Die Zukunft der IT-Sicherheit und Compliance bis 2030 Eine spannende Reise durch digitale Resilienz, neue Standards und technologische Entwicklungen //

Im Januar 2025 markiert die Einführung des Digital Operational Resilience Act (DORA) einen entscheidenden Wendepunkt für die IT-Sicherheit und Compliance, insbesondere im Finanzsektor. DORA fordert von Finanzinstituten, ihre digitale Resilienz zu stärken, um sich besser gegen Cyberangriffe und technische Störungen abzusichern.

Doch was bedeutet dies für die kommenden Jahre?
Und welche weiteren regulatorischen Entwicklungen zeichnen sich ab?

Wir werfen einen Blick auf die nächsten fünf Jahre bis 2030 und prognostizieren, wie die IT-Welt, die Cybersicherheit und die Compliance-Landschaft durch neue Standards wie DORA 2.0, NIS3 und KRITIS v3 geprägt werden könnte.

DORA und die digitale Resilienz: Weiterentwicklung und neue Anforderungen

Seit dem Inkrafttreten von DORA am 17. Januar 2025 zeigt sich, wie stark dieser neue Standard die IT-Sicherheitslandschaft prägen wird. Das BSI bestätigt unsere Einschätzung, dass DORA als zentraler Rahmen die Grundlage für eine Harmonisierung nationaler Standards bildet. Bereits jetzt ersetzen DORA-konforme Vorgaben KAIT, VAIT und ZAIT, während BAIT bis 2027 folgen wird.

Diese Entwicklung unterstreicht die wachsende Bedeutung internationaler Standards als Basis für IT-Sicherheits- und Compliance-Anforderungen. DORA markiert den Beginn einer Ära, in der Unternehmen mit einem klaren, einheitlichen Regelwerk arbeiten können – ein entscheidender Schritt hin zu mehr Resilienz und einer effektiven globalen Cybersicherheitsstrategie.

Gleichzeitig stellt der Digital Operational Resilience Act (DORA) einen Meilenstein für die IT-Sicherheit und operative Stabilität im europäischen Finanzsektor dar. Die Verordnung fordert nicht nur robuste IT-Systeme, die Cyberangriffe abwehren können, sondern auch eine kontinuierliche Sicherstellung der Finanzdienstleistungskontinuität. Strengere Anforderungen an Risikomanagement, regelmäßige Stresstests und IT-Notfallübungen sind zentrale Elemente, die die digitale Resilienz auf ein neues Level heben.

Doch DORA ist erst der Anfang: Diese Verordnung verdeutlicht, wie wichtig eine klare, internationale Grundlage für die IT-Sicherheit ist. Sie schafft nicht nur Harmonisierung und Transparenz, sondern setzt auch neue Maßstäbe für die operative Resilienz und regulatorische Sicherheit. Die Integration nationaler Vorgaben wie BAIT, VAIT und ZAIT in den DORA-Rahmen zeigt, dass die Zukunft der Cybersicherheit in einem einheitlichen, standardisierten Ansatz liegt. DORA ist damit der Wegweiser für eine digitale Resilienz, die sowohl den Anforderungen von heute als auch den Herausforderungen der kommenden Jahre gerecht wird.

Zukünftige Entwicklungen: DORA 2 und neue Technologien

DORA 2: Erweiterung auf DeFi und Krypto-Assets (2028)

Bis 2028 wird erwartet, dass eine aktualisierte Version, „DORA 2.0“, neue Technologien wie dezentrale Finanzen (DeFi) und Krypto-Assets integriert. Der rasante Anstieg von Blockchain-basierten Finanzsystemen birgt nicht nur Chancen, sondern auch Risiken. Finanzinstitute werden verpflichtet, strengere Sicherheitsmaßnahmen und Kontrollen für DeFi-Protokolle und Krypto-Transaktionen zu implementieren. Ziel ist es, diese innovativen Ansätze sicher und rechtskonform in bestehende Systeme zu integrieren, ohne die Stabilität des Finanzmarktes zu gefährden.

DORA 2:Ethischer Einsatz von Künstlicher Intelligenz (KI)

Schon ab 2026 könnten in DORA neue Regelungen eingeführt werden, die sich auf den ethischen Einsatz von KI in Finanzsystemen konzentrieren. Dies umfasst Anforderungen an die Transparenz von Algorithmen, die Nachvollziehbarkeit automatisierter Entscheidungen und ein strenges Risikomanagement für KI-gestützte Anwendungen. Finanzinstitute müssen sicherstellen, dass ihre KI-Systeme nicht nur effektiv, sondern auch frei von Diskriminierung und unvorhergesehenen Risiken sind.

DORA 2: Multi-Cloud-Strategien und Cloud-Exit-Pläne (bis 2028)

Die Abhängigkeit von einzelnen Cloud-Dienstleistern stellt ein erhebliches Risiko dar, das durch Multi-Cloud-Strategien minimiert werden soll. Bis 2028 wird erwartet, dass DORA 2.0 detaillierte Anforderungen an die Nutzung von Multi-Cloud-Architekturen und Exit-Strategien definiert. Diese Pläne sollen sicherstellen, dass Unternehmen auch bei einem Ausfall oder einem Anbieterwechsel ihre operativen Prozesse nahtlos weiterführen können.

DORA 2: Quantenresistenz: Vorbereitung auf die Ära der Quantencomputer

Spätestens ab 2029 könnten in DORA Quantenresistenz-Anforderungen aufgenommen werden. Der technologische Fortschritt in der Quantencomputing-Forschung bedroht die heutigen Kryptografie-Standards, die essenziell für die Datensicherheit sind. Finanzinstitute müssen sicherstellen, dass ihre Verschlüsselungstechnologien auch in einer Post-Quantum-Ära bestehen können. Hierzu werden sie verpflichtet, neue, quantenresistente Algorithmen zu implementieren und ihre IT-Infrastruktur entsprechend zu modernisieren.

Unser Fazit zu DORA und DORA 2:

Die kommenden Erweiterungen von DORA zeigen, dass der Fokus auf digitale Resilienz nicht nur auf die Gegenwart, sondern auch auf die Zukunftstechnologien gerichtet ist. Unternehmen, die diese Entwicklungen antizipieren und proaktiv handeln, können nicht nur regulatorische Anforderungen erfüllen, sondern auch ihre Wettbewerbsposition in einer zunehmend digitalisierten und technologiegesteuerten Welt stärken.

NIS2 und NIS3: Weiterentwicklung der Netzwerk- und Informationssicherheit

Mit dem Inkrafttreten der NIS2-Richtlinie (Network and Information Systems Directive 2) am 16. Oktober 2024 wurde ein neuer Standard für die Cybersicherheit kritischer und wesentlicher Dienste in der Europäischen Union gesetzt. Die Richtlinie zielt darauf ab, die Sicherheitsanforderungen zu harmonisieren, die Widerstandsfähigkeit zu stärken und die Zusammenarbeit zwischen EU-Mitgliedstaaten zu verbessern.

Die EU-Mitgliedstaaten haben nun bis Oktober 2026 Zeit, die NIS2-Richtlinie in nationales Recht umzusetzen. Dieser Schritt ist essenziell, um die rechtliche Verbindlichkeit der Richtlinie sicherzustellen und die entsprechenden Mechanismen für Aufsicht und Durchsetzung zu etablieren. Dies umfasst die Anpassung bestehender Gesetze, die Einführung neuer Regelungen und die Stärkung nationaler Cybersicherheitsinstitutionen wie CSIRTs (Computer Security Incident Response Teams).

Die Umsetzung dieser Richtlinie in nationales Recht markiert einen entscheidenden Schritt hin zu einem sicheren digitalen Binnenmarkt. Doch die Entwicklung geht weiter: Zukünftige Iterationen wie NIS3 könnten zusätzliche Anforderungen mit sich bringen, die neue Technologien berücksichtigen und bestehende Standards weiterentwickeln.

NIS3: Harmonisierung und sektorübergreifende Standards (bis 2027)

Die NIS2-Richtlinie hat bereits wesentliche Fortschritte in der Angleichung der Sicherheitsanforderungen zwischen Sektoren erzielt. Bis 2027 wird erwartet, dass diese Harmonisierung noch weiter vorangetrieben wird, insbesondere in Abstimmung mit anderen regulatorischen Rahmenwerken wie dem KRITIS-Gesetz in Deutschland.

Ziel ist es wohl, sektorübergreifende Standards zu schaffen, die die Einhaltung erleichtern und Redundanzen minimieren. Dies würde Unternehmen, die in mehreren Sektoren tätig sind, ermöglichen, mit einem einheitlichen Ansatz ihre Compliance sicherzustellen und gleichzeitig die Cybersicherheitsstrategie effizienter zu gestalten.

NIS3: Automatisierte Compliance-Tools (bis 2030)

Die wachsende Komplexität der regulatorischen Anforderungen macht automatisierte Compliance-Prozesse zu einem unverzichtbaren Bestandteil moderner Cybersicherheitsstrategien. KI-gestützte Tools könnten bis 2030 ein Standardinstrument werden, um Unternehmen dabei zu unterstützen, Sicherheitsanforderungen effizient und lückenlos zu erfüllen.

Solche Technologien ermöglichen die Echtzeit-Überprüfung von IT-Infrastrukturen, identifizieren Schwachstellen und schlagen präventive Maßnahmen vor. Insbesondere für Unternehmen, die mehreren regulatorischen Anforderungen unterliegen, sind diese Lösungen ein Schlüssel zur effektiven Bewältigung von Compliance-Herausforderungen.

NIS3: KI-gestützte Bedrohungserkennung und -abwehr (bis 2029)

Die fortschreitende Digitalisierung und die steigende Anzahl komplexer Cyberbedrohungen machen den Einsatz von KI in der Bedrohungserkennung unverzichtbar. NIS3 könnte bis 2029 spezifische Anforderungen für KI-gestützte Systeme formulieren, die in der Lage sind, Angriffe in Echtzeit zu analysieren und autonom Abwehrmaßnahmen einzuleiten.

Diese Systeme können nicht nur bekannte Angriffsmuster schneller erkennen, sondern auch Anomalien identifizieren, die auf neue oder sich entwickelnde Bedrohungen hinweisen. Durch eine engere Integration von KI in die Sicherheitsarchitekturen wird erwartet, dass die Resilienz kritischer Infrastrukturen signifikant gesteigert wird.

Unser Fazit zur weiterentwicklung der NIS2 zur NIS3

Mit dem Inkrafttreten von NIS2 am 16. Oktober 2024 wurde ein entscheidender Meilenstein zur Verbesserung der Cybersicherheitslandschaft in Europa erreicht. Doch die Weiterentwicklung geht weiter: NIS3 könnte in der Zukunft noch umfassendere technologische und regulatorische Maßnahmen einführen, um die Sicherheitsanforderungen an die zunehmend komplexen IT-Umgebungen anzupassen.

In den kommenden Jahren werden die Harmonisierung von Sicherheitsstandards, der Einsatz automatisierter Compliance-Tools und der verstärkte Einsatz von KI zur Bedrohungserkennung zentrale Themen der Cybersicherheitsstrategie darstellen. Unternehmen, die frühzeitig in diese Technologien und Strategien investieren, sichern sich nicht nur die Einhaltung von Vorschriften, sondern stärken auch ihre digitale Resilienz und ihre Wettbewerbsfähigkeit auf dem Markt.

KRITIS und das IT-Sicherheitsgesetz 3.0: Die Anpassung an die neue Technologiewelt

Die Sicherstellung der Verfügbarkeit und Resilienz kritischer Infrastrukturen ist eine zentrale Aufgabe moderner Cybersicherheitsgesetze. Sowohl das KRITIS-Gesetz als auch das IT-Sicherheitsgesetz haben bereits wesentliche Grundlagen geschaffen, um kritische Systeme gegen Cyberangriffe und andere Bedrohungen zu schützen.

Doch die rasant voranschreitende technologische Entwicklung erfordert stetige Anpassungen. In den kommenden Jahren werden voraussichtlich neue Anforderungen und Standards eingeführt, um auf aufkommende Technologien und Risiken zu reagieren.

KRITIS 3.0 und Quantenkryptografie (bis 2030)

Mit der zunehmenden Entwicklung von Quantencomputern könnte das KRITIS-Gesetz bis 2030 neue Standards für die Nutzung quantensicherer Verschlüsselungsverfahren festlegen. Hintergrund ist die Fähigkeit von Quantencomputern, herkömmliche kryptografische Verfahren zu knacken, wodurch langfristig gespeicherte, aber heute verschlüsselte Daten einem Risiko ausgesetzt wären.

KRITIS 3.0 könnte daher vorschreiben, dass Betreiber kritischer Infrastrukturen bereits frühzeitig auf sogenannte quantenresistente Algorithmen umsteigen, um eine rückwirkende Entschlüsselung sensibler Daten zu verhindern.

IoT-Sicherheit in kritischen Infrastrukturen (bis 2027)

Das Internet der Dinge (IoT) spielt eine immer größere Rolle in kritischen Infrastrukturen, bringt jedoch erhebliche Sicherheitsrisiken mit sich. Bis 2027 wird erwartet, dass das IT-Sicherheitsgesetz spezifische Vorgaben für IoT-Geräte einführt, die in sensiblen Umgebungen eingesetzt werden.

Diese Regelungen könnten Sicherheitszertifizierungen, regelmäßige Penetrationstests und Mindeststandards für Firmware-Updates umfassen. Ziel ist es, die Widerstandsfähigkeit dieser Geräte gegen Cyberangriffe zu erhöhen und sicherzustellen, dass sie nicht als Einstiegspunkte für Angriffe genutzt werden können.

KRITIS 3.0 und die Regulierung von Blockchain in Finanzinstituten (bis 2028)

Blockchain-Technologien bieten großes Potenzial, die Integrität von Daten und Transaktionen in Finanzinstituten zu gewährleisten. Ab 2028 könnte das IT-Sicherheitsgesetz v3 oder ergänzende Vorgaben die regulierte Nutzung dieser Technologie vorschreiben, insbesondere für den Schutz sensibler Transaktionssysteme und die Nachvollziehbarkeit von Datenflüssen.

Die Integration von Blockchain in Finanzsysteme würde nicht nur Transparenz fördern, sondern auch neue Angriffsszenarien erfordern, die durch spezifische Sicherheitsmaßnahmen adressiert werden müssen.

Unser Fazit zur mölichen KRITIS 3.0

Das KRITIS-Gesetz und das IT-Sicherheitsgesetz haben eine solide Grundlage für die Absicherung kritischer Infrastrukturen geschaffen. Doch die technologischen Herausforderungen wie Quantencomputing, IoT und Blockchain machen eine Weiterentwicklung unabdingbar.

Die geplanten Anpassungen, von Quantenkryptografie über IoT-Sicherheitsstandards bis hin zur Blockchain-Nutzung, stellen sicher, dass Deutschland und Europa den steigenden Anforderungen der Cybersicherheitslandschaft gewachsen bleiben. Unternehmen, die frühzeitig auf diese Entwicklungen reagieren, werden nicht nur Sicherheitsvorteile, sondern auch regulatorische Compliance sicherstellen können.

Neue Standards und Trends: Cloud, Krypto, Big Data und die Rolle der KI

Die IT-Sicherheitslandschaft entwickelt sich in rasantem Tempo weiter, angetrieben durch neue Technologien, sich wandelnde Bedrohungen und zunehmend komplexe regulatorische Anforderungen.
Bis 2030 zeichnen sich mehrere wegweisende Trends und Standards ab, die die Zukunft der IT-Sicherheit prägen werden.

Zunehmende Konvergenz der Standards

Ab 2025 werden regulatorische Rahmenwerke wie KAIT, VAIT und ZAIT schrittweise durch DORA ersetzt, während BAIT bis 2027 folgt. Diese Entwicklung verdeutlicht den Weg hin zu einer stärkeren Harmonisierung von IT-Sicherheitsstandards und der Schaffung eines einheitlichen europäischen Rahmens.

Die Harmonisierung von Standards wie NIS2, dem IT-Sicherheitsgesetz und internationalen Rahmenwerken wird nicht nur regulatorische Anforderungen vereinfachen, sondern auch die internationale Zusammenarbeit zur Bekämpfung von Cyberbedrohungen stärken. Unternehmen können dadurch effizienter arbeiten, indem sie ihre Compliance-Bemühungen auf eine einheitliche Grundlage stellen und Redundanzen vermeiden.

Diese Konvergenz bringt zudem die Möglichkeit, Ressourcen gezielter einzusetzen, und bildet den Rahmen, um den steigenden Anforderungen an IT-Sicherheit, Resilienz und digitale Transformation gerecht zu werden. Der Wechsel von nationalen Regelwerken wie BAIT hin zu DORA spiegelt die Notwendigkeit wider, Standards auf die globalen Herausforderungen der nächsten Dekade auszurichten.

Cloud und IKT-Dienstleister: Multi-Cloud-Architekturen und Zertifizierungen

Bis 2027 wird erwartet, dass etwa 80 % der Finanzinstitute auf Multi-Cloud-Architekturen setzen, um die Risiken durch Abhängigkeit von einzelnen Anbietern zu minimieren und gleichzeitig eine höhere Resilienz zu erreichen.

Ab 2026 könnte ein EU-weites Zertifizierungssystem für IKT-Dienstleister eingeführt werden, ähnlich einem „DORA-Compliant“-Siegel. Dieses würde sicherstellen, dass Anbieter wie Amazon Web Services, Microsoft Azure und Google Cloud den höchsten Standards in Bezug auf Sicherheit, Datenschutz und Ausfallsicherheit entsprechen.

Big Data: Datenanalyse und Sicherheit

Die Verarbeitung großer Datenmengen (Big Data) wird in der IT-Sicherheitslandschaft immer relevanter. Mit dem exponentiellen Wachstum von Daten in Unternehmen und Organisationen bis 2030 sind Sicherheitsmaßnahmen für die Speicherung, Verarbeitung und Analyse von Big Data essenziell.

  • Datensicherheitsstrategien: Unternehmen müssen erweiterte Maßnahmen wie Anonymisierung, Verschlüsselung und Zugangskontrollen implementieren, um die Integrität und Vertraulichkeit von Big Data zu gewährleisten.
  • Regulierung und Compliance: Bis 2028 könnten spezifische Vorgaben für Big-Data-Systeme eingeführt werden, die den Schutz sensibler Informationen und die Einhaltung von Datenschutzrichtlinien sicherstellen.
  • Echtzeit-Analyse: Big-Data-Technologien in Kombination mit KI ermöglichen eine Echtzeit-Überwachung und -Analyse von Netzwerkaktivitäten, wodurch Bedrohungen schneller erkannt und abgewehrt werden können.

Edge Computing: Dezentralisierung der Datenverarbeitung

Edge Computing wird bis 2028 zur Norm für Unternehmen, die große Mengen an Daten verarbeiten und gleichzeitig lokale Datenschutzanforderungen erfüllen müssen. Die Verlagerung der Datenverarbeitung an den Netzwerkrand reduziert Latenzzeiten, dezentrale Verarbeitung sind weniger anfällig für Ausfälle zentraler Server und ermöglicht eine bessere Kontrolle sensibler Informationen.

Obwohl Edge Computing viele Vorteile bietet, stellt die Sicherung der Vielzahl an Geräten am Netzwerkrand eine erhebliche Herausforderung für die IT-Sicherheit dar.

Kryptowährungen und Krypto-Assets: Regulierung und Sicherheit

Die zunehmende Verbreitung von Kryptowährungen und dezentralen Finanzprotokollen (DeFi) stellt neue Herausforderungen dar. Bis 2028 könnten spezifische Sicherheits- und Transparenzvorgaben für den Umgang mit Kryptowährungen und Blockchain-basierten Anwendungen in regulatorische Rahmen integriert werden.

  • Internationale Standards: Es werden internationale Standards für die Regulierung von Krypto-Assets entwickelt.
  • Sandboxes: Regulatorische Sandboxes ermöglichen es Unternehmen, innovative Produkte und Dienstleistungen in einem kontrollierten Umfeld zu testen.
  • Stärkere Zusammenarbeit zwischen Aufsichtsbehörden: Eine engere Zusammenarbeit zwischen nationalen und internationalen Aufsichtsbehörden wird die effektive Regulierung fördern.

Es ist wichtig zu betonen, dass die Entwicklung der Regulierung von Kryptowährungen und DeFi ein dynamischer Prozess ist, der von technologischen Entwicklungen, Marktentwicklungen und politischen Entscheidungen beeinflusst wird.

Künstliche Intelligenz: Cybersicherheit und Resilienz durch Automatisierung

Die Integration von KI in IT-Sicherheitssysteme wird eine transformative Rolle spielen. KI wird nicht nur für die Bedrohungserkennung eingesetzt, sondern auch für:

  • Compliance-Monitoring: KI-gestützte Tools können Echtzeitanalysen durchführen, Schwachstellen erkennen und Maßnahmen vorschlagen.
  • Cyberangriffs-Simulationen: Mithilfe von KI können Unternehmen Resilienztests durchführen und ihre Abwehrmechanismen auf den neuesten Stand bringen.
  • Präventive Cyberabwehr: KI-Systeme werden dazu beitragen, Cyberrisiken vorherzusagen und proaktiv Gegenmaßnahmen einzuleiten.

Unser Fazit zu neuen Standards und Trends

Trends wie Multi-Cloud, Big Data, Edge Computing, KI und die Regulierung von Krypto-Assets erfordern von Unternehmen nicht nur technische Anpassungen, sondern auch eine strategische Neuausrichtung. Frühzeitige Investitionen in diese Technologien und Standards stärken die Resilienz und verschaffen Unternehmen Wettbewerbsvorteile in einer zunehmend digitalisierten Welt.

Und jetzt?

Die IT-Sicherheitslandschaft der Zukunft – Herausforderung und Chancen bis 2030.

Die Entwicklung der IT-Sicherheitslandschaft von heute bis ins Jahr 2030 zeichnet sich durch tiefgreifende Veränderungen und eine immer stärkere Verflechtung von Technologie, Regulierung und neuen Bedrohungen aus. Diese Dynamik macht deutlich, dass eine zukunftssichere IT-Strategie weit mehr erfordert als reine Compliance mit aktuellen Standards.

Ein sich wandelndes Paradigma

Der zunehmende Einsatz von Künstlicher Intelligenz, Multi-Cloud-Architekturen und Big-Data-Lösungen transformiert die Art und Weise, wie Unternehmen Sicherheit und Resilienz gestalten müssen. Gleichzeitig nehmen die Bedrohungen durch Cyberangriffe und die Komplexität neuer Technologien wie Quantencomputing und Blockchain zu. Diese Entwicklungen zeigen, dass IT-Sicherheit längst kein technisches Randthema mehr ist, sondern integraler Bestandteil einer zukunftsfähigen Unternehmensstrategie sein muss.

Die Rolle der Regulierung

Mit Rahmenwerken wie DORA 2 (?), NIS3 (?) und dem IT-Sicherheitsgesetz v3 wird der regulatorische Druck weiter steigen. Diese Standards sind jedoch mehr als nur Compliance-Hürden: Sie bieten Unternehmen klare Leitlinien, um ihre Widerstandsfähigkeit gegenüber Ausfällen und Angriffen zu stärken. Die zunehmende Harmonisierung zwischen nationalen und internationalen Vorgaben schafft zudem eine Basis für effizientere Sicherheitsstrategien.

Technologie als Schlüssel und Herausforderung

Innovationen wie Edge Computing, KI-gestützte Sicherheitssysteme und Quantenresistenz in der Kryptografie bieten enorme Chancen, bringen aber auch erhebliche Herausforderungen mit sich. Die Integration neuer Technologien erfordert eine fundierte Planung, eine ganzheitliche Sicherheitsarchitektur und eine kontinuierliche Anpassung an neue Bedrohungsszenarien.

Ein klarer Appell: Expertenwissen ist unverzichtbar, setzen Sie auf den richtigen Partner

Die Komplexität dieser Veränderungen macht deutlich, dass Unternehmen die kommenden Herausforderungen kaum allein bewältigen können. Ohne die Unterstützung erfahrener Partner, die tief in den regulatorischen Anforderungen, technologischen Trends und Sicherheitsstrategien verwurzelt sind, wird es schwierig, den Überblick zu behalten und gleichzeitig eine effektive IT-Sicherheitsstrategie umzusetzen.

Stefan Neubauer
canacoon GmbH

resilience@canacoon.com