Broadcom VMware VCF: Erfüllen Sie die Anforderungen von NIS2, DORA und Datensouveränität

Die europäischen Regulierungsbehörden haben die Messlatte für die Cybersicherheit und die betriebliche Widerstandsfähigkeit höher gelegt. Von Unternehmen in der gesamten EU wird jetzt erwartet, dass sie nachweisen, dass ihre IT-Umgebungen sicher und wiederherstellbar sind und unter ihrer eigenen rechtlichen Kontrolle stehen. Die Einhaltung von Vorschriften wie dem Digital Operational Resilience Act (DORA) ist zu einem zunehmend mühsamen Prozess geworden. Es gibt unklare Definitionen und hohe Anforderungen an die Einhaltung der Vorschriften. Software, die Unternehmen dabei hilft, diese Verpflichtungen zu erfüllen, war noch nie so wichtig wie heute.

VMware Cloud Foundation (VCF) ist die Software, die das private Rechenzentrum eines Unternehmens betreibt. Sie bietet die technischen Grundlagen, die IT-Experten, Compliance-Beauftragte, Wirtschaftsprüfer und Vorstände benötigen, um die Einhaltung der NIS2-Richtlinie, der DORA-Richtlinie und der EU-Datenhoheitserwartungen nachzuweisen.

Dieser Artikel erklärt, wie VCF EU-Organisationen dabei hilft, diese Verpflichtungen zu erfüllen, ohne dabei auf moderne Funktionen wie KI, Automatisierung und Cloud-Betrieb zu verzichten.

 

Warum die Einhaltung von EU-Vorschriften jetzt wichtig ist

Die Regulierungslandschaft in Europa hat sich in den letzten zwei Jahren schneller verändert als im vorangegangenen Jahrzehnt. Mehrere Vorschriften gelten jetzt parallel und verstärken sich gegenseitig:

  • NIS2-Richtlinie. Das EU-Cybersicherheitsgesetz, das von kritischen und wichtigen Organisationen verlangt, dass sie starke Sicherheit nachweisen, Risiken in der Lieferkette managen und schwerwiegende Vorfälle innerhalb von 24 Stunden melden. Vorstände sind nun persönlich für die Überwachung der Cybersicherheit verantwortlich.
  • DORA (Digital Operational Resilience Act). DORA ist seit dem 17. Januar 2025 in der gesamten EU in Kraft und verlangt von Finanzunternehmen (Banken, Versicherungen, Wertpapierfirmen und vielen ihrer IT-Lieferanten) den Nachweis, dass sie sich auf Vorfälle im Bereich der Informations- und Kommunikationstechnologie (IKT), einschließlich größerer Cyberangriffe, vorbereiten, ihnen widerstehen, und darauf reagieren können.
  • EU-Datengesetz und Souveränitätserwartungen. Kunden, Aufsichtsbehörden und Partner verlangen zunehmend, dass sensible Daten unter der rechtlichen Kontrolle der EU bleiben und dass Unternehmen nicht an einen einzigen Nicht-EU-Anbieter gebunden sind.
  • Der Prüfungsdruck ist konstant. Interne Prüfer, externe Prüfer und Aufsichtsbehörden erwarten jetzt dokumentierte Nachweise. Diese sollten Zugang, Verschlüsselung, Segmentierung, Wiederherstellungstests und Reaktion auf Vorfälle umfassen.
  • Hohe Bußgelder. Sowohl die NIS2 als auch die DORA sehen beträchtliche Geldstrafen vor, und die NIS2 ermöglicht Maßnahmen gegen einzelne leitende Angestellte bei Nichteinhaltung.

Unter diesen Bedingungen wird die Art und Weise, wie ein Unternehmen sein privates Rechenzentrum konzipiert und betreibt, zu einer zentralen Frage der Compliance.

 

Wie VCF die regulatorischen Anforderungen der EU unterstützt

1) Souveräne Kontrolle über Daten und Verschlüsselungsschlüssel

VCF 9.1 läuft in Ihrem eigenen Rechenzentrum, unter Ihrer eigenen Rechtspersönlichkeit, auf Hardware, die Sie kontrollieren. Dies ist die stärkste mögliche Position für Datensouveränität, da die Daten unter der rechtlichen Kontrolle eines bestimmten Landes oder einer bestimmten Region bleiben.

VCF 9.1 bietet native Verschlüsselung für gespeicherte Daten, virtuelle Maschinen und Backups. Die Verschlüsselungsschlüssel werden von einem KMS (Key Management Server) verwaltet, dem System, das die zum Sperren und Entsperren von Daten verwendeten Schlüssel speichert und kontrolliert.

Wie es Ihnen mit den Regulierungsbehörden hilft:

  • Die Schlüssel bleiben in Europa: Verschlüsselungsschlüssel können in einem KMS auf EU-Boden gespeichert werden, so dass kein Nicht-EU-Betreiber Ihre Daten technisch auslesen kann.
  • Eindeutiger Datenstandort: Kundendaten, Finanzdaten und andere sensible Inhalte verlassen niemals den von Ihnen kontrollierten Bereich.
  • Keine versteckte Bindung: Workloads können zwischen Rechenzentren oder zu einem souveränen Cloud-Partner verschoben werden, ohne dass Anwendungen neu erstellt werden müssen.

Dies verschafft Ihnen nachweisliche Souveränität bei Gesprächen über NIS2, DORA und EU Data Act.

 

2) Netzwerksicherheit und Mikro-Segmentierung (NIS2)

NIS2 erwartet von Unternehmen, dass sie die Bewegungsfreiheit von Angreifern innerhalb des Netzwerks einschränken. VCF 9.1 wird mit den Tools geliefert, die genau das ermöglichen.

NSX ist die integrierte Netzwerk- und Firewall von VMware innerhalb des Rechenzentrums. Sie kontrolliert, welche virtuellen Computer miteinander kommunizieren dürfen. vDefend fügt NSX eine Schicht zum Schutz vor Bedrohungen hinzu, die auf verdächtiges Verhalten zwischen virtuellen Computern achtet und es automatisch blockiert.

Warum dies für die Regulierungsbehörden wichtig ist:

  • Standardmäßige Mikro-Segmentierung: Mikro-Segmentierung bedeutet, dass das interne Netzwerk in kleine Zonen aufgeteilt wird, so dass ein Angreifer, der in einer Zone landet, sich nicht frei in der restlichen Umgebung bewegen kann.
  • Sichtbarkeit des Ost-West-Verkehrs: Der Ost-West-Verkehr ist der Verkehr, der zwischen den Servern innerhalb des Rechenzentrums fließt. Hier verstecken sich die meisten Angreifer. VCF 9.1 macht ihn sichtbar und überwacht ihn.
  • Netzwerk-Erkennung und -Reaktion (NDR): Mit VCF erhalten Sie eine Sicherheitsfunktion, die den Netzwerkverkehr auf Angriffsmuster überwacht und diese nahezu in Echtzeit kennzeichnet. Das ist genau die Art von Beweisen, nach denen die NIS2-Überwacher suchen.

Das Ergebnis ist eine vertretbare Sicherheitsarchitektur, die den Anforderungen des NIS2-Risikomanagements direkt entspricht.

 

3) Betriebliche Ausfallsicherheit und Wiederherstellung von Ransomware (DORA)

DORA besagt eindeutig, dass Sie in der Lage sein müssen, sich wiederherzustellen. Die Wiederherstellung muss geplant, dokumentiert und getestet werden.

VCF 9.1 enthält VMware Live Recovery, eine integrierte Disaster Recovery- und Ransomware-Wiederherstellungsfunktion. Es unterstützt einen gestreckten Cluster (ein logisches Rechenzentrum, das auf zwei physische Standorte verteilt ist), so dass die Arbeitslasten weiterlaufen, selbst wenn ein ganzer Standort ausfällt.

Wie es Ihnen bei den Regulierungsbehörden hilft:

  • Definieren Sie RTO und RPO: RTO (Recovery Time Objective) gibt an, wie schnell ein Service wiederhergestellt werden muss. RPO (Recovery Point Objective) gibt an, wie viel Datenverlust akzeptabel ist. VCF 9.1 macht beides messbar und belegbar.
  • Getestete Wiederherstellungsabläufe: Wiederherstellungspläne können regelmäßig mit isolierten Testläufen geprobt werden, die die Produktion nicht stören. DORA verlangt diese Wiederherstellungspläne ausdrücklich.
  • Ransomware-bewusste Wiederherstellung: Backups können vor der Wiederherstellung gescannt und validiert werden, so dass verschlüsselte oder infizierte Daten nicht in die Produktion zurückgebracht werden.
  • Kontinuität für zwei Standorte: Ein gestreckter Cluster bietet kontinuierliche Verfügbarkeit auch bei einem Ausfall eines gesamten Standorts.

Speziell für DORA bieten Ihnen diese Funktionen betriebliche Ausfallsicherheit, ohne dass Sie einen Recovery-Stack eines Drittanbieters verwenden müssen.

 

4) Nachvollziehbarkeit, Protokollierung und Beweise

Sowohl NIS2 als auch DORA verlangen von Unternehmen, dass sie auf Anfrage Beweise vorlegen: Wer hat was, wann, auf welchem System getan und wie war der Sicherheitsstatus zum Zeitpunkt eines Vorfalls.

VCF 9.1 umfasst Aria Operations und Aria Operations for Logs. Sie sind das Dashboard für die Überwachung und das zentrale Protokollarchiv für die Plattform. Zusammen zeigen sie, wie gesund jedes System ist und was auf ihm passiert ist.

Wie dies Ihnen bei der Einhaltung der EU-Vorschriften hilft:

  • Zentralisierte, manipulationssichere Protokolle: Sicherheits-, Konfigurations- und Zugriffsprotokolle landen in einem einzigen Archiv, das für den gesetzlich vorgeschriebenen Zeitraum aufbewahrt werden kann.
  • Zeitleisten für Vorfälle auf Anfrage: Wenn Vorgesetzte fragen, was während eines Verstoßes passiert ist, kann die Antwort anhand echter Beweise rekonstruiert werden.
  • Compliance-Berichterstattung: Eingebaute Dashboards entsprechen direkt den gängigen Kontrollrahmen. Dies reduziert den manuellen Aufwand für die Vorbereitung eines Audits.

Das Ergebnis sind schnellere Prüfungen, sauberere Berichte und weniger Tabellenkalkulationen in letzter Minute.

 

5) Identität, Zugriff und Verwaltung der geringsten Privilegien

Die Aufsichtsbehörden konzentrieren sich stets auf eine Frage: Wer darf was und wie kann man es beweisen? VCF 9.1 unterstützt plattformübergreifend ein Least-Privilege-Modell.

Wie das Least-Privilege-Modell Ihnen bei der Einhaltung von Vorschriften hilft:

  • Rollenbasierte Zugriffskontrolle (RBAC): Legt fest, wer was auf der Plattform tun darf, so dass Administratoren nur die Rechte erhalten, die sie tatsächlich benötigen.
  • Starke Authentifizierung: VCF lässt sich mit Identitätsanbietern von Unternehmen integrieren und unterstützt die Multi-Faktor-Authentifizierung (MFA) für den Verwaltungszugang. Dies ist eine grundlegende Erwartung unter NIS2.
  • Trennung der Aufgaben: Sicherheits-, Betriebs- und Audit-Rollen können sauber getrennt werden, was für DORA-regulierte Unternehmen unerlässlich ist.
  • Protokollierung des privilegierten Zugriffs: Jede administrative Aktion wird protokolliert und einer Person zugeordnet, anstatt einem gemeinsamen Konto.

Mit dem Least-Privilege-Modell profitieren Sie von weniger Sicherheitslücken, einer vertretbaren Zugriffssteuerung und einer wesentlich reibungsloseren Audit-Konversation.

 

Die Rolle von SCHNEIDER IT MANAGEMENT für regulierte Unternehmen

Broadcom VMware hat mehr als 90 Prozent (%) seiner früheren Partner entlassen und ist zu einem kleinen, hochspezialisierten Partnermodell übergegangen.

SCHNEIDER IT MANAGEMENT ist einer von nur drei (3) registrierten Broadcom-Partnern in Luxemburg nach der Partnerkonsolidierung vom 2. April 2026. Wir bedienen regulierte Kunden in ganz Europa, darunter Finanzdienstleistungen, der öffentliche Sektor und kritische Infrastrukturen. Wir stellen sicher, dass Ihre Broadcom-VMware-Verträge maximale regulatorische Abdeckung zu minimalen Kosten bieten.

 

Zusammenfassung

Die EU-Regulierung ist vom Prinzip zur Durchsetzung übergegangen. NIS2, DORA und die EU-Datenhoheit bestimmen nun, wie Unternehmen ihre Kern-IT gestalten und betreiben.

VMware Cloud Foundation (VCF) 9.1 unterstützt diese Anforderungen durch:

  • Souveräne Kontrolle über Daten und Verschlüsselungsschlüssel.
  • Mikro-Segmentierung und Ost-West-Sicherheit entsprechend den NIS2-Erwartungen.
  • Testen Sie die betriebliche Ausfallsicherheit und die Wiederherstellung von Ransomware für DORA.
  • Zentralisierte Protokollierung und Audit-Nachweise auf der gesamten Plattform.
  • Identitäts- und Zugriffsverwaltung mit geringsten Rechten.

 

Bereit, sich vor Audits mit Hilfe von VCF abzusichern?

Als führender Broadcom-Partner unterstützt SCHNEIDER IT MANAGEMENT mittlere und große Unternehmen bei der Lizenzierung von VMware-Umgebungen mit klarem Fokus auf Auditsicherheit und dem Maximieren der Mehrwerte ihrer IT-Investitionen. Kontaktieren Sie unser Broadcom-Expertenteam noch heute.

Haben Sie Fragen zur Lizenzierung?
Unsere Experten haben Antworten.

Anrufen
Emailen

Artikel teilen

Dieser Artikel wird nur zu Informationszwecken bereitgestellt. SCHNEIDER IT MANAGEMENT übernimmt keine Gewähr für die Richtigkeit oder Vollständigkeit der Informationen. Die bereitgestellten Inhalte und Preise sind unverbindlich und unterliegen den geltenden Lizenzierungsvereinbarungen und Anbieterbedingungen. Einige Inhalte wurden möglicherweise von KI-Tools erstellt oder unterstützt und von unserer Redaktion geprüft und bearbeitet.

Ähnliche Artikel