Digitale Souveränität war lange ein Thema für Datenschutzbeauftragte und Juristen. Das hat sich grundlegend geändert. Mit DORA (Digital Operational Resilience Act), NIS2 und wachsender geopolitischer Unsicherheit ist das Thema auf dem Tisch der CIOs und IT-Vorstände angekommen — und bleibt dort.
Was digitale Souveränität wirklich bedeutet
Der Begriff ist breiter als oft gedacht. Es geht nicht nur um Datenspeicherung in der EU. Es geht um die Fähigkeit einer Organisation, ihre kritischen IT-Systeme, Prozesse und Daten selbst zu kontrollieren — auch wenn ein wichtiger Lieferant ausfällt, die Regulierung sich ändert oder geopolitische Spannungen die Verfügbarkeit von Technologie einschränken.
Drei Dimensionen sind dabei zentral:
- Datensouveränität: Wo liegen unsere Daten, wer hat Zugriff, unter welchem Recht werden sie verarbeitet?
- Betriebssouveränität: Können wir unsere kritischen Prozesse auch ohne bestimmte Lieferanten aufrechterhalten?
- Technologiesouveränität: Sind wir von proprietären Plattformen abhängig, aus denen ein Ausstieg prohibitiv teuer wäre?
Die regulatorische Realität: DORA und NIS2
DORA verpflichtet Finanzinstitute ab 2025 zu einem umfassenden Management von IKT-Risiken — inklusive detaillierter Anforderungen an das Third-Party-Risk-Management. Kritische IT-Dienstleister müssen identifiziert, bewertet und vertraglich gebunden werden. Konzentrationsrisiken bei einzelnen Anbietern sind explizit zu adressieren.
NIS2 erweitert den Kreis der betroffenen Organisationen erheblich und verschärft die Anforderungen an Lieferkettensicherheit und Incident-Reporting. Für viele Unternehmen bedeutet das: erstmals strukturiertes Third-Party-Risk-Management als regulatorische Pflicht.
Typische Schwachstellen in der Praxis
In unserer Beratungspraxis begegnen uns immer wieder die gleichen Muster:
- Kritische Geschäftsprozesse laufen auf Plattformen eines einzelnen Hyperscalers — ohne Exit-Strategie
- Verträge mit IT-Dienstleistern enthalten keine belastbaren Portabilitäts- oder Exit-Klauseln
- Das Management hat keinen Überblick über die tatsächliche Lieferanten-Konzentration in der IT
- Datensouveränität wird mit Datenschutz gleichgesetzt — und damit systematisch unterschätzt
Pragmatisches Vorgehen in vier Schritten
Digitale Souveränität ist kein Sprint, sondern ein kontinuierlicher Prozess. Pragmatisch empfehlen wir folgenden Einstieg:
- Schritt 1 — Inventar: Kritische Systeme, Daten und Lieferanten identifizieren und klassifizieren
- Schritt 2 — Risikobewertung: Abhängigkeiten und Konzentrationsrisiken systematisch bewerten
- Schritt 3 — Strategieentwicklung: Für jede Abhängigkeit eine bewusste Entscheidung treffen: akzeptieren, reduzieren oder eliminieren
- Schritt 4 — Governance: Regelmäßiges Monitoring und klare Verantwortlichkeiten etablieren
Fazit
Digitale Souveränität ist kein Selbstzweck und auch kein Plädoyer für technologischen Nationalismus. Es geht um bewusstes Risikomanagement — und darum, als Organisation handlungsfähig zu bleiben, auch wenn sich das Umfeld verändert. IT-Führungskräfte, die das Thema heute angehen, werden es morgen nicht als Pflichtübung nachholen müssen.