OTTRIA warnt vor unterschätzter Open-Source-Lücke unter NIS2 und DORA
Pressemitteilung
Wenn die Community kein SLA hat: OTTRIA warnt vor unterschätzter Open-Source-Lücke unter NIS2 und DORA
Seit DORA und NIS2 gelten, wird Open Source vom technischen Detail zur Governance-Frage. Unternehmen müssen nicht nur wissen, welche Komponenten sie einsetzen – sie müssen Risiken bewerten, Maßnahmen ableiten und Nachweise liefern können.
Geldern, 20.05.2026 – Mit DORA und NIS2 sind zwei zentrale europäische Cybersicherheitsregime endgültig in der Unternehmenspraxis angekommen. DORA gilt seit dem 17. Januar 2025 unmittelbar für den Finanzsektor; das deutsche NIS2-Umsetzungsgesetz wurde am 5. Dezember 2025 verkündet und trat laut BSI ab dem Folgetag in Kraft. Beide Regelwerke erhöhen den Druck auf Unternehmen, digitale Risiken nicht nur technisch zu erkennen, sondern organisatorisch zu steuern, zu dokumentieren und im Ernstfall handlungsfähig zu bleiben. (BaFin)
Ein Bereich wird dabei nach Einschätzung von OTTRIA noch immer unterschätzt: Open Source Software. Sie steckt heute in nahezu jeder modernen Unternehmenssoftware – in Frameworks, Bibliotheken, Containern, Build-Systemen, APIs und Infrastrukturkomponenten. Gleichzeitig gibt es bei Open Source häufig keine klassische Lieferantenbeziehung, keinen Vertrag, kein SLA und keinen garantierten Eskalationsweg.
„Open Source ist nicht das Problem. Im Gegenteil: Ohne Open Source gäbe es moderne Software in dieser Form nicht“, sagt Torsten Zühlsdorf, Geschäftsführer von OTTRIA. „Das Risiko entsteht dort, wo Unternehmen kritische Abhängigkeiten nutzen, ohne Zuständigkeiten, Reaktionswege und Nachweise organisiert zu haben. NIS2 und DORA machen genau diese Lücke sichtbar.“
Scanner schaffen Sichtbarkeit – aber noch keine Governance
Viele Unternehmen setzen bereits auf SBOMs, SCA-Tools und Schwachstellen-Scanner. Diese schaffen Transparenz über eingesetzte Komponenten und bekannte Schwachstellen. Aus Sicht von OTTRIA reicht das jedoch nicht aus, um den neuen Anforderungen an Risikomanagement, Lieferkettensicherheit und digitale operationale Resilienz gerecht zu werden.
Denn Scanner beantworten vor allem die Frage: Was ist verbaut? Sie beantworten aber nicht automatisch, welche Komponente geschäftskritisch ist, welches Projekt verwaist, welcher Fix priorisiert werden muss, wer mit Maintainern kommuniziert, wer Backports erstellt oder wie Entscheidungen auditfähig dokumentiert werden.
Gerade bei Open Source entstehen Risiken häufig nicht erst durch eine offiziell registrierte Schwachstelle. Sie können durch ausbleibende Wartung, Maintainer-Ausfall, Projektverfall, unerwartete Lizenzänderungen, kompromittierte Accounts oder Kontrollwechsel entstehen.
„Eine SBOM ist ein wichtiger Anfang, aber sie ist keine Governance“, so Zühlsdorf. „Sie zeigt, was verbaut ist. Aber sie beantwortet nicht, wer bewertet, wer reagiert und wer im Ernstfall nachweisen kann, dass angemessen gehandelt wurde.“
Geschäftsleitungen brauchen belastbare Nachweise
NIS2 und DORA machen Cybersicherheit zur Führungs- und Organisationsfrage. Während NIS2 unter anderem Risikomanagement, Sicherheitsmaßnahmen, Meldepflichten und Lieferkettensicherheit adressiert, richtet sich DORA an den Finanzsektor und fordert digitale operationale Resilienz, IKT-Risikomanagement, Vorfallmanagement und den Umgang mit Drittparteienrisiken. Die BaFin beschreibt DORA als europäischen Rahmen für digitale operationale Resilienz im Finanzsektor. (BaFin)
Auch aus rechtlicher Sicht verschiebt sich damit der Fokus von der rein technischen Einzelmaßnahme hin zur nachweisbaren Organisation von Verantwortung.
Torsten Zühlsdorf ordnet die Situation aus seiner Sicht weiter ein:
„Für Geschäftsleitungen wird entscheidend sein, ob Cyberrisiken nicht nur technisch erkannt, sondern organisatorisch beherrscht und nachvollziehbar dokumentiert wurden. Gerade bei Open-Source-Komponenten reicht ein Verweis auf automatisierte Scans oder auf die Community nicht aus, um belastbare Governance darzustellen. Wer Zuständigkeiten, Bewertungen und Maßnahmen nicht dokumentiert, verliert im Streitfall das wichtigste Entlastungsinstrument: den Nachweis.“
OTTRIA: Open Source nicht nur sichtbar, sondern beherrschbar machen
OTTRIA setzt genau an dieser operativen Lücke an. Das Unternehmen versteht sich nicht als weiteres Dashboard und nicht als Ersatz für bestehende IT-Security-Strukturen, sondern als spezialisierter Governance- und Eingriffspartner für Open-Source-Lieferketten.
Der Ansatz besteht aus drei Säulen:
-Risk Intelligence: OTTRIA bewertet Risiken in Open-Source-Komponenten, erkennt Projektverfall, kritische Abhängigkeiten, Maintainer-Risiken und sicherheitsrelevante Entwicklungen frühzeitig.
-Operational Support: OTTRIA unterstützt bei Upstream-Koordination, Patches, Backports und Maßnahmen für kritische oder verwaiste Projekte.
-Compliance Enablement: OTTRIA erstellt auditfähige Nachweise, Maßnahmenhistorien, Risikodokumentationen und Entscheidungsvorlagen für interne Governance, Prüfer, Kunden und Aufsichtsanforderungen.
„Wir nehmen Unternehmen nicht die Verantwortung ab – das wäre regulatorisch auch gar nicht möglich“, sagt Zühlsdorf. „Aber wir machen Verantwortung erfüllbar: durch Bewertung, Eingriffsfähigkeit und Nachweise.“
Open Source wird zur Managementfrage
Nach Einschätzung von OTTRIA wird Open-Source-Governance künftig nicht nur für unmittelbar regulierte Unternehmen relevant. Auch Dienstleister, Softwareanbieter und Zulieferer geraten stärker unter Druck, weil Kunden, Auditoren, Versicherer und Auftraggeber zunehmend belastbare Nachweise zur Software-Lieferkette verlangen.
Die zentrale Frage lautet daher nicht mehr nur: Welche Open-Source-Komponenten nutzen wir? Sondern: Wer ist operativ dafür zuständig?
„Wenn die Antwort „die Community“ lautet, ist das keine Governance“, so Zühlsdorf. „Es ist Hoffnung. Und Hoffnung ist kein NIS2- oder DORA-Prozess.“
Über OTTRIA
OTTRIA – die Open Source Trust, Threat and Risk Intelligence Alliance – ist ein spezialisierter Partner für Open-Source-Governance. Das Unternehmen unterstützt Organisationen dabei, Open-Source-Abhängigkeiten nicht nur sichtbar, sondern operativ beherrschbar und auditfähig zu machen. OTTRIA verbindet tiefes Cybersecurity- und Open-Source-Know-how mit einem Netzwerk von über 600 vertraglich gebundenen Entwicklern, um relevante Programmiersprachen, Ökosysteme und Abhängigkeiten abdecken zu können.
Weitere Informationen: www.ottria.eu
Pressekontakt
neusite GmbH
Andrej Rappe
Kapellenplatz 14
52457 Aldenhoven
anfrage@ottria.eu
www.ottria.eu
Agentur für Kommunikation.
Firmenkontakt
neusite GmbH
Andrej Rappe
Kapellenplatz 14
52457 Aldenhoven
02464-9749505
http://www.neusite.de
Pressekontakt
neusite GmbH
Franziska Biermann
Kapellenplatz 14
52457 Aldenhoven
02464-9749504
http://www.neusite.de
