Von Jahr zu Jahr werden die Anforderungen der Regulierungsbehörden immer strenger, die Höhe der Verwaltungsstrafen und die angekündigten Änderungen bei den Sanktionen für Nichtkonformität steigen – das bedeutet, dass die Unterschätzung von Audits heute ein reales Risiko für erhebliche Verluste für jedes Unternehmen darstellt.
NIS2 – Sicherheit von Netzwerken und Systemen
Die NIS2-Richtlinie trat im Januar 2023 in Kraft, und die Frist für ihre Umsetzung in nationales Recht der Mitgliedstaaten lief am 17. Oktober 2024 ab. Polen erhielt wie 18 andere EU-Länder im Mai 2025 eine mit Gründen versehene Stellungnahme der Europäischen Kommission wegen der nicht fristgerechten Umsetzung der Richtlinie. Der Entwurf zur Novellierung des Gesetzes über das nationale Cybersicherheitssystem befindet sich derzeit in der legislativen Phase und wird voraussichtlich in der zweiten Hälfte des Jahres 2025 verabschiedet.
Trotz Verzögerungen bei der Umsetzung sollten sich die unter NIS2 fallenden Unternehmen (etwa 38.000 Unternehmen in Polen) bereits jetzt darauf vorbereiten, die wichtigsten Anforderungen zu erfüllen:
•Einführung eines Systems zum Management von Risiken und Vorfällen im Bereich der Cybersicherheit,
•schnelle Meldung schwerwiegender Vorfälle,
•regelmäßige Sicherheitstests und -überprüfungen.
•schnelle Meldung schwerwiegender Vorfälle,
•regelmäßige Sicherheitstests und -überprüfungen.
Ein Konformitätsaudit ermöglicht es zu überprüfen, ob die Organisation die Anforderungen erfüllt und für die Kontrollen der Aufsichtsbehörde bereit ist, die nach Verabschiedung des Gesetzes unweigerlich kommen werden.
DORA – Operative Widerstandsfähigkeit des Finanzsektors
Die DORA-Verordnung (Digital Operational Resilience Act) stellt besonders strenge Anforderungen an Finanzinstitute und Fintech-Unternehmen. Die Verordnung trat am 17. Januar 2025 in Kraft und gilt unmittelbar in allen EU-Mitgliedstaaten.
Die Prüfung umfasst unter anderem:
•Tests der Betriebsstabilität (z. B. Szenarien von Cyberangriffen),
•Überwachung von IT- und Cloud-Anbietern,
•Verfahren zum ICT-Risikomanagement.
•Überwachung von IT- und Cloud-Anbietern,
•Verfahren zum ICT-Risikomanagement.
DORA führt wesentlich strengere Anforderungen als frühere Vorschriften ein – von obligatorischen Penetrationstests vom Typ „War Games“ bis hin zu einem detaillierten Aufsichtsrahmen für externe Lieferanten. Finanzinstitute müssen außerdem fortschrittliche Systeme zur Meldung von Cybersicherheitsvorfällen einführen, die weit über die üblichen Verfahren zur Wiederherstellung nach einem Ausfall hinausgehen.
DSGVO – Schutz personenbezogener Daten
Die DSGVO bleibt die Grundlage für den Aufbau von Kundenvertrauen. Die Prüfung überprüft:
•Datenschutzrichtlinien und Marketingeinwilligungen,
•Methoden zur Speicherung und Verarbeitung von Daten,
•Verfahren zur Reaktion auf Verstöße.
•Methoden zur Speicherung und Verarbeitung von Daten,
•Verfahren zur Reaktion auf Verstöße.
Regelmäßige Audits minimieren das Risiko von Geldstrafen und Reputationsverlust. In Polen steigt die Zahl der Meldungen über Datenschutzverletzungen an die Datenschutzbehörde UODO stetig an – im Jahr 2024 waren es bereits über 4500, was das Ausmaß der Herausforderungen im Zusammenhang mit dem Datenschutz verdeutlicht. Unternehmen, die regelmäßig DSGVO-Audits durchführen, vermeiden nicht nur Strafen, sondern verschaffen sich auch einen Wettbewerbsvorteil, indem sie hohe Standards beim Schutz der Privatsphäre ihrer Kunden demonstrieren.
Audits als Wettbewerbsvorteil.
Unabhängig von der Branche sollte die Prüfung der Einhaltung von NIS2, DORA und DSGVO als Investition in Stabilität und Reputation betrachtet werden. Unternehmen, die Compliance strategisch angehen, reduzieren nicht nur Risiken, sondern bauen auch einen Wettbewerbsvorteil und ein professionelles Image auf.
👉 Ich unterstütze Unternehmen dabei, EU-Anforderungen zu erfüllen und digitale Widerstandsfähigkeit aufzubauen – in Zusammenarbeit mit Partnerunternehmen, die unsere Kompetenzen in den Bereichen Audit, Technologie und Regulierung ergänzen.