Welche politischen oder regulatorischen Veränderungen beeinflussen derzeit die IT-Infrastruktur von Unternehmen am stärksten?
Die stärksten Einflussfaktoren sind derzeit drei zentrale Regelwerke: Die NIS2-Richtlinie, die am 6. Dezember 2025 in Deutschland in Kraft trat, stellt mit über 30.000 betroffenen Unternehmen die größte unmittelbare Auswirkung dar. Sie erweitert die Anforderungen an Cybersicherheit massiv und betrifft nicht mehr nur klassische KRITIS-Betreiber, sondern auch Einrichtungen in Sektoren wie Energie, Wasser, Verkehr, Telekommunikation, Finanzdienstleistungen sowie nun neu auch Dienste der Informationsgesellschaft.

Parallel dazu wird der EU Data Act, der bereits im September 2025 in Kraft trat, zum strategischen Treiber für Datensouveränität. Die EU-AI-Verordnung komplettiert diese Triade – seit August 2025 gelten nun erstmals konkrete Vorgaben für Anbieter von „General Purpose AI-Modelle“, was die Anforderungen an Transparenz und Dokumentation erheblich erhöht.

Hinzu kommt das Cloud Sovereignty Framework der EU-Kommission, das eine Bewertungsinitiative mit 180 Millionen Euro zur Stärkung europäischer Alternativen zu US-Cloud-Anbietern vorantreibt. Der klassische US Cloud Act bleibt dabei ein kritischer Faktor, da er Zugriffe auf europäische Daten durch US-Behörden regelt.

Inwieweit sind Unternehmen durch diese regulatorischen Veränderungen gezwungen, ihre IT-Infrastruktur anzupassen?
Die Anpassungszwänge sind unmittelbar und ohne Übergangsfrist: NIS2 wird verbindlich ab sofort umgesetzt, ohne dass Übergangsphasen gewährt werden. Betreiber kritischer Anlagen müssen ihre Maßnahmen innerhalb von drei Jahren nachweisen und danach alle drei Jahre überprüfen lassen.

Praktisch bedeutet dies: Unternehmen müssen ihre IT-Sicherheitsmanagementsysteme (ISMS) strukturell überarbeiten. Die zentralen Anforderungen umfassen ein formalisiertes IKT-Risikomanagement, Multi-Faktor-Authentisierung für kritische Zugänge, Supply-Chain-Security-Audits, Business-Continuity- und Disaster-Recovery-Pläne sowie Meldepflichten für erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden.

Ein wesentlicher Aspekt ist die obligatorische Schulung der Geschäftsleitung – nicht nur technischer Teams. Das Sicherheitsverantwortungsverständnis muss auf C-Level verankert sein. Für Betreiber kritischer Anlagen kommt hinzu, dass Lieferketten-Sicherheit systematisch dokumentiert werden muss – Lieferanten müssen ihre Sicherheitsstandards (z. B. ISO 27001 oder vergleichbare Zertifizierungen) regelmäßig nachweisen.

Bei Cloud-Infrastruktur ist eine strategische Entscheidung erforderlich: Sollen weiterhin US-amerikanische Cloud-Anbieter genutzt werden, müssen Transfer Impact Assessments (TIA) nachweisen, dass nationale Zugriffe wirksam begrenzt sind. Dies führt bei vielen Unternehmen zu einer Hybrid- oder Multi-Cloud-Strategie mit europäischen Alternativen.

Welche Herausforderungen sehen Sie bei der Umsetzung neuer Compliance-Anforderungen in der IT-Branche?
Aus unserer Praxis identifizieren wir vier zentrale Herausforderungsfelder:

Finanzielle Dimension: Die direkten Umsetzungskosten sind erheblich. Projekte, die KI-gestützte Lösungen einbeziehen, sehen durchschnittlich 30 Prozent ihrer Gesamtbudgets für Compliance-Maßnahmen reserviert. Kleine und mittlere IT-Systemhäuser wie uns bekommen diese Kostenlasten unmittelbar durch ihre Kundenanforderungen übertragen – gleichzeitig steigen unsere eigenen Compliance-Kosten proportional.

Technische Komplexität: Die Anforderungen sind nicht isoliert. DSGVO, NIS2, AI Act und Cloud-Souveränität müssen in integrierte Konzepte überführt werden. Unternehmen müssen beispielsweise Zero-Trust-Architekturen implementieren, die gleichzeitig NIS2-konform, datenschutzgerecht und KI-ausrichtungskonform sind. Das verlangt Expertise, die vielen Unternehmen noch fehlt.

Organisatorische Hürden: Viele Mittelständler verfügen nicht über dedizierte Compliance-Teams oder Datenschützer. Die Konzentration dieser Funktionen auf wenige Personen führt zu Bottlenecks. Zudem ist Change-Management in etablierten Unternehmen schwierig – Legacy-Systeme lassen sich nicht einfach „compliance-gerecht“ umstellen. Wir beobachten, dass der Umsetzungsstand in deutschen Unternehmen nach wie vor gering ist: Weniger als die Hälfte beschäftigt sich ernsthaft mit NIS2.

Lieferkettendimensionen: Die Anforderung, Lieferanten zu auditieren, schafft eine neue Compliance-Verantwortung. Kleine Zulieferer, die bisher keine formalen Sicherheitszertifikate hatten, müssen diese nun nachweisen oder Audits ermöglichen – eine Belastung, die zu Konsolidierungstendenzen in der Branche führt.

Wie reagieren Unternehmen auf die zunehmenden regulatorischen Anforderungen, und welche Erfahrungswerte gibt es aus der Praxis?
Reaktionsmuster: Wir beobachten drei typische Strategien:

Typ 1 – Der proaktive Adapter: Diese Unternehmen (oft börsennah oder reguliert) integrierten NIS2-Anforderungen früh und nutzen dies als Wettbewerbsvorteil – ihre bessere Sicherheitsposition wird zum Verkaufsargument und Kunden-Differenzierungsmerkmal. Diese Gruppe investiert parallel in Security-Governance-Strukturen und baut interne Compliance-Kulturen auf.

Typ 2 – Der reaktive Umsteller: Die Mehrheit der mittelständischen Unternehmen agiert unter Druck – oft getrieben durch anstehende Audits oder Kundenanforderungen. Sie implementieren dann relativ schnell, verlieren aber in diesem Prozess Agilität. Hier entstehen häufig „Compliance-Silos“ ohne echte Integration mit Geschäftsprozessen.

Typ 3 – Der abwartende Rigidität: Eine dritte Gruppe signalisiert Verständnis, agiert aber noch nicht. Sie warten oft auf Konkretisierungen oder konkurrieren mit anderen Investitionsprioritäten.

Praktische Erfahrungswerte aus unseren Projekten:
Ein klassisches Mittelstands-Fertigungsunternehmen (150 Mitarbeiter) benötigte etwa 6–9 Monate, um ein strukturiertes ISMS aufzubauen und erste Konformitätsnachweise zu erbringen. Die Kosten lagen zwischen 80.000 und 150.000 Euro inklusive externer Beratung. Ein Dienstleister mit 50 Mitarbeitern investierte etwa 40.000 Euro über 6 Monate.

Das kritischste Element in allen Projekten war nicht die Technik, sondern der Paradigmenwechsel im Management: Solange die Geschäftsführung Compliance als IT-Problem sah statt als Geschäftsrisiko, scheiterten Implementierungen. Sobald dieser Perspektivwechsel gelang, beschleunigten sich Umsetzungen massiv.

Ein weiterer Lernpunkt: Automatisierung und Tooling sind zentral. Unternehmen, die in GRC-Software (Governance, Risk & Compliance) und ISMS-Managementsysteme investierten, konnten Dokumentation und Nachweispflichten erheblich vereinfachen. Manuelle Compliance wird zur Kostenfalle.

Welche gesellschaftlichen oder regulatorischen Trends werden Ihrer Meinung nach in der Zukunft die IT-Infrastruktur prägen?
Ich sehe hier fünf dominante Trends:

1. Technologische Souveränität als Kernstrategie: Das Paradigma wechselt von globaler Cloud-Offenheit hin zu strategischer Kontrolle über kritische Technologien. Das Schlagwort „resiliente Interdependenz“ beschreibt dies treffend – nicht absolute Autarkie, sondern Risikominimierung durch Diversifizierung. Regionale Cloud-Alternativen, europäische KI-Modelle und Hardware-Unabhängigkeit werden zum Standard. Deutschland und Europa müssen hier „gestalten statt nur nutzen“.

2. Regulatorische Integration: NIS2, DORA, AI Act und GDPR wachsen nicht zusammen, sondern überlappen zunehmend. Die nächsten Jahre werden zeigen, ob die EU diese Regelwerke integriert oder ob Unternehmen weiterhin mit fragmentierten Compliance-Anforderungen kämpfen. Wahrscheinlich: Beides. Das bedeutet für IT-Infrastruktur, dass Sicherheitsarchitekturen „compliance-agnostisch“ sein müssen – sie sollen flexibel auf verschiedene Regelwerke reagieren können.

3. KI als infrastrukturelle Notwendigkeit und Compliance-Risiko: KI wird zum Rückgrat von Sicherheitsarchitekturen – Anomalie-Detection, automatisierte Patch-Management, KI-gestützte Threat-Hunting. Gleichzeitig wird KI-Governance zur neuen Compliance-Belastung. Der AI Act wird präzisieren, welche KI-Systeme „hochriskant“ gelten – insbesondere im Kontext von Personalentscheidungen und Biometrie.

4. Zero Trust und Mikrosegmentierung als Standard: Perimeter-basierte Sicherheit wird obsolet. Unternehmen werden gezwungen, Netzwerksegmentierung und kontinuierliche Authentisierung als Basiskontrolle zu implementieren – nicht als Optional. Dies prägt sowohl Infrastruktur-Architektur als auch operative Prozesse.

5. Fachkräftemangel als kritischer Bottleneck: Alle regulatorischen Ambitionen scheitern ohne ausreichende Expertise. Deutschland braucht dringend Investitionen in Cybersecurity-Ausbildung, sonst wird Compliance zur Kostenbelastung ohne Mehrwert. IT-Systemhäuser wie wir sehen bereits jetzt massive Engpässe bei der Besetzung von Compliance-Rollen und Security-Spezialisten.

Fazit: IT-Infrastruktur wird in den kommenden 3–5 Jahren weniger durch technologische Innovation als durch regulatorische Zwänge transformiert. Das ist eine Chance für Unternehmen, die proaktiv handeln, und ein Risiko für jene, die reagieren. Die Gewinner sind Organisationen, die Compliance als strategisches Differenzierungsmerkmal nutzen – nicht als Kostenfaktor.NIS2, Data Act und AI Act erhöhen den Druck auf IT-Architekturen. Bünyamin Arik erklärt, warum Compliance zur Managementaufgabe wird – und welche Strategien in der Praxis funktionieren.