Unser Newsletter für Ihr Weiterkommen
IT, Personalentwicklung und Learning & Development
Jetzt anmeldenFitSM & DORA/NIS2: ITSM als Basis für regulatorische Sicherheit
22. September 2025
Geschrieben von Dipl.-Ing. Lothar W. Neff
Inhalt
- Wie FitSM hilft, den Spagat zwischen Governance, IT-Betrieb und Compliance zu meistern
- Was ist FitSM?
- Warum FitSM für DORA & NIS2 relevant ist
- DORA – Digitale operationale Resilienz im Finanzsektor
- NIS2 – Cybersicherheitsanforderungen für kritische und wichtige Einrichtungen
- Für wen ist FitSM im Compliance-Kontext besonders geeignet?
- Zertifizierte Schulungen für den regulatorischen Einsatz
- ITSM wird zur Compliance-Basis – mit FitSM gelingt der Einstieg
Wie FitSM hilft, den Spagat zwischen Governance, IT-Betrieb und Compliance zu meistern
DORA, NIS2, ISO 27001 – die Liste der regulatorischen Anforderungen an IT-Organisationen wächst stetig. Gleichzeitig fehlt es vielen Unternehmen an der methodischen Grundlage, um IT-Governance strukturiert umzusetzen.
Genau hier setzt FitSM an: Ein schlankes ITSM-Framework, das Professionalität mit wenig Komplexität ermöglicht – und eine ideale Basis für Compliance-Vorgaben schafft.
Was ist FitSM?
FitSM ist ein frei verfügbares, modular aufgebautes Framework für IT-Service-Management. Es wurde im Rahmen des EU-Projekts FedSM entwickelt und richtet sich an Organisationen, die:
- mit überschaubarem Aufwand IT-Prozesse strukturieren möchten,
- gesetzliche und normative Anforderungen erfüllen müssen, gleichzeitig aber
- kein komplexes ITIL®-Programm stemmen können und
- auf ein leichtgewichtiges Framework setzen möchten.
Warum FitSM für DORA & NIS2 relevant ist
Verordnungen wie die EU-DORA (Digital Operational Resilience Act) oder die NIS2-Richtlinie erfordern einen nachvollziehbaren, dokumentierten, kontrollierten IT-Betrieb – insbesondere bei kritischen IT-Dienstleistungen. FitSM liefert genau dafür die richtigen Werkzeuge.
DORA – Digitale operationale Resilienz im Finanzsektor
Die Verordnung zu digitaler operationaler Resilienz (DORA) definiert zentrale Anforderungen für den Finanzsektor. Ein wesentlicher Punkt ist das Incident Reporting: Schwere IT-Störungen müssen innerhalb klar vorgegebener Fristen an die zuständigen Stellen gemeldet werden.
Darüber hinaus fordert DORA ein strukturiertes ICT Risk Management, das einen systematischen Umgang mit Risiken im digitalen Betrieb sicherstellt. Ein weiterer Schwerpunkt liegt auf der Drittanbietersteuerung, bei der externe ICT-Dienstleister sowohl vertraglich als auch operativ eng kontrolliert werden müssen.
Ergänzend dazu verlangt DORA regelmäßige Operational Resilience Tests, um die Belastbarkeit kritischer Prozesse und Systeme zu prüfen.
So unterstützt FitSM:
Durch den Incident Management Process mit klar definierten Eskalations- und Dokumentationspflichten lässt sich ein strukturiertes und nachvollziehbares Reporting etablieren.
Der Risk Treatment Process von FitSM ermöglicht es, operationelle Risiken systematisch zu identifizieren, zu bewerten und geeignete Maßnahmen einzuleiten.
Mit dem Supplier Management Process stellt FitSM zudem sicher, dass externe Dienstleister klassifiziert, bewertet und gesteuert werden – einschließlich der Berücksichtigung vertraglicher Regelungen.
Darüber hinaus liefern die Prozesse für Service Availability und Service Continuity Management eine solide Grundlage, um Belastungstests zu entwickeln und durchzuführen.[DB1]
NIS2 – Cybersicherheitsanforderungen für kritische und wichtige Einrichtungen
Auch die NIS2-Richtlinie formuliert verbindliche Anforderungen an Organisationen, die als kritisch oder wichtig eingestuft werden.
Eine zentrale Vorgabe ist die Meldepflicht bei Sicherheitsvorfällen: Relevante Vorfälle müssen innerhalb von 24 Stunden gemeldet werden. Zusätzlich verlangt NIS2 klare Vorgaben für Business Continuity und Krisenmanagement im IT-Betrieb, damit betriebliche Abläufe auch in Ausnahmesituationen abgesichert sind.
Organisationen sind außerdem verpflichtet, sämtliche technische und organisatorische Schutzmaßnahmen zu dokumentieren. Schließlich schreibt die Richtlinie vor, dass die Verantwortlichkeiten im Management eindeutig geregelt und jederzeit nachweisbar sein müssen.
So unterstützt FitSM:
FitSM trägt wesentlich zur Umsetzung dieser Anforderungen bei. Der Incident and Problem Management Process stellt sicher, dass sicherheitsrelevante Ereignisse strukturiert erfasst, bewertet und fristgerecht gemeldet werden.
Darüber hinaus fordert FitSM ein umfassendes Service Continuity Management, mit dem die betriebliche Resilienz gestärkt und Wiederanlaufpläne verbindlich dokumentiert werden. Alle Prozesse, Rollen und Verantwortlichkeiten werden in kontrollierten Dokumenten geführt, was die Erfüllung der Nachweispflicht gegenüber Aufsichtsbehörden erheblich erleichtert.[DB1]
Mit der Rolle des SMS Owners verankert FitSM zudem eine klare Governance-Struktur und stellt sicher, dass Management-Verantwortung – wie von NIS2 gefordert – eindeutig geregelt ist.
Für wen ist FitSM im Compliance-Kontext besonders geeignet?
- Finanzdienstleister, Banken, Versicherungen (z. B. im DORA-Regelungsrahmen)
- KRITIS-nahe Organisationen im Gesundheitswesen, Transport oder Energie
- Öffentliche Einrichtungen mit erhöhtem Sicherheitsbedarf
- Mittelständische IT-Dienstleister, die auf externe Audits vorbereitet sein müssen
Zertifizierte Schulungen für den regulatorischen Einsatz
Cegos Integrata bietet ein abgestimmtes Schulungsportfolio für FitSM – ideal für Organisationen, die Compliance durch strukturierte Prozesse sichern wollen:
ITSM wird zur Compliance-Basis – mit FitSM gelingt der Einstieg
In Zeiten wachsender regulatorischer Anforderungen ist ein leichtgewichtiges, auditierbares ITSM-Framework ein strategischer Vorteil. FitSM bietet nicht nur Struktur und Prozessklarheit – sondern schafft auch die notwendige Transparenz, um DORA, NIS2 und ISO 27001 effektiv zu adressieren.
Keine Lizenzkosten, keine Toolbindung, keine Ausreden – sondern konkrete Umsetzungshilfe.
Neugierig geworden?
Dann besuchen Sie unsere FitSM-Schulungen oder lassen Sie sich zu einem praxisorientierten Einstieg in das IT-Service-Management mit Compliance-Fokus beraten. Denn: Gute IT-Governance lebt von Strukturen, die funktionieren.
Jetzt mehr erfahren zu IT-Governance-Schulungen bei Cegos Integrata.
War dieser Artikel hilfreich für Sie?
Geschrieben von
Dipl.-Ing. Lothar W. Neff
Dipl.-Ing. Lothar W. Neff ist ITSM-Berater und FitSM Trainer & Examiner (ICO). Er gestaltet schlanke Serviceprozesse und Servicekataloge, etabliert KPI-gesteuerte Steuerung (z.B. MTTR, SLA-Quote) und setzt wirksames SLA-Management von SLA/OLA/UC um. In der IT-Security verankert er Policies, Kontrollen und Nachweise – u. a. nach DORA/NIS2. Erfahren Sie mehr