senn-techsenn-tech
Security
Security2026-07-06· von Mag. (FH) Franz Senn

NIS2 und DORA: Was ein selbstgehosteter Stack wirklich erfüllen muss

NIS2 und DORA sind keine IT-Sicherheitsgesetze im engeren Sinn — sie sind Nachweisgesetze. Wer betroffen ist, muss nicht nur sicher sein, sondern beweisen können, dass er es systematisch ist. Das ändert, was ein Stack leisten muss.

Wer überhaupt betroffen ist

  • NIS2 gilt ab 50 Mitarbeitern oder 10 Mio. € Umsatz in vielen Sektoren — Energie, Gesundheitswesen, Transport, digitale Dienste, öffentliche Verwaltung, und Produktion. Für viele Mittelständler erstmals prüfbar.
  • DORA trifft Finanzdienstleister und ihre IT-Dienstleister — auch nicht-finanzielle Teilnehmer, die kritische Dienste liefern.
  • Beide nehmen die Geschäftsleitung in die Pflicht — Selbstvorwurf und Bußgelder richten sich ans C-Level, nicht an die IT-Abteilung.

Die vier Anforderungen, die wirklich zählen

  • Risikomanagement: Eine aktuelle Bestandsaufnahme (Assets, Abhängigkeiten, Zulieferer). Kein Excel-Schattenverzeichnis.
  • Meldepflichten: Erhebliche Vorfälle müssen innerhalb von 24 Stunden (NIS2) bzw. nach festem Stufenplan (DORA) gemeldet werden — das braucht vorab definierte Kanäle.
  • Lieferketten: Sub-Auftragnehmer werden erfasst. Ein SaaS-Anbieter ohne eigenen NIS2-Nachweis wird selbst zum Risiko.
  • Kryptografie & Authentifizierung: MFA, Verschlüsselung ruhender und übertragener Daten, geordneter Schlüsselprozess.

Was der selbstgehostete Stack beisteuert

  • Proxmox HA-Cluster mit Quorum und Fencing liefert Verfügbarkeit aus einer bewiesenen Architektur — kein Single Point of Failure, der bei der Risikoanalyse erklärt werden muss.
  • Proxmox Backup Server mit clientseitiger Verschlüsselung, Sync-Jobs und 3-2-1-Replikation erfüllt die Wiederanforderung (Recovery) nachvollziehbar — inklusive Restore-Tests.
  • CrowdSec statt fail2ban bringt eine eingriffsorientierte Erkennung mit shared Threat intelligence — und protokolliert zentral.
  • Mail-Gateway mit Quarantäne und AV hält den Kommunikationskanal sauber, der meist erste Angriffsvektor ist.

Was er nicht ersetzt

On-prem löst die Hardware-Seite. NIS2/DORA verlangen aber auch Dokumentation, Meldeketten und Übungen — also Organisation, nicht Technik. Eine berechtigte Frage bei der Anbieterwahl ist nicht „ist das DORA-konform?“, sondern „kann der Anbieter seinen Teil nachweisen?“. Selbstgehostet heißt hier: der Nachweis liegt bei Ihnen — was zugleich die Kontrolle und die Pflicht ist.

Unsere Sicht

Compliance ist kein Feature, das man dazukauft. Sie entsteht aus einem Stack, der von vornherein auf Nachweisbarkeit gebaut ist — HA, Verschlüsselung, Backups, Protokollierung, Meldepfade. Wer das on-prem betreibt, hat die technische Hälfte der Pflicht unter Kontrolle. Die andere Hälfte ist Disziplin.

FAQ
Betrifft NIS2 oder DORA überhaupt mein Unternehmen?+

NIS2 gilt ab 50 Mitarbeitern oder 10 Mio. € Umsatz in vielen Sektoren — Energie, Gesundheitswesen, Transport, digitale Dienste, Verwaltung, Produktion. DORA trifft Finanzdienstleister und deren IT-Dienstleister, auch nicht-finanzielle Teilnehmer mit kritischen Diensten. Beide nehmen die Geschäftsführung persönlich in die Pflicht. Eine Ersteinschätzung lohnt sich früh, nicht erst bei der Prüfung.

Macht ein selbstgehosteter Stack mich automatisch NIS2-konform?+

Nein. On-prem löst die technische Hälfte — HA-Cluster, verschlüsselte Backups, zentrale Protokollierung, saubere Meldeketten. NIS2 und DORA verlangen aber zusätzlich einen nachweisbaren Prozess: Risikoanalyse, dokumentierte Lieferketten, Übungen. Selbstgehostet heißt hier, dass der Nachweis bei Ihnen liegt — was zugleich Kontrolle und Pflicht ist.

Ersetzt CrowdSec oder Proxmox Backup eine eigene Compliance-Doku?+

Nein — sie liefern die Beweismittel, nicht die Dokumentation. Ein HA-Cluster mit Quorum, Restore-getestete Backups und zentrale Incident-Erkennung sind die technische Grundlage, die man vorzeigen kann. Die Meldeketten, Asset-Verzeichnisse und Übungen müssen aber als Organisation gepflegt werden. Compliance ist kein Feature, das man dazukauft, sondern ein Stack, der auf Nachweisbarkeit gebaut ist.