NIS2- und DORA-Compliance: So ist Gepardec vorgegangen

Wir wussten schon immer, dass Sicherheit wichtig ist. Aber seit NIS2 und DORA reicht Bauchgefühl nicht mehr, wenn der Auditor vor der Tür steht.. NIS2 und DORA zwangen uns, unser Wissen zu strukturieren – und machten aus Intuition Prozesse, aus Verantwortung Strukturen und aus Vertrauen Nachweisbarkeit. Für viele klingt das nach Bürokratie. Für uns bei Gepardec war es der Start einer spannenden Reise – mit einigen Umwegen, neuen Erkenntnissen und einer guten Portion Selbstreflexion.

Schon bevor jemand „NIS2“ oder „DORA“ sagte, hatten wir begonnen, uns intensiv mit der Sicherheit unserer Kundenarbeit zu beschäftigen. Gemeinsam mit externen Expert:innen erstellten wir eine Business-Impact-Analyse und eine Risikomatrix, die uns zeigte, wo Handlungsbedarf bestand.

Dabei entstand eine Idee, die unser Arbeiten nachhaltig prägen sollte: der Secure Workplace – eine Plattform, die uns maximale Sicherheit für unsere Kundenarbeit bietet. Die Einführung war allerdings alles andere als ein Sprint. Rechteverwaltung, technische Abhängigkeiten, Akzeptanzfragen – all das bremste uns anfangs aus. Wir mussten innehalten, reflektieren und einen neuen Weg finden.

Und wie reagiert ein Gepard, wenn er kurz ins Stolpern gerät?

Richtig: Er macht eine Retrospektive, lernt daraus – und startet mit noch mehr Fokus neu durch.
Aus diesen Überlegungen entstand rund um unseren CISO  (Chief Information and Security Officer) das Security Team . Ziel des Teams war es, die Sicherheit im Unternehmen zu erhöhen und dabei die Bedürfnisse der Geparden im Blick zu behalten. Als Projektkoordinator für unser internes Security-Team war meine Aufgabe klar: die vielen klugen Köpfe bei Gepardec in eine gemeinsame Richtung zu bringen – ohne ihre Agilität zu bremsen.

Was sich einfach anhört, war in Wahrheit ein Balanceakt zwischen Struktur, Freiraum und einer Menge Lernkurven. So rückten wir bewaffnet mit Kanban Board und wöchentlichen Abstimmungen den Themen Schritt für Schritt zu Leibe.

Wir hörten zu, sammelten Feedback und passten unseren Ansatz an.

Dabei ging es nicht nur um Technik, sondern um Menschen und Verantwortung.

Wir wollten sichere, aber alltagstaugliche Lösungen schaffen – und gleichzeitig sicherstellen, dass sich niemand im Dschungel der Sicherheitsrichtlinien verirrt.Das bedeutete auch: Kompromisse eingehen, Prozesse vereinfachen und dort, wo es sinnvoll war, Leistungen an externe Partner auslagern.

So konnten wir uns auf das konzentrieren, was wir am besten können: Softwareentwicklung und agile Zusammenarbeit – während spezialisierte Dienstleister uns beim Aufbau und Betrieb der Sicherheitsinfrastruktur unterstützen.

Damit die Zusammenarbeit reibungslos läuft, definierten wir interne Ansprechpersonen, die die Schnittstelle zu den externen Partnern bilden und den Service koordiniert, aber schlank halten.

Mit NIS2 und DORA kam schließlich der Moment, in dem aus vielen guten Einzelmaßnahmen ein strukturiertes System wurde.

Wir schufen klare Verantwortlichkeiten, erstellten Richtlinien, etablierten Rollen, verschriftlichten Prozesse und machten diese transparent.

Von Asset-Management über rollenbasiertes Passwort-Handling, Mobile Device Management bis hin zur KI Richtlinie – jede Maßnahme stärkte unsere Sicherheit, aber auch unsere Zusammenarbeit.

Heute sehen wir: Die Regulierung hat uns geholfen, aus einem verteilten Sicherheitsverständnis ein koordiniertes System zu formen – ohne den Geist der Agilität zu verlieren.

Als Projektkoordinator habe ich festgestellt, dass unsere Reise zu NIS2- und DORA-Compliance mehr war als ein technisches Projekt.

Sie war ein Lernprozess über Vertrauen, Verantwortung und Zusammenarbeit.

Wir haben gelernt, dass Compliance kein Kontrollinstrument ist, sondern ein Werkzeug, um nachhaltige Sicherheit zu gestalten – für unsere Kund:innen, für uns selbst und für das, was wir gemeinsam aufbauen.

Vielleicht klopfen NIS2 und DORA auch bei euch schon an?

Wenn ihr mögt – kommt vorbei, wir haben den Kaffee schon aufgesetzt. ☕