NIS 2 · DORA · Cyber Resilience Act

Cyberabwehr wird vor dem Vorfall aufgebaut, nicht danach durchgesetzt

Frankreichs nationale Cyberbehörde bewältigt vier Rechtsregime und eine zwanzigfache Ausweitung ihres Zuständigkeitsbereichs gleichzeitig. Weil die Durchsetzung erst nach einem Ereignis greifen kann, hängt die Verteidigung eines derart viel größeren Ökosystems von Schulungs-, Werkzeug- und Personalkapazitäten ab, die im Voraus aufgebaut werden, und zwar von jedem Akteur, der sie aufbauen kann.

In einem Interview mit dem französischen Technologiemedium Clubic vom Juni 2026 beschrieb ANSSI-Generaldirektor Vincent Strubel eine Agenda für Cyber-Governance, die weniger durch einen einzelnen Punkt auffällt als dadurch, wie viele anspruchsvolle Punkte gleichzeitig darauf stehen (Belfiore 2026). Im selben Gespräch ging er auf die Zukunft der Verschlüsselung und des rechtmäßigen Zugriffs ein, auf die Qualifizierung von Cloud-Anbietern, auf eine Post-Quantum-Migration, die sich bis weit in das nächste Jahrzehnt erstreckt, auf eine neu geschaffene koordinierende Behörde für die digitale Governance sowie auf eine Richtlinie, welche die Zahl der regulierten Einheiten um den Faktor zwanzig oder mehr vervielfachen wird. Aufmerksam gelesen ist das Interview weniger ein Statusbericht als das Porträt einer schwierigen Position, die mit Gelassenheit gehalten wird, und es verweist auf etwas Strukturelles an der Cyberabwehr, das es sich zu benennen lohnt. Durchsetzung und Behebung greifen ihrer Natur nach im Nachhinein. Sie können prägen, was als Nächstes geschieht, aber sie können den Vorfall, der sie ausgelöst hat, nicht ungeschehen machen. Diese eine Beobachtung ordnet die gesamte Frage neu, wie eine deutlich größere regulierte Grundgesamtheit tatsächlich verteidigt werden soll, und sie legt nahe, dass die sinnvolle Antwort privater Fähigkeit nicht darin besteht, auf ein Engagement zu warten, sondern Kapazität im Voraus aufzubauen, auf ein Ziel hin, das alle im Feld ohnehin bereits teilen.

Die regulatorische Landschaft und wer welches Mandat tatsächlich innehat

Die französische und die Cyber-Governance der Europäischen Union umfassen inzwischen vier sich überschneidende Rechtsinstrumente, und, was wichtig ist, keine einzelne Behörde hält alle vier. Das LPM (loi de programmation militaire) und NIS 2 (die zweite Richtlinie zur Netz- und Informationssicherheit) liegen im eigenen direkten Mandat der ANSSI. Die Aufsicht über DORA (den Digital Operational Resilience Act) liegt in Frankreich bei der ACPR (Autorité de Contrôle Prudentiel et de Résolution) für Banken und Versicherer und bei der AMF (Autorité des Marchés Financiers) für Vermögensverwalter und Marktinfrastrukturen (Autorité de contrôle prudentiel et de résolution 2026; Autorité des marchés financiers 2026). Die Marktüberwachung unter dem CRA (Cyber Resilience Act) liegt bei der ANFR (Agence Nationale des Fréquences), wobei die ANSSI nur als notifizierende Behörde auftritt, die für die Akkreditierung von Konformitätsbewertungsstellen zuständig ist, eine Rolle, die sich von der Marktüberwachung selbst unterscheidet (ANFR 2026; ANSSI 2026a). Als operative Grundlage für die NIS-2-Konformität veröffentlichte die ANSSI am 17. März 2026 das ReCyF (Référentiel Cyber France, Version 2.5), das zwanzig verpflichtende Sicherheitsziele festlegt (Ledieu-Avocats 2026).

Diese Zuordnung ist aus einem praktischen und aus einem fairen Grund von Bedeutung. Praktisch gesehen muss ein Leser, der sich zwischen vier Rahmenwerken bewegt, wissen, an welche Behörde er sich mit welcher Frage wenden muss. Fairerweise macht sie deutlich, dass die ANSSI eine nationale Haltung über Regime hinweg koordiniert, die sie nicht jeweils allein kontrolliert, was zum Teil ausmacht, dass ihre Position schwierig und nicht etwa mangelhaft ist.

Die Gestalt eines harten Mandats an mehreren Fronten

Am treffendsten liest sich das Strubel-Interview als eine Beschreibung von Gleichzeitigkeit. Mehrere anspruchsvolle Programme laufen im selben Moment, jedes nach seiner eigenen Uhr. Die Frage der Verschlüsselung und des rechtmäßigen Zugriffs ist eine, die Strubel selbst als letztlich politisch und nicht technisch charakterisiert, was ihre Lösung außerhalb der ingenieurtechnischen Kontrolle einer Behörde und innerhalb der langsameren Mechanik von Gesetzgebung und öffentlicher Debatte verortet (Belfiore 2026). Die Post-Quantum-Migration ist ein mehrjähriger kryptografischer Übergang, der jede Organisation betrifft, die langlebige vertrauliche Daten hält. Die Schaffung einer neuen koordinierenden Behörde signalisiert den Versuch, die digitale Governance zu konsolidieren, statt sie weiter fragmentieren zu lassen. Und unter alldem läuft die Ausweitung des NIS-2-Anwendungsbereichs, die Strubel als Bewegung von rund 500 regulierten Einheiten auf geschätzt 10.000 bis 15.000 beziffert (Belfiore 2026).

Jedes Einzelne davon wäre für sich genommen ein umfangreiches Programm. Zusammen getragen, über Regime hinweg, von denen die ANSSI nur zwei direkt kontrolliert, beschreiben sie ein Mandat, das wirklich schwer gut zu halten ist. Die ANSSI ist offen und beständig darin, wie sie es hält: durch eine begleitungsorientierte, an Leitlinien ausgerichtete Haltung statt durch die Fiktion eines Agenten hinter jedem Server. Das ist eine rationale Wahl unter realen Zwängen, und dieser Beitrag nimmt sie genau als das, als legitime Strategie für einen schwierigen Auftrag, nicht als Beleg dafür, dass etwas fehlt.

Durchsetzung ist konstruktionsbedingt reaktiv

Aus diesem Mandat folgt eine Beobachtung, die strukturell und nicht wertend ist. Durchsetzung und Behebung sind ihrer Natur nach Dinge, die im Nachhinein geschehen. Ein Auditbefund dokumentiert einen Zustand, der bereits besteht. Eine Sanktion reagiert auf einen Verstoß, der bereits eingetreten ist. Eine Anordnung zur Behebung stellt ein System wieder her, das bereits versagt hat. Jedes dieser Instrumente ist wertvoll, und jedes prägt künftiges Verhalten, aber keines von ihnen kann zurückgreifen und das Ereignis verhindern, das es ausgelöst hat. Das ist keine Eigenschaft der ANSSI oder irgendeiner bestimmten Aufsichtsbehörde. Es ist eine Eigenschaft der Durchsetzung selbst.

Die Folgerung lohnt es sich direkt auszusprechen, denn sie lässt sich leicht übersehen. Die ANSSI ist nicht, und kann strukturell nicht sein, eine Behebungsbehörde in dem Sinne, dass sie Systeme in dem Moment verteidigt, in dem ein Angriff im Gange ist. Keine Durchsetzungsbehörde kann das sein. Cyberabwehr in Echtzeit, also die eigentliche Erkennung, Eindämmung und Wiederherstellung, die während eines laufenden Vorfalls stattfindet, wird innerhalb der betroffenen Organisationen und durch die Fachleute und Werkzeuge geleistet, die diese in jenem Moment zur Hand haben. Die Durchsetzung legt den Maßstab fest, an dem diese Organisationen gemessen werden. Sie kann nicht, und darf nicht, die Fähigkeit ersetzen, die sie brauchen, wenn der Maßstab geprüft wird. Dies zu erkennen ist keine Kritik daran, wie viel jemand durchsetzt. Es ist eine Klärung dessen, wofür Durchsetzung da ist.

Was die Verteidigung eines zwanzigfach größeren Ökosystems erfordert

Fügt man die beiden vorherigen Punkte zusammen: Die Grundgesamtheit der Einheiten, von denen erwartet wird, dass sie sich selbst verteidigen, wächst um den Faktor zwanzig oder mehr, und das wichtigste Instrument, das der Staat einsetzen kann, die Durchsetzung, ist konstruktionsbedingt außerstande, die Verteidigung selbst zu leisten. Verteidigung in der Praxis hängt daher von etwas ab, das die Durchsetzung nicht auf Abruf herstellen kann: von Kapazität. Menschen, die Kontrollen umsetzen und bedienen können. Werkzeuge, die Nachweise fortlaufend machen, statt sie in einem Kraftakt vor einem Audit zusammenzustellen. Schulungen, die eine Organisation erreichen, bevor sie sich im Anwendungsbereich wiederfindet, und nicht danach. Und all das muss vor dem Bedarf vorhanden sein, denn eine Fähigkeit, die nach einem Vorfall aufgebaut wird, ist per Definition für diesen Vorfall zu spät aufgebaut.

Öffentliche Leitlinien sind ein realer Teil dieser Antwort und sollten als solcher anerkannt werden. Die eigenen Begleitmaterialien der ANSSI unter ReCyF, darunter Leitfäden, Webinare und eine im Referential festgeschriebene Schulungspflicht, zielen unmittelbar darauf ab, Organisationen zu helfen, Kapazität aufzubauen, bevor die Durchsetzungstermine kommen (ANSSI 2026b). Aber die Arithmetik einer zwanzigfachen Ausweitung ist unerbittlich, und keine einzelne Institution, so gut sie auch geführt sein mag, kann die gesamte Schulungs-, Werkzeug- und Personalkurve für ein Ökosystem dieser Größe in dem Zeitrahmen bereitstellen, den die Regulierung setzt. Das ist niemandes Versäumnis. Es ist ein gemeinsames Problem, und es wird am besten als solches behandelt.

Hinter diesem Problem des richtigen Zeitpunkts steht ein gut entwickelter Bestand an Managementwissenschaft. In der Tradition der Systemdynamik (Sterman 2000) haben John Sterman und Nelson Repenning am Massachusetts Institute of Technology formalisiert, was sie die Fähigkeitsfalle nennen: Eine Organisation, die in den Aufbau von Fähigkeit investiert, sieht ihre Leistung einbrechen, bevor sie sich verbessert, den Pfad des schlechter-bevor-besser, während eine, die bloß härter arbeitet, kurzfristige Entlastung gewinnt, bevor die Leistung erodiert, den Pfad des besser-bevor-schlechter, eine Divergenz, die ihr Modell als zwei Kapazitätskurven nachzeichnet, die sich im Laufe der Zeit voneinander trennen (Repenning and Sterman 2002). Ihre frühere Studie benennt das menschliche Hindernis bereits im Titel: Niemand bekommt je Anerkennung dafür, Probleme zu lösen, die nie eingetreten sind (Repenning and Sterman 2001). Vor dem Hintergrund der bevorstehenden Ausweitung des NIS-2-Anwendungsbereichs ist die Folgerung unmittelbar. Die Fähigkeit, ein zwanzigmal größeres Ökosystem zu verteidigen, muss entlang des Pfades des schlechter-bevor-besser aufgebaut werden, vor den Vorfällen, die sie verhindert, und genau dann, wenn noch keine sichtbare Krise die Ausgabe rechtfertigt. Wer die Dynamik selbst sehen möchte, kann sie interaktiv in Modul 13 des CCI-Kurses zur Systemdynamik, über die Fähigkeitsfalle durcharbeiten.

Der wohlwollende Partner: Kapazität aufbauen, ohne auf eine Anfrage zu warten

Hier hat private Fähigkeit eine Rolle, die nicht davon abhängt, zu ihrer Ausübung engagiert zu werden. Ein Unternehmen mit Schulungsinhalten, mit Werkzeugen oder mit qualifizierten Fachleuten hat einen Grund, jetzt in den Aufbau und die Weitergabe dieser Kapazität zu investieren, unabhängig von jedem konkreten Vertrag, Auditauftrag oder regulatorischen Auslöser, aus einem einfachen Grund: Das gemeinsame Ziel, eine Cyberabwehr, die über ein zwanzigmal größeres Ökosystem hinweg tatsächlich funktioniert, wird durch diese Investition unabhängig davon gefördert, wer letztlich wofür bezahlt. Ein Partner, der aus dieser Überlegung heraus handelt und Kapazität beisteuert, weil das Problem real ist, und nicht, weil eine Transaktion auf dem Tisch liegt, ist das, was dieser Beitrag mit einem wohlwollenden Partner meint. Das Wort ist wörtlich gemeint, nicht schmückend. Sein Prüfstein ist, ob der Beitrag für eine Organisation nützlich ist, gleich ob diese Organisation je zum Kunden wird oder nicht.

Cambridge Cyber International (CCI) beabsichtigt, als ein solcher Partner zu handeln, und legt offen, dass es einer unter vielen ist, die es könnten und sollten. Seine Haltung ist bewusst einfach: bilden, schulen und mit Werkzeugen ausstatten, statt Schuld zuzuweisen. In der Praxis löst sich das in zwei Dinge auf, die es bereits aufgebaut hat. Das erste ist seine Academy, deren Schulung für jede Organisation nützlich ist, die die Cyber-Kompetenzen aufbaut, die ihre Teams brauchen werden, unabhängig davon, woher diese Organisation den Rest ihrer Fähigkeit später bezieht. Das zweite ist die CySSURANCE-Suite, die dieselbe Idee auf die Werkzeugseite überträgt, indem sie eine Reihe von Bereitschaftsfunktionen an einem Ort zusammenführt: automatisierte Nachweiserhebung, Modellierung der Unternehmensarchitektur, Resilienzberechnung, Bewertung finanzieller Verluste, Personalbewertung, Übungen im Bereich der Informations- und Kommunikationstechnik (ICT), priorisierte Behebung, Lieferantenmanagement, Auditvorbereitung und Dashboards auf Vorstandsebene. Zusammengenommen beantworten Bildung, Schulung und Werkzeuge die Lasten der Auditbereitschaft und der Belegschaft, welche die Ausweitung des Anwendungsbereichs vervielfacht, und genau das ist die Arbeit, die vor dem Bedarf und nicht nach einem Vorfall zu leisten ist. Diese werden hier als Beispiel für das Argument genannt, nicht als sein Zweck. Das Argument gilt, ob der Leser CCI engagiert, einen seiner Mitbewerber engagiert oder die Kapazität vollständig im eigenen Haus aufbaut.

Gegenargumente und Grenzen

Der naheliegende Einwand ist, dass ein Unternehmen, das seine eigenen Angebote als wohlwollenden Beitrag beschreibt, schlicht mit besseren Manieren wirbt. Der Einwand verdient eine echte Antwort und keine Beschwichtigung. Die Antwort ist ein Prüfstein, den der Leser anlegen kann: Hilft der Beitrag einer Organisation, die nie etwas kauft? Eine Schulung, die die Bereitschaft eines Teams erhöht, ob sie zu einem Vertrag führt oder nicht, Leitlinien, die zutreffend sind, ob sie monetarisiert werden oder nicht, und Ehrlichkeit darüber, wann ein Mitbewerber oder ein Eigenbau die bessere Lösung ist, bestehen diesen Prüfstein alle; eine Ressource, die ohne Kauf nutzlos ist, fällt durch. Leser sind berechtigt, diesen Beitrag und CCI an diesem Maßstab zu messen.

Ein zweiter Einwand ist, dass private Fähigkeit die öffentliche Autorität nicht ersetzen kann und es auch nicht versuchen sollte. Das ist zutreffend, und nichts hier schlägt das vor. Das Argument ist ergänzend, nicht ersetzend. Das Mandat der ANSSI, die Festlegung von Maßstäben und die Koordinierung sind genau die Dinge, die private Akteure nicht bereitstellen können und sollten. Der Anspruch ist enger: dass die Echtzeitverteidigung, welche die Durchsetzung nicht leisten kann, aus Kapazität aufgebaut wird, und dass diese Kapazität aus mehr als einer Richtung beigesteuert werden kann und sollte.

Eine dritte und prosaischere Grenze betrifft die Quelle. Ein Interview ist kein Rechtsinstrument, und konkrete Zahlen und Daten, einschließlich der genauen Angaben zum Anwendungsbereich und des Status des NIS-2-Umsetzungsgesetzes, sollten gegen die Primärtexte gegengeprüft werden, sobald diese endgültig sind. Insbesondere der Zeitplan der Umsetzung liegt beim französischen Parlament und nicht bei irgendeiner Exekutivbehörde. Nichts davon ändert das strukturelle Argument, das auf keinem einzelnen Datum beruht, aber es ist ein Grund, Einzelheiten zu überprüfen, bevor man auf sie hin handelt.

Auswirkungen auf Praxis oder Politik

Für einen Vorstand oder einen CISO besteht die praktische Folge, Verteidigung als etwas zu behandeln, das vor dem Bedarf aufgebaut und nicht im Nachhinein durchgesetzt wird, in einer Änderung der Reihenfolge. Kapazitätsentscheidungen, wer geschult wird, welche Werkzeuge Nachweise fortlaufend machen, wie das Personal skaliert, rücken nach vorn, vor den Durchsetzungstermin statt als Reaktion darauf. Konkret heißt das, mit der Bereitschaft der Belegschaft zu beginnen, bevor die Aufnahme in den Anwendungsbereich bestätigt ist, die fortlaufende Nachweiserhebung als ständige Fähigkeit statt als Sprint vor dem Audit zu behandeln und die Personalplanung gegen einen Arbeitsmarkt auszurichten, der genau dann am angespanntesten sein wird, wenn die größte Kohorte neu regulierter Einheiten nach denselben Kompetenzen greift.

Für private Akteure mit einschlägiger Fähigkeit besteht die Implikation in einer Einladung, im Voraus beizutragen: Bildung, Schulung und Werkzeuge unabhängig von einem Verkauf nützlich zu machen und dies offen zu sagen. Die Academy von CCI und seine CySSURANCE-Suite werden in diesem Geist angeboten, als Optionen unter mehreren und nicht als der einzige Weg, und die Wahl des Anbieters ist weit weniger wichtig als die Tatsache, dass Kapazität aufgebaut wird, bevor sie gebraucht wird.

Für die öffentlich-private Beziehung als Ganzes besteht die Implikation in einem Wechsel des Registers. Der produktive Rahmen ist ein gemeinsames Ziel, eine Cyberabwehr, die in der Praxis funktioniert, statt einer Aufrechnung, wer genug getan hat oder nicht. Sein praktischer Ausdruck ist geradlinig: im Voraus bilden, schulen und mit Werkzeugen ausstatten, statt im Nachhinein Schuld zuzuweisen. Durchsetzung und Beitrag sind keine Konkurrenten. Sie sind unterschiedliche Teile desselben Vorhabens.

Fazit

Die ANSSI hält einen wirklich schwierigen Auftrag, vier Rechtsregime, eine politische Debatte, die sie nicht allein lösen kann, eine mehrjährige kryptografische Migration, eine neue koordinierende Behörde und eine regulierte Grundgesamtheit, die um das Zwanzigfache wächst, und sie hält diesen Auftrag mit einer kohärenten, leitlinienorientierten Strategie, die unter realen Zwängen gewählt wurde. Ihre Position ehrlich zu lesen führt zu einer strukturellen und nicht zu einer kritischen Schlussfolgerung: Weil die Durchsetzung erst nach einem Vorfall greifen kann, wird die Verteidigung, die im Moment zählt, vorher aufgebaut, aus Kapazität, die vor dem Bedarf vorhanden sein muss. Diese Kapazität ist ein gemeinsames Problem, größer als jede einzelne Institution, und ihr wird am besten von allen begegnet, die zu ihr beitragen können, aus mehr als einer Richtung, im Dienst eines Ziels, das das gesamte Feld ohnehin gemeinsam hält. Die sinnvolle Haltung privater Fähigkeit besteht dann nicht darin, auf ein Engagement zu warten, sondern im Voraus und über den Bedarf hinaus aufzubauen und zu teilen, ohne etwas Bestimmtes als Gegenleistung zu erwarten, denn ein besser verteidigtes Ökosystem ist die Gegenleistung. Cyberabwehr wird vor dem Vorfall aufgebaut. Die Arbeit, die es zu tun lohnt, ist das Aufbauen.

Wo man anfängt

Wenn Ihre Teams Cyber-Bereitschaft für das aufbauen, was kommt, ist die CCI Academy ein offener Ausgangspunkt, unabhängig davon, ob Sie je weiter mit CCI arbeiten. Ihre Schulung ist aus sich heraus nützlich. Betrachten Sie sie als offene Tür und nicht als Ziel.

CCI Academy entdecken →

Referenzen

Agence Nationale des Fréquences (2026). Cyber Resilience Act. https://www.anfr.fr/proteger/equipements-radio-electriques/cyber-resilient-act

ANSSI, cyber.gouv.fr (2026a). Cyber Resilience Act. https://cyber.gouv.fr/reglementation/cybersecurite-des-produits/cyber-resilience-act/

ANSSI, cyber.gouv.fr (2026b). NIS 2: l'ANSSI poursuit et renforce sa dynamique d'accompagnement. https://cyber.gouv.fr/actualites/nis-2-lanssi-poursuit-et-renforce-sa-dynamique-daccompagnement/

Autorité de contrôle prudentiel et de résolution (2026). FAQ sur la directive et le règlement DORA. https://acpr.banque-france.fr/fr/reglementation/focus-sur-la-reglementation/transverse/digital-operational-resilience-act-dora/faq-sur-la-directive-et-le-reglement-dora

Autorité des marchés financiers (2026). The Regulation on Digital Operational Resilience in the Financial Sector (DORA). https://www.amf-france.org/en/news-publications/depth/dora

Belfiore, G. (2026). Chiffrement vs Police: "Le choix sera politique", prévient le patron de l'ANSSI. Clubic. https://www.clubic.com/dossier-618682-interview-anssi.html

Ledieu-Avocats (2026). ANSSI, projet de décret NIS2 "mesures techniques" v2.5, ReCyF du 17 mars 2026. https://ledieu-avocats.fr/anssi-projet-decret-nis2-mesures-techniques-v2-5-recyf-du-17-mars-2026/

Repenning, N. P., and Sterman, J. D. (2001). Nobody ever gets credit for fixing problems that never happened: creating and sustaining process improvement. California Management Review, 43(4), 64 to 88. https://doi.org/10.2307/41166101

Repenning, N. P., and Sterman, J. D. (2002). Capability traps and self-confirming attribution errors in the dynamics of process improvement. Administrative Science Quarterly, 47(2), 265 to 295. https://doi.org/10.2307/3094806

Sterman, J. D. (2000). Business Dynamics: Systems Thinking and Modeling for a Complex World. Boston: Irwin McGraw-Hill. https://systemdynamics.org/product/business-dynamics-systems-thinking-and-modeling-for-a-complex-world/

Die Durchsetzung legt den Maßstab fest. Sie kann nicht die Fähigkeit ersetzen, die der Maßstab prüft.

Die CCI-Perspektive

Referenzierte Lösungen: Academy · CySSURANCE. Alle Produkte ansehen · mit einem Fachmann sprechen.

Ist Ihre Organisation davon betroffen?

Mit einem fachmann sprechen →