Mit IT-/OT-Service Management durch DORA, NIS-2, DSGVO & Co.

In einer zunehmend vernetzten, digitalen Welt steigen die regulatorischen Anforderungen an Unternehmen kontinuierlich – insbesondere im Hinblick auf IT- und Informationssicherheit. Die Einhaltung gesetzlicher Vorgaben wie DORA, NIS-2, KRITIS oder der DSGVO ist längst kein Thema mehr, das nur Spezialist*innen betrifft. Vielmehr ist sie zu einer gesamtunternehmerischen Herausforderung geworden – mit realen Risiken für Reputation, Betriebsfähigkeit und Haftung.

Gleichzeitig wird IT in vielen Organisationen noch immer als bloße Unterstützungsfunktion betrachtet. Das wird zum Problem, wenn ein Unternehmen wächst und an seine strukturellen Grenzen stößt. Gleichzeitig mit dem Wachstum, erreichen viele Unternehmen auch Grenzen, die sie zur Einhaltung gesetzlicher Rahmenbedingungen zwingen. Genau hier kann das IT-/OT-Service Management Lösungsansätze bieten: Es fußt auf erprobten Prozessen und Strukturen, um gesetzliche Anforderungen effizient, skalierbar und zukunftssicher umzusetzen.

IT-Service Management als Hebel für Compliance

Frameworks wie ITIL oder Standards wie ISO/IEC 20000 stellen keine Selbstzwecke dar. Ihre Einführung ist aufwändig – und sollte daher konkret auf die Herausforderungen eines Unternehmens zugeschnitten sein. Das bedeutet: Nicht alle 34 Practices aus ITIL 4 müssen implementiert werden. Vielmehr geht es darum, gezielt jene auszuwählen, die konkrete Herausforderungen des Unternehmens lösen können. Gleichzeitig müssen sie an die Unternehmenskultur angepasst werden.

Fsas Technologies verfolgt deshalb einen lösungsorientierten Ansatz: Unsere IT- und OT-Service-Management-Beratung hilft nicht nur bei der strukturierten Einführung relevanter Practices, sondern setzt diese gezielt mit Blick auf gesetzliche Anforderungen um. Dabei steht nicht der Standard im Fokus – sondern Ihre Herausforderungen.

Zwei Klassen gesetzlicher Vorgaben: Allgemein und schwellenbasiert

Unternehmen sehen sich mit zwei Arten gesetzlicher Anforderungen konfrontiert:

1. Allgemeine Vorgaben, die unabhängig von Größe oder Branche immer gelten – z. B. die DSGVO.
2. Schwellenwertabhängige Vorgaben, die erst ab einer bestimmten Unternehmensgröße, bei Systemrelevanz oder kritischen Infrastruktur greifen – wie z. B. KRITIS, NIS-2 oder DORA.

Ob vorbeugend oder reaktiv: In beiden Fällen das IT- und OT-Service-Management der Fsas helfen, regulatorische Anforderungen strukturiert zu erfüllen. Dabei übernehmen Frameworks wie ITIL eine wichtige Rolle – vorausgesetzt, sie werden unternehmensspezifisch interpretiert und implementiert.

Zusammenspiel von IT-/OT-Service Management und regulatorischen Vorgaben in Europa

ITIL verstehen – und richtig anwenden

ITIL ist ein Framework, keine Methodik. Es liefert Ziele und den Zweck einer jeweiligen Practice für das Management von IT-Services – von Incident- bis Change-Management. Der Versuch, ITIL vollständig „von der Stange“ einzuführen, wird scheitern. Warum? Weil die Anpassung an Unternehmensgröße, Reifegrad, genutzte Infrastruktur und Kultur fehlt.

Eine ITIL-Foundation-Schulung allein befähigt nicht zur erfolgreichen Umsetzung. Vielmehr braucht es Erfahrung, Kontextwissen und ein methodisches Vorgehen, das Fehler in der Anfangsphase vermeidet. Denn ein schlecht gestartetes Projekt hinterlässt oft Ablehnung: „Haben wir versucht – hat bei uns nicht funktioniert.“

Fsas Technologies hat deshalb aus den Practices von ITIL 4 Methoden entwickelt, die sich flexibel auf die individuellen Anforderungen unserer Kunden anwenden lassen – schnell, effizient und nachhaltig.

Konkrete Verbindungen: So trifft ITSM auf Regulierung

1. KRITIS und NIS-2 – Absicherung kritischer Infrastruktur

KRITIS und die neue NIS-2-Richtlinie verlangen von betroffenen Organisationen u. a.:

• Etablierte Prozesse zur Risikobewertung
• Dokumentiertes Änderungsmanagement
• Maßnahmen zur Reaktionsfähigkeit bei Sicherheitsvorfällen

Im BSI-Grundschutzkompendium findet sich z. B. unter „OPS.1.1.3.A1“ die Forderung nach einem Konzept für Patch- und Change-Management. Die ITIL-Practice „Change Enablement“ kann diese Anforderung abbilden – mit Prozessen zur Planung, Genehmigung und Nachverfolgung von Änderungen.

Diese Verbindung macht deutlich: Regulatorische Vorgaben definieren das „Was“ – Frameworks wie ITIL und die daraus zu entwickelnden Methodiken und Prozesse liefern das „Wie“.

2. DORA – Digitale Resilienz im Finanzsektor

Die neue EU-Verordnung DORA (Digital Operational Resilience Act) verpflichtet Banken, Versicherer und IT-Dienstleister im Finanzwesen zu einem umfassenden IKT-Risikomanagement.

In Artikel 9 (4e) der Verordnung wird beispielsweise gefordert, dass Unternehmen Richtlinien und Verfahren für das Änderungsmanagement etablieren – inklusive entsprechender Kontrollen und Dokumentation. Auch hier bietet die ITIL-Practice „Change Enablement“ eine belastbare methodische Basis.

Andere Anforderungen aus DORA – etwa zur Dienstleistersteuerung, zu Resilienz-Tests oder zur Reaktion auf IKT-Vorfälle – lassen sich durch passende Kombinationen aus Supplier Management, Incident Management oder Continual Improvement abbilden. Fsas Technologies hat hierzu aus den ITIL 4 Practices eine Übersetzung der DORA-Anforderungen in ITSM-Methoden entwickelt.

3. DSGVO – Datenschutz von Anfang an

Anders als DORA oder NIS-2 gilt die Datenschutzgrundverordnung (DSGVO) für alle Unternehmen im Europäischen Wirtschaftsraum. Besonders relevant für Unternehmen, die Softwarelösungen einsetzen, welche mit personenbezogenen Daten umgehen, ist hier der Grundsatz „Privacy by Design“ aus Artikel 25.

Dieser verlangt, dass Systeme, die personenbezogene Daten verarbeiten, bereits im Design datenschutzfreundlich konzipiert sind.

Fsas Technologies nutzt hierfür bewährte Methoden aus dem Service Design, die weltweit innerhalb der Fujitsu Group zum Einsatz kommen. So lassen sich Datenschutzanforderungen nicht nur umsetzen – sondern auch nachvollziehbar dokumentieren und dauerhaft verankern.

Best Practices – aber richtig: ITSM als Compliance-Enabler

Unsere ITSM-Methoden basieren auf einem interdisziplinären Ansatz:

• Sie erfüllen regulatorische Anforderungen aus Normen wie ISO 9001 oder ISO 27001
• Sie sind auf die Umsetzung mit auf dem Markt befindlichen ITSM-Tools abgestimmt und enthalten die zur entsprechenden Konfiguration notwendigen Abläufe
• Sie berücksichtigen Anforderungen der Governance, um sie in Ihrem Unternehmen nachhaltig umzusetzen

Ein häufig unterschätzter Erfolgsfaktor: Strukturierte Ablagen wie Wissensdatenbanken oder Dokumentenmanagementsysteme verkommen ohne klare Zuständigkeiten schnell zur digitalen Müllhalde. Deshalb verknüpfen wir z. B. Knowledge Management mit Rollen- und Verantwortlichkeitsmodellen – für nachhaltige Wirkung statt kurzfristiger Effekte.

Auch die Organisation selbst muss oft mitwachsen: Neue Prozesse erfordern neue Rollen, Abläufe und Verantwortlichkeiten. Hier begleiten wir unsere Kunden mit strukturiertem Organisational Change Management – angepasst an Unternehmenskultur und Reifegrad.

Fazit: Struktur statt Stress – mit Fsas Technologies

Compliance ist kein Zufallsprodukt. Sie entsteht durch strukturierte Prozesse, klare Verantwortlichkeiten und erprobte Methoden. IT- und OT-Service-Management bieten hierfür einen wirksamen Werkzeugkasten – vorausgesetzt, er wird individuell auf das Unternehmen zugeschnitten.

Fsas Technologies hilft Ihnen, regulatorische Anforderungen nicht nur zu erfüllen, sondern strategisch in Ihre IT-Organisation zu integrieren. Gemeinsam gestalten wir Ihre IT resilienter, rechtssicherer – und effizienter.

👉 Lassen Sie uns reden.