Thought Leadership
Wenn IT-Abteilungen heute ihre Jahresplanung aufstellen, landet Compliance längst nicht mehr am Ende der Prioritätenliste, sondern ganz oben.
NIS2, EU AI Act oder der Cyber Resilience Act: Die regulatorischen Anforderungen an den IT-Betrieb und die -Sicherheit nehmen in Bezug auf Umfang, Durchsetzungsanforderungen und Rechenschaftspflicht der Führungskräfte zu. Die Pläne für die schrittweise Durchsetzung stehen bereits. NIS2 musste bis Oktober 2024 in nationales Recht umgesetzt werden, der EU AI Act tritt seit 2025 schrittweise in Kraft und der Cyber Resilience Act soll ab 2027 gelten. Für viele Unternehmen bedeutet das: Entweder sie bauen intern Expertise auf, was schwer zu finanzieren ist, oder sie suchen Partner, die diese Lücke schließen. Managed Service Provider übernehmen hier zunehmend Rollen, die über klassischen IT-Betrieb hinausgehen.
Obwohl sie oft gemeinsam diskutiert werden, befassen sich die drei Verordnungen mit unterschiedlichen Regulierungsebenen. NIS2 regelt die Cybersicherheit von Organisationen und die Rechenschaftspflicht von Führungskräften. Der EU AI Act klärt die Gestaltung und den Betrieb von KI-Systemen auf Grundlage einer Risikoklassifizierung. Der Cyber Resilience Act definiert die Sicherheit digitaler Produkte während ihres gesamten Lebenszyklus. Praktisch regelt eine Verordnung die Organisation, eine das KI-System und eine das Produkt.
Mehr als Technik: Was die neuen Regelwerke wirklich fordern
Die Stoßrichtung der EU-Regulierung ist klar: IT-Sicherheit und digitale Compliance sollen nicht mehr reaktiv behandelt werden, sondern als dauerhafte Betriebsaufgabe. NIS2 verpflichtet einen deutlich erweiterten Kreis von Unternehmen zu verbindlichen Sicherheitsmaßnahmen, Meldepflichten und Risikomanagement. Der EU AI Act fordert Transparenz, Nachvollziehbarkeit und Kontrolle über KI-Systeme in Hochrisikobereichen. Der Cyber Resilience Act schreibt Sicherheitsanforderungen für digitale Produkte über den gesamten Lebenszyklus vor.
Was alle drei Regelwerke gemeinsam haben: Sie lassen sich nicht einmalig „abarbeiten“. Sie verlangen kontinuierliche Prozesse, laufende Dokumentation und eine enge Verzahnung zwischen IT-Betrieb und Governance. Genau hier stoßen viele IT-Abteilungen an ihre Grenzen – wegen fehlender Kapazität und Spezialisierung.
Vom Dienstleister zum Compliance-Partner
Managed Service Provider müssen sich derzeit mit einem grundlegenden Rollenwandel auseinandersetzen. Der Fokus liegt nicht mehr ausschließlich darauf, Systeme am Laufen zu halten und auf Vorfälle zu reagieren. Compliance-fähige MSP zeichnen sich durch nachweisbare Fähigkeiten aus: Sie verfügen über audit-fähige Protokollierungsarchitekturen, eine dokumentierte Kontrollzuordnung zu regulatorischen Artikeln, vordefinierte Workflows für die Meldung von Vorfällen, die auf regulatorische Fristen abgestimmt sind, sowie über regelmäßige Bewertungen der Compliance-Situation.
Ziel ist es, regulatorische Anforderungen systematisch in den täglichen Betrieb zu integrieren, sodass Compliance nicht als zusätzliche Belastung, sondern als integraler Bestandteil des routinemäßigen IT-Managements wahrgenommen wird.
Konkret bedeutet das: Ein gut aufgestellter MSP beobachtet regulatorische Entwicklungen kontinuierlich, bewertet deren Relevanz für die Kunden und überführt Anforderungen in operative Maßnahmen. Das kann ein überarbeitetes Identitäts- und Zugriffsmanagement sein, das den NIS2-Vorgaben entspricht. Es kann eine angepasste Logging-Architektur sein, die Audits standhält. Oder ein strukturiertes Framework zur Klassifizierung und Dokumentation von KI-Systemen, das die Anforderungen des EU AI Acts operationalisiert. Entscheidend ist, dass diese Leistungen als regulärer Bestandteil des Serviceangebots verankert sind – nicht als Zusatzleistung on top.
Auswirkungen auf Infrastruktur und Datenflüsse
Die neuen Regulierungsanforderungen stellen technische Ansprüche an die zugrundeliegende Infrastruktur. Ein zentrales Thema dabei ist die Rückverfolgung. Wer Sicherheitsvorfälle melden, KI-Entscheidungen erklären oder Systemzustände dokumentieren muss, braucht eine Infrastruktur, die diese Informationen verlässlich bereitstellen kann.
In der Praxis bedeutet das konsistente Log-Konzepte, die nicht nur technische Ereignisse erfassen, sondern auch geschäftlich relevante Vorgänge. Dazu sind gemäß dem EU-KI-Gesetz umfassende Bestandsaufnahmen aller eingesetzten Systeme und Dienste sowie der KI-Komponenten und ihrer Verwendungskontexte erforderlich. Außerdem müssen die Datenflüsse transparent sein: Wo werden Daten generiert? Wer hat Zugriff darauf? Was passiert im Falle eines Vorfalls?
In hybriden und Multi-Cloud-Umgebungen ist diese Transparenz nicht selbstverständlich. Sie muss aktiv hergestellt werden – durch gemeinsam vereinbarte Architekturprinzipien, eindeutige Schnittstellen und Monitoring-Konzepte, die beide Seiten verstehen und nutzen können. Unternehmen, die diese Grundlagen vernachlässigen, stellen spätestens im Auditfall fest, dass gute Absichten allein nicht ausreichen.
Zusammenarbeit auf Augenhöhe – mit klaren Grenzen
Ein oft unterschätzter Aspekt der neuen Regulierung ist die Verantwortung. NIS2 und EU AI Act machen deutlich: Die regulatorische Pflicht verbleibt beim Unternehmen, nicht beim Dienstleister. Was das in der Praxis bedeutet, ist nicht immer klar.
Die Zusammenarbeit zwischen Unternehmen und MSPs muss daher neu definiert werden. Dabei müssen Verantwortlichkeiten sowohl vertraglich als auch operativ festgelegt werden, beispielsweise durch formelle RACI-Matrizen, Modelle für geteilte Verantwortung, SLAs, die den Compliance-Vorschriften entsprechen, und vordefinierte Klauseln zur Teilnahme an Audits. Wer dokumentiert was? Wer übernimmt die Führung im Falle eines Sicherheitsvorfalls? Diese Fragen müssen im Voraus beantwortet werden – nicht während einer Krise. Gleichzeitig entsteht durch diese engere Verzahnung eine neue Qualität der Partnerschaft: Regelmäßige Risiko-Reviews, gemeinsame Incident-Response-Übungen und abgestimmte Schulungsformate sind keine Extras für besonders compliance-bewusste Unternehmen. Sie sind Grundlage für einen belastbaren Betrieb unter den neuen Rahmenbedingungen.
Regulierung als Indikator für Reife
Die Regulierungswelle, die gerade auf europäische Unternehmen zurollt, ist anspruchsvoll – aber sie ist kein reines Kostenproblem. Unternehmen, die NIS2 und den EU AI Act als Anlass nehmen, ihre IT-Betriebsmodelle zu überdenken, bauen Strukturen auf, von denen sie dauerhaft profitieren: bessere Transparenz über ihre Systemlandschaft, robustere Sicherheitsarchitektur und klarere Prozesse.
MSP können bei dieser Transformation eine wichtige Rolle spielen – vorausgesetzt, sie bringen neben technischer Kompetenz auch regulatorisches Verständnis mit und übernehmen Verantwortung in einem klar definierten Rahmen. Wer das leistet, wird für seine Kunden mehr sein als ein Betreiber von Systemen: ein Partner für nachhaltigen, compliance-fähigen IT-Betrieb. Damit reduziert er das regulatorische Risiko, stärkt die Audit-Sicherheit und verbessert die langfristige operative Widerstandsfähigkeit.
Autor: Toni Trpkovski, VP Managed Services, Avenga
