Welche regulatorischen Veränderungen im Bereich IT-Compliance sehen Sie derzeit als besonders einflussreich für Systemhäuser?
Die NIS2-Richtlinie ist das beherrschende Thema – und was viele unterschätzen: Die eigentliche Veränderung liegt in der verschärften persönlichen Haftung der Geschäftsführung. Das ändert die Dynamik in Gesprächen fundamental. Plötzlich sitzt nicht mehr nur der IT-Leiter am Tisch, sondern die Geschäftsführung will verstehen, was konkret zu tun ist. DORA bringt im Finanzsektor ähnliche Entwicklungen mit noch schärferen Anforderungen an die digitale Resilienz.
Parallel wächst die Erwartung an Transparenz bei Security-Vorfällen. Die Zeiten, in denen man Breaches unter den Teppich kehren konnte, sind vorbei. Das schafft einen gesunden Druck – erfordert aber auch eine neue Kultur. Nicht Perfektion ist das Ziel, sondern ehrlicher Umgang mit Risiken und professionelles Incident Management.
Inwiefern beeinflussen diese Veränderungen die täglichen Abläufe und strategischen Entscheidungen in Systemhäusern?
Die regulatorischen Anforderungen verschieben den Fokus massiv. Früher haben Systemhäuser projektbasiert gedacht: System implementieren, Rechnung schreiben, zum nächsten Kunden. Das funktioniert bei NIS2 nicht mehr. Die Anforderungen sind kontinuierlich – Monitoring, Updates, Dokumentation. Systemhäuser müssen weg vom reinen Projektgeschäft hin zu langfristigen Service-Beziehungen.
Das stellt besonders kleinere Anbieter vor Herausforderungen. Wenn ein Kunde erwartet, dass sein SOC 24/7 überwacht wird und bei Incidents sofort Expertise verfügbar ist, reicht ein kleines Team nicht mehr aus. Es geht nicht um Qualität, sondern um Kapazität und Redundanz. Das führt zu einer Marktkonsolidierung hin zu spezialisierten Dienstleistern.
Welche Herausforderungen sehen Sie bei der Umsetzung neuer Compliance-Vorgaben?
Compliance-Vorgaben sind oft generisch formuliert – das verunsichert. Machen wir genug? Machen wir das Richtige? Dazu kommt die Herausforderung gewachsener IT-Landschaften: Legacy-Systeme lassen sich nicht von heute auf morgen an neue Anforderungen anpassen. Es braucht praktikable Übergangslösungen und Ehrlichkeit darüber, was geht und was nicht.
Was oft übersehen wird: Viele Anforderungen sind keine direkten Handlungsaufforderungen, sondern es geht ums Managen von Risiken. Ein Managementsystem, das zeigt: Wir kennen unsere Risiken und haben einen Plan. Das ist oft wertvoller als technische Perfektion ohne Kontext. Auditoren wollen sehen, dass man versteht, was man tut und warum.
Wie erleben Systemhäuser die Reaktionen ihrer Kunden im Hinblick auf IT-Compliance?
Die Reaktionen sind zweigeteilt. Unternehmen, die bereits zertifiziert sind – ISO 27001, Branchenstandards – leben Informationssicherheit und sehen neue Anforderungen als handhabbaren Aufwand. Die Mehrheit im Mittelstand sieht das anders: Dort herrscht oft Unzufriedenheit über die wachsende Regulatorik. Das Kernproblem liegt in den Ressourcen – die wenigsten KMU haben einen Informationssicherheitsbeauftragten.
Genau hier setzen wir an: Wir begleiten Kunden dabei, Anforderungen pragmatisch umzusetzen. Sobald sie merken, dass es um einen strukturierten Prozess geht und nicht um sofortige Perfektion, entspannt sich die Situation. Ein gutes Informationssicherheits-Managementsystem nimmt Druck raus, statt welchen aufzubauen.
Welcher Trend könnte die IT-Compliance-Landschaft in Zukunft maßgeblich formen?
Zwei Entwicklungen werden prägend: Erstens KI in der Security – Angreifer nutzen sie bereits für überzeugendere Phishing-Mails, wir für Bedrohungserkennung. Das wirft neue Compliance-Fragen auf. Zweitens digitale Souveränität: Die geopolitische Lage zwingt uns, über Abhängigkeiten nachzudenken. Deshalb haben wir mit der CompanyCloud und souveräner KI in deutschen Rechenzentren eine Lösung entwickelt, die Kontrolle und Handlungsfähigkeit sichert.
Ein unterschätzter Punkt: Die mentale Belastung der Security-Verantwortlichen. CISOs haben eine der höchsten Burnout-Raten der IT-Branche. Das wird in Compliance-Überlegungen einfließen müssen – nicht nur „Was muss implementiert sein?“, sondern auch „Wer kann das dauerhaft leisten?“. Die Zukunft der IT-Compliance wird komplexer, aber hoffentlich auch menschlicher.
