Wirtschaftsförderungen, IHKs und kommunale Rechenzentren

Seit 2025 gelten in der EU neue Cybersicherheitsgesetze, die Unternehmen erheblich betreffen — darunter viele, die in Ihrer Kommune oder Ihrem Kammerbezirk ansässig sind. Die Pflichten reichen von der persönlichen Haftung der Geschäftsleitung bis zu Bußgeldern in Millionenhöhe. Viele betroffene Unternehmen kennen ihre neuen Pflichten noch nicht oder unterschätzen deren Umfang.

OTTRIA bietet kostenlose Veranstaltungen an, die betroffenen Unternehmen einen verständlichen Einstieg geben — in Zusammenarbeit mit Wirtschaftsförderungen, Industrie- und Handelskammern und kommunalen Rechenzentren. Vor Ort in Nordrhein-Westfalen, als Webinar bundesweit.

Vier Gesetze, viele Betroffene #

Vier EU-Gesetze verändern die Anforderungen an Unternehmen grundlegend. Die Schnittmenge ist die Software-Lieferkette: Alle vier Gesetze machen Unternehmen für die Sicherheit der Software verantwortlich, die sie einsetzen oder herstellen — einschließlich aller Open-Source-Komponenten.

DORA — Finanzsektor #

Der Digital Operational Resilience Act betrifft den gesamten Finanzsektor — Banken, Sparkassen, Versicherungen, Zahlungsdienstleister und Kapitalverwaltungsgesellschaften, unabhängig von ihrer Größe. Die Geschäftsleitung haftet persönlich für die digitale Widerstandsfähigkeit, bei Verstößen drohen tägliche Zwangsgelder von bis zu 1 % des Nettoumsatzes.

NIS2 — Kritische und wichtige Infrastruktur #

Die NIS2-Richtlinie betrifft 18 Sektoren, die in nahezu jeder Kommune vertreten sind:

• Energie: Stadtwerke, Stromversorger, Gasnetzbetreiber
• Wasser: Trinkwasserversorger, Abwasserbetriebe
• Gesundheit: Krankenhäuser, Reha-Kliniken, Labore
• Lebensmittel: Hersteller, Verarbeiter, Großhändler
• Verarbeitendes Gewerbe: Maschinenbau, Elektronik, Fahrzeugbau
• Logistik: Speditionen, Hafenbetriebe, Postdienste
• Abfallwirtschaft: Entsorgungsunternehmen
• Digitale Dienste: Rechenzentren, Cloud-Anbieter, Managed Service Provider

Unternehmen dieser Sektoren fallen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz unter NIS2. Die Geschäftsleitung haftet persönlich, Bußgelder können bis zu 10 Mio. Euro betragen. Besonders relevant für kommunale Betriebe: Stadtwerke, Wasserwerke und Abwasserbetriebe fallen als kritische Infrastruktur direkt unter NIS2.

CRA — Softwarehersteller und Gerätehersteller #

Der Cyber Resilience Act betrifft alle Hersteller von Produkten mit digitalen Elementen — Software, vernetzte Geräte und Maschinen mit Steuerungssoftware, unabhängig von der Unternehmensgröße. Er verlangt eine CE-Kennzeichnung, fünf Jahre Sicherheitspflicht und 24-Stunden-Meldefristen bei Schwachstellen. Bei Verstößen drohen Bußgelder von bis zu 15 Mio. Euro.

Produkthaftung — Alle Softwareanbieter #

Die neue EU-Produkthaftungsrichtlinie macht Software erstmals zum Produkt. Für Hersteller bedeutet das: keine Haftungsobergrenze und eine Beweislastumkehr, wenn die Dokumentation fehlt.

Drei Partner, ein Ziel #

Wirtschaftsförderungen, IHKs und kommunale Rechenzentren erreichen dieselbe Zielgruppe auf unterschiedlichen Wegen — und ergänzen sich dabei:

• Wirtschaftsförderungen kennen die lokalen Unternehmen und können gezielt die Betroffenen identifizieren und einladen. Besonders relevant für kommunale Betriebe: Stadtwerke, Wasserwerke und Abwasserbetriebe fallen als kritische Infrastruktur direkt unter NIS2.
• IHKs haben mit ihren Pflichtmitgliedern die größte Breitenreichweite. Die neuen Cybersicherheitsgesetze betreffen einen erheblichen Teil der IHK-Mitglieder — vom Finanzdienstleister über den Maschinenbauer bis zum Softwareanbieter. IHKs verfügen über etablierte Veranstaltungsformate und Newsletter, die betroffene Unternehmen direkt erreichen.
• Kommunale Rechenzentren bedienen Stadtwerke, Wasserversorger, Abfallbetriebe und Verwaltungen — Organisationen, die als kritische Infrastruktur direkt unter NIS2 fallen. Als IT-Dienstleister dieser Einrichtungen sind kommunale Rechenzentren selbst betroffen und kennen die Herausforderungen ihrer Kunden aus erster Hand.

Was die meisten Unternehmen unterschätzen #

Die neuen Gesetze betreffen nicht nur die eigene Software, sondern die gesamte Software-Lieferkette — einschließlich aller Open-Source-Komponenten, die in praktisch jeder Unternehmenssoftware stecken. Eine typische Anwendung enthält hunderte solcher Komponenten.

Viele Unternehmen glauben, mit einem Scanner oder der Zusage ihres IT-Dienstleisters auf der sicheren Seite zu sein. In der Praxis reicht das nicht aus. Die Gesetze fordern laufende Maßnahmen nach dem "Stand der Technik", nicht einmalige Prüfungen. Diese Lücke zwischen Wahrnehmung und Anforderung ist das zentrale Thema der Info-Abende.

Mehr dazu: Falsche Sicherheit

Was OTTRIA ist #

OTTRIA — die Open Source Trust, Threat and Risk Intelligence Alliance — ist ein europäischer Spezialist für Open-Source-Lieferkettensicherheit. Wir arbeiten direkt in Open-Source-Projekten mit, erkennen Risiken vor der öffentlichen Bekanntmachung und liefern prüffähige Nachweise für Auditoren und Aufsichtsbehörden.

OTTRIA ist kein Scanner-Anbieter und kein Beratungshaus. Wir beheben Schwachstellen in Open-Source-Projekten, statt sie nur aufzulisten.

Was Ihre Unternehmen von einem Info-Abend haben #

• Einen verständlichen Überblick über alle vier Gesetze und ihre Schnittmengen
• Praxisnahe Einordnung, wo gängige Maßnahmen nicht ausreichen
• Antworten auf Fragen zu Haftung, Fristen und Konsequenzen
• Hinweise auf Förderprogramme, die die Umsetzungskosten senken können — viele Unternehmen wissen nicht, dass Investitionen in Cybersicherheit über Landes-, Bundes- oder EU-Fördermittel teilfinanziert werden können
• DORA- und NIS2-Betroffene erhalten ein Teilnahmezertifikat, das die gesetzlich vorgeschriebene Schulung der Geschäftsleitung dokumentiert (§ 38 NIS2UmsuCG, Art. 5 DORA)
• CRA- und Produkthaftung-Betroffene erhalten ein Handout über ihre Pflichten mit Fokus auf die Software-Lieferkette

Was Ihre Organisation davon hat #

• Sie positionieren sich als aktiver Partner Ihrer lokalen Wirtschaft in einem Thema mit hoher Dringlichkeit
• Sie helfen Ihren Unternehmen, Mitgliedern oder Kunden, regulatorische Risiken und persönliche Haftung zu vermeiden
• Wirtschaftsprüfer und IT-Berater aus der Region werden eingebunden — das stärkt das lokale Netzwerk
• Die Veranstaltung bietet einen konkreten Mehrwert, den die Teilnehmer unmittelbar nutzen können

Warum gerade Open-Source-Lieferkette? #

Alle vier Gesetze treffen sich an einem Punkt: der Software-Lieferkette. Open-Source-Komponenten stecken in praktisch jeder Unternehmenssoftware — und die neuen Gesetze machen Unternehmen für jede einzelne davon verantwortlich.

Bestehende Schulungen zu DORA, NIS2 oder CRA behandeln dieses Thema bestenfalls oberflächlich — weil es europaweit derzeit keinen anderen Anbieter gibt, der operativ in Open-Source-Projekten mitarbeitet und die Lieferkette von innen kennt. Genau diese Lücke schließen die OTTRIA Info-Abende. Die Teilnehmer erhalten Wissen, das sie in keiner anderen verfügbaren Schulung bekommen.

Format und Zusammenarbeit #

Die Veranstaltungen sind kostenlos — für Ihre Organisation und für die teilnehmenden Unternehmen. Vor Ort in Nordrhein-Westfalen, als Webinar bundesweit.

1. Kontakt: Sie melden sich bei OTTRIA oder wir kommen auf Sie zu
2. Zielgruppe identifizieren: Gemeinsam identifizieren wir die betroffenen Unternehmen in Ihrer Region oder Ihrem Kammerbezirk — wir bringen dafür eigene Recherchen mit
3. Einladung: Sie laden über Ihre bestehenden Kanäle ein — Newsletter, Netzwerke, direkte Ansprache. Wir liefern Ihnen Vorlagen, die nach Gesetzesbetroffenheit differenzieren
4. Durchführung: OTTRIA führt die Veranstaltung durch, Sie stellen den Rahmen (Raum bzw. Webinar-Plattform, Organisation)
5. Nachbereitung: Teilnehmer erhalten ihr Zertifikat bzw. Handout und bei Bedarf eine individuelle Ersteinschätzung

Der Aufwand für Ihre Organisation beschränkt sich auf Organisation und Einladung. Die inhaltliche Vorbereitung und Durchführung übernimmt OTTRIA.

Schulungspflicht und Zertifikat

Zurück zur Übersicht

Kontakt aufnehmen