• Turul, Tresorit ist seit Juli 2025 offiziell NIS2-zertifiziert. Was bedeutet dieser Schritt konkret für uns als Unternehmen?

Das ist ein großer Meilenstein für uns und erfüllt das gesamte Team mit Stolz. Die NIS2-Richtlinie ist der neue europäische Standard für Cybersicherheit – besonders in kritischen und digital stark vernetzten Sektoren. Auch IT-Dienstleister und Hersteller nimmt sie in die Pflicht.

Als Anbieter für sichere Zusammenarbeit und verschlüsselten Datenaustausch war Tresorit immer schon in der Datensicherheit stark aufgestellt. Doch die offizielle Zertifizierung der Unternehmensberatung Ernst & Young mit einem bemerkenswerten Ergebnis von 95 % zu bestehen, hebt unsere Stärke auf ein neues Level. Damit gehört Tresorit zu den ersten Organisationen in Europa, die eine offizielle Zertifizierung nach der neu eingeführten NIS2-Richtlinie erhalten haben.

Für uns ist das nicht nur ein technischer Erfolg. Es bestätigt vielmehr unser gesamtes Sicherheitsökosystem – unsere Technologie, interne Prozesse, Risikomanagement-Strategien und Incident-Response-Fähigkeiten. Am wichtigsten: Unsere Kunden haben Gewissheit, dass ihre Daten durch eine der sichersten verfügbaren Plattformen geschützt sind.

• Viele Anbieter geben inzwischen an, konform zu arbeiten – wir haben es bewiesen und uns zertifizieren lassen. Was hat uns zu diesem Schritt motiviert und warum ist dieser Unterschied gerade für unsere Kunden so relevant?

Zertifizierungen bringen Klarheit. „Konform arbeiten“ lässt viel Spielraum – im Zweifel auch für Interpretationen. Mit einer offiziellen Zertifizierung schaffen wir Transparenz und Verlässlichkeit. Unsere Kunden – gerade in regulierten Bereichen wie der Finanzindustrie oder im öffentlichen Sektor – stehen selbst unter Compliance-Druck. Wenn wir nachweisen können, dass Tresorit wie auch unsere internen Abläufe NIS2-konform sind, entlasten wir die Unternehmen direkt. Sie müssen nicht selbst prüfen, ob unsere Prozesse sicher sind – sie können sich darauf verlassen.

• Tresorit hat für das NIS2-Audit einen federführenden EU-Mitgliedsstaat benannt. Wieso spielt das eine Rolle?

Das war eine strategische Entscheidung. Zwar legt NIS2 einen gemeinsamen Cyber-Security-Rahmen fest, doch jedes EU-Land muss diesen in nationales Recht überführen – und das geschieht nicht überall im gleichen Tempo. Um den Zertifizierungsprozess für multinationale Unternehmen zu vereinfachen, erlaubt NIS2 daher die Wahl eines Landes, nach dessen Recht ein umfassendes Audit durchgeführt wird (Primärjurisdiktion). Die Ergebnisse werden anschließend in der gesamten EU anerkannt – auch in Ländern, in denen die Umsetzung noch im Gange ist.

Für Tresorit war das eine Chance, die Vorreiterrolle auszubauen. Wir haben uns bewusst für eine Jurisdiktion entschieden, die NIS2 besonders streng interpretiert. Das Audit umfasste mehr als 2.000 detaillierte Anforderungen, abgeleitet aus über 3.000 Seiten an Regularien und Leitlinien. Geprüft wurde dabei alles – von Incident Response und Risikobewertungen bis hin zu sicherheitsrelevanten Systemkontrollen.

Wieso das wichtig ist? Es gibt unseren internationalen Kunden Sicherheit – ganz gleich, in welchem Land sie tätig sind. Sie können sich stets darauf verlassen, dass Tresorit die höchsten europäischen Sicherheitsstandards erfüllt.

• Sicherheit ist seit jeher der bestimmende Teil unserer DNA. Was mussten wir trotzdem tun, um die Zertifizierung vollständig zu erreichen?

Wir haben in der Tat nicht bei null angefangen. Aber es ist auch nicht so, dass die Prüfer „nur noch unterschreiben“ mussten. NIS2 ist sehr umfassend. Das gesamte Projekt nahm 18 Monate intensiver und interdisziplinäre Zusammenarbeit in Anspruch.

Es geht nicht nur um Verschlüsselung oder Zugangskontrollen, sondern auch um organisatorische Resilienz, Meldeprozesse, Risikobewertungen, Schulungen, Lieferkettenmanagement und Dokumentation. Wir mussten viele unserer Prozesse noch strukturierter und nachvollziehbarer gestalten – weniger, weil sie unsicher waren, sondern weil NIS2 sie vollständig überprüfbar machen will. Genau das ist der Unterschied zwischen „gut gemacht“ und „zertifiziert dokumentiert“.

• Worauf können sich Unternehmen, die Tresorit nutzen, jetzt mit Blick auf NIS2 sicher verlassen?

Kurz gesagt: Dass sie eine Plattform einsetzen, die ihnen bei der eigenen NIS2-Umsetzung hilft. Sie profitieren von Ende-zu-Ende-Verschlüsselung, revisionssicheren Audit-Trails, granularen Zugriffskontrollen und einem Anbieter, der regulatorisch ebenfalls auf der sicheren Seite ist. Gleichzeitig können sie über unsere Lösungen z. B. auch selbst risikobehaftete Kommunikationswege absichern – etwa beim Austausch mit Lieferanten oder beim Incident Reporting.

• Was nehmen wir aus dem NIS2-Projekt mit – zum Beispiel mit Blick auf DORA, CRA oder internationale Standards?

Sehr viel. NIS2 ist inhaltlich eng verwandt mit anderen Standards – etwa in Bezug auf Risikomanagement, Vorfallreaktion oder Sicherheitsarchitektur. Mit dem Bestehen des NIS2-Audits haben wir bereits für DORA oder CRA viele Grundlagen geschaffen. Das Projekt hat unsere Prozesse nicht nur geprüft, sondern auch robuster gemacht.

• Und zum Schluss: Was ist aus deiner Sicht besonders wichtig für Organisationen, die NIS2-Anforderungen umsetzen wollen – und worauf sollten sie achten?

Nicht warten. Die größte Gefahr liegt darin, das Thema zu unterschätzen. NIS2 betrifft nicht nur große Konzerne – auch kleinere oder mittelgroße Unternehmen in relevanten Sektoren müssen sich strukturiert mit dem Thema Sicherheit befassen. Mein Tipp: Nicht versuchen, alles auf einmal umzusetzen. Stattdessen realistisch starten, Lücken erkennen, Prozesse strukturieren – und sich Partner suchen, die helfen. Ob intern oder extern: Wer Verantwortung teilt, gewinnt Sicherheit.

Vielen Dank, Turul!

Möchten Sie Ihre Cybersicherheits- und Compliance-Strategie stärken?
Unser neues On-Demand-Webinar „NIS2 in Action: Zentrale Erkenntnisse und Best Practices für eine effektive Umsetzung – 1 Jahr danach“ ist jetzt verfügbar. Hören Sie von unseren Experten – Turul Balogh, Group Information Security and Data Protection Officer bei Tresorit, und Koen Verbeke, Dozent & Forscher an der Howest Universität sowie Lead Auditor – wie sie ihre Erfahrungen aus dem ersten Jahr der NIS2-Implementierung teilen und praxisnahe Schritte zur Stärkung der Resilienz aufzeigen.

Auf YouTube ansehen oder auf Spotify anhören.