihr aktueller Cloud-Provider aufgestellt ist. Sie erhalten eine ehrliche Einschätzung, auch wenn Ihr Setup bereits gut aufgestellt ist.

  • Regulierungs-Check: NIS2, DORA, C5, AI Act. Was gilt für Sie?
  • Provider-Bewertung: Erfüllt Ihr Cloud-Provider die Anforderungen?
  • Synergien nutzen: Welche Überschneidungen können Sie für sich arbeiten lassen?
  • Unverbindlich, auch wenn die Antwort „Sie sind auf gutem Weg" lautet
Zusammenarbeit mit Adacor: angeregtes Gespräch am Stehtisch, eine Person erklärt mit Handgeste

Bereit für den Compliance-Check?

Lassen Sie uns in einem kurzen Gespräch herausfinden, welche Regulierungen für Sie relevant sind und ob Ihr Cloud-Provider die Anforderungen erfüllt.