[datensicherheit.de, 23.06.2026] Die Anforderungen an Unternehmen auf den Gebieten der Cybersecurity, der „Compliance“ und der Digitalen Resilienz nehmen offenkundig stetig zu. Im Kontext der Richtlinie NIS-2, zunehmender Cyberrisiken und wachsender regulatorischer Anforderungen müssen Unternehmen daher ihre organisatorischen, technischen und rechtlichen Maßnahmen neu bewerten. Der it’s.BB e.V. lädt zu diesem Themen-Komplex zu seinem nächsten „Awareness-Online-Event“ zum Thema „NIS-2, Cybernotfall & Digital Compliance – Praxistipps für Unternehmen“ ein:

Abbildung: it’s.BB e.V.

it’s.BB-Online-Veranstaltung zur Vermittlung praxisnaher Einblicke durch erfahrene Experten aus Recht, IT-Sicherheit und Risikomanagement

Unternehmen und Institutionen herausgefordert, regulatorische Vorgaben mit ihren begrenzten Ressourcen praxisnah umzusetzen

Diese Online-Veranstaltung soll praxisnahe Einblicke von erfahrenen Experten aus Recht, IT-Sicherheit und Risikomanagement bieten. „Erfahren Sie, wie Sie regulatorische Anforderungen effizient umsetzen, Cybernotfälle professionell bewältigen und ,Digital Compliance’ auf Basis einer fundierten Risikoanalyse etablieren!“

• Während eben die Anforderungen an Unternehmen im Umfeld von Cybersecurity, NIS-2 und „Digital Compliance“ fortwährend zunehmen, stehen viele Organisationen vor der Herausforderung, regulatorische Vorgaben mit ihren begrenzten Ressourcen praxisnah umzusetzen.

„Freuen Sie sich auf drei praxisorientierte Fachvorträge renommierter Experten aus Recht, IT-Sicherheit und Risikomanagement sowie auf die Möglichkeit zum Austausch mit anderen Teilnehmerinnen und Teilnehmern!“

„NIS-2, Cybernotfall & Digital Compliance – Praxistipps für Unternehmen“

Web-Seminar des IT-Sicherheitsnetzwerkes für Berlin und Brandenburg, it’s.BB
Mittwoch 1. Juli 2026
via „zoom“ – Teilnahme kostenlos, Online-Anmeldung erforderlich

Agenda (ohne Gewähr)

14.00-14.05 Uhr Begrüßung
– Alina Bungarten, Netzwerkmanagerin it’s.BB e.V.
– Anna Borodeno, Referentin für „Digitalisierung und Cybersicherheit“, IHK Berlin

14.05-14.50 Uhr Vortrag:
„NIS-2 und kein Ende – oder noch nicht angefangen? Tipps zur machbaren Umsetzung im Unternehmen“
– Karsten U. Bartels LL.M., Rechtsanwalt/Partner HK2

14.50-15.00 Uhr „Networking“

15.00-15.45 Uhr Vortrag:
„Cybernotfall: Wenn es passiert, ist es zu spät – wie Unternehmen wirklich reagieren (müssen)“
– Carsten Vossel, Geschäftsführer CCVOSSEL GmbH und Vorstandsmitglied it’s.BB e.V.

15.45-16.00 Uhr „Networking“

16.00-17.00 Uhr Vortrag:
„Digital Compliance beginnt mit einer Risikoanalyse – und dann?“
– Rudolf Schreiner, Geschäftsführer ObjectSecurity OSA GmbH
– Dr. Christian Schefold, Rechtsanwalt / Partner Dentons in Deutschland

17.00-17.15 Uhr „Networking“ und Abschluss

Weitere Informationen zum Thema und Anmeldung:

it’s.BB DAS IT_SICHERHEITSNETZWERK BERLIN-BRANDENBURG
it´s.BB – über uns / IT-Sicherheit für Berlin und Brandenburg

eventbrite, it’sBB e.V ITSicherheitsnetzwerk BerlinBrandenburg
NIS-2, Cybernotfall & Digital Compliance – Praxistipps für Unternehmen

datensicherheit.de, 21.05.2026
NIS-2 und eIDAS-Update im Fokus: TeleTrusT-Podcast mit Tim Golly, Markus Schuster und Carsten Vossel / Der aktuelle TeleTrusT-Podcast behandelt den Themenkomplex NIS-2 sowie eIDAS-Update und zieht eine erste Bilanz zur Umsetzung in Unternehmen

datensicherheit.de, 11.01.2026
KMU-Fitness für NIS-2: Universität Paderborn bietet Online-Tool und Lernplattform zur Stärkung der Cybersicherheit / NIS-2 als die überarbeitete EU-Richtlinie von 2022 betrifft nun ca. 30.000 Unternehmen aus 18 Sektoren – von Gesundheit über Transport bis Telekommunikation

datensicherheit.de, 07.01.2026
BSI-Portal ab sofort für zweiten Schritt zur NIS-2-Registrierung freigeschaltet / Vom Inkrafttreten des NIS-2-Umsetzungsgesetzes betroffene Betriebe müssen sich als „NIS-2-Einrichtung“ registrieren lassen und dem BSI stets „erhebliche Sicherheitsvorfälle“ zwingend melden

[datensicherheit.de, 15.05.2026] Shannon Bell, „EVP, CIO & CDO“ bei OpenText, erörtert Fragen der Datensouveränität im Zeitalter Künstlicher Intelligenz (KI): In den vergangenen zehn Jahren habe die „Cloud“ die Technologiestrategie vieler IT-Entscheider geprägt. Heute verschiebe sich der Fokus hin zu mehr Datensouveränität – insbesondere in Behörden und regulierten Branchen. Datensouveränität indes erfordere die Fähigkeit, eine substanzielle und nachweisbare Kontrolle über Daten, Technologien, Betriebsprozesse und rechtliche Risiken zu behalten – unabhängig davon, wo sich diese befinden. „Sie hat sich von einem reinen ,Compliance’-Thema zu einer strategischen Notwendigkeit entwickelt – insbesondere für Organisationen, die sensible Informationen schützen und gleichzeitig in zunehmend komplexen Umgebungen agieren müssen“, so Bell.

Nachfrage nach Digitaler Souveränität in Verwaltung und regulierten Branchen treibt Entwicklung voran

Regulatorische Anforderungen an kritische digitale Infrastrukturen hätten diesen Wandel beschleunigt. Insbesondere in Deutschland trieben KRITIS-Vorgaben, die Umsetzung von NIS-2 sowie die wachsende Nachfrage nach Digitaler Souveränität in Verwaltung und regulierten Branchen diese Entwicklung voran.

• Bell führt aus: „Gleichzeitig machen geopolitische Unsicherheiten und zunehmende Cyberrisiken Souveränität zu einer Frage der Resilienz. Dabei geht es nicht nur darum, wo Daten gespeichert sind, sondern ob Organisationen in der Lage sind, die Nutzung ihrer Informationen über hybride Umgebungen hinweg konsequent zu steuern, zu schützen und zu prüfen.“

Eines ist laut Bell klar: „Unternehmen müssen wissen, wo sich ihre Daten befinden, wie sie verarbeitet werden, wer Zugriff darauf hat – und ob sich die Kontrolle darüber durchgängig nachweisen lässt!“

KI verkompliziert Digitale Souveränität

Mit zunehmender KI-Nutzung werde die Herausforderung rund um Souveränität noch dringlicher. Um den Wert ihrer Daten zu erschließen, griffen Organisationen häufig auf außerhalb ihrer direkten Kontrolle betriebene Modelle, Plattformen und Services zurück.

• Dieses Risiko zeige sich besonders deutlich bei LLMs („Large Language Models“ / Große Sprachmodelle): „Wenn sensible Daten in KI-Workflows genutzt werden, stellt sich nicht mehr nur die Frage, wo diese Daten gespeichert sind, sondern ob Organisationen nachweisen können, auf welche Daten zugegriffen wird, wie daraus Erkenntnisse abgeleitet werden und welche ,Governance’- und Rechtsräume entlang des gesamten KI-Lebenszyklus gelten.“

Sobald nämlich Daten gespeichert oder weiterverwendet werden, verlassen sie den eigenen „Governance“- und Verantwortungsbereich des Unternehmens – „mit langfristigen Risiken für ,Compliance’, Geistiges Eigentum und Kontrolle“, erläutert Bell.

Hybrides, souveränes Betriebsmodell als praktikabler Weg

Sie unterstreicht: „Souveränität ist nicht gegeben, wenn Datenherkunft, Modellverhalten oder Inferenzprozesse nicht nachvollzogen und überwacht werden können – selbst dann nicht, wenn die Daten lokal verbleiben.“ KI bringe neue Unsicherheiten mit sich und mache Transparenz, Verantwortlichkeit und Kontrolle unerlässlich.

• Der Vergleich zwischen „Public Clouds“ und „Private Clouds“ werde zunehmend irrelevant. Stattdessen habe sich der Markt weiterentwickelt, und IT-Entscheider könnten heute aus verschiedenen tragfähigen Modellen wählen, die „Workloads“ mit dem jeweils erforderlichen Maß an Kontrolle in Einklang bringen. Für besonders sensible „Workloads“ benötigten Organisationen Umgebungen mit eingeschränktem Zugriff, starker Isolation, Verschlüsselung sowie Kontrolle über kryptographische Schlüssel. „Doch Souveränität bedeutet nicht, alles zu isolieren: Entscheidend ist vielmehr, je nach Sensibilität und Risikoprofil der Daten das passende Maß an ,Governance’ anzuwenden!“

Für viele Organisationen zeichne sich ein hybrides, souveränes Betriebsmodell als praktikabler Weg nach vorn ab. In einem solchen Modell könnten weniger sensible Prozesse weiterhin von skalierbaren, globalen „Hyperscaler-Cloud“-Services profitieren, während sensible Daten, kritische „Workloads“ und KI-Anwendungen in kontrollierten Umgebungen mit verlässlicher Aufsicht verblieben.

Viele erachten Datensouveränität noch immer als bloßen Kostenfaktor

„Eine Datensouveränitätsstrategie erfordert einen klaren Überblick über die eigene Datenlandschaft! Schutzstufen und Souveränitätsanforderungen dürfen sich dabei nicht allein am Speicherort orientieren, sondern müssen auch ,Governance’, Identitätskontrollen, Auditierbarkeit und rechtliche Verantwortlichkeiten über alle Umgebungen hinweg berücksichtigen.“

• Darauf aufbauend bestehe der nächste Schritt darin, Daten und Intelligenz zu trennen. „In der Praxis bedeutet das, Architekturen zu wählen, die die KI zu den Daten bringen – statt Daten in unkontrollierte KI-Systeme zu verlagern.“ Modelle blieben austauschbar, während Inferenz, Rechenleistung und sensible Informationen innerhalb souveräner Grenzen verankert blieben.

Viele betrachteten Datensouveränität noch immer als vernachlässigbaren Kostenfaktor. Tatsächlich sei sie jedoch inzwischen eine klare strategische Voraussetzung, damit sich Organisationen angesichts geopolitischer Unsicherheiten resilient aufstellen könnten. „Souveränität ermöglicht es, private Daten sicher und skalierbar für KI zu nutzen – bei gleichzeitig nachweisbarer Kontrolle, Verantwortlichkeit und Vertrauenswürdigkeit“, so Bells Fazit.

Weitere Informationen zum Thema:

ot opentext
Über uns / OpenText: Informationen neu definiert / Informationen sind der Herzschlag eines jeden Unternehmens. Wir entwickeln Software für das Information Management, damit Sie die Zukunft gestalten können.

ot opentext
Führungsteam: Shannon Bell – Executive Vice President, Chief Digital Officer und Chief Information Officer

datensicherheit.de, 04.04.2026
Datensouveränität gefährdet – jedes dritte Unternehmen 2025 von einem Vorfall betroffen / Laut aktuellem Kiteworks-Report geben Unternehmen zwar Millionen für ihre Datensouveränitätsbemühungen aus und doch tut sich eine Souveränitätslücke auf

datensicherheit.de, 23.02.2026
Regionale Datensouveränität im Zeitalter der KI: Spannungsfeld zwischen Freiheit und Regulierung mit maximalem Mehrwert / Während sich Künstliche Intelligenz rasant beschleunigt und Datenvolumina exponentiell wachsen, müssen Unternehmen in nie dagewesener Geschwindigkeit innovieren im Rahmenzunehmend strenger regulatorischer, geopolitischer und Souveränitäts-bezogener Rahmenbedingungen.

datensicherheit.de, 24.12.2025
Cloud-Nutzung: Auswege für KMU aus dem Dilemma der Datensouveränität / Mit „Hyperkonvergenter Infrastruktur“ können KMU einfacher und kostengünstiger „Hybrid Clouds“ aufbauen – und so garantieren, dass ihre kritischen Daten jederzeit am richtigen Ort zugänglich sind

[datensicherheit.de, 04.04.2026] Obwohl 80 Prozent der europäischen Unternehmen glaubten, ihre Datensouveränität im Griff zu haben, haben nach Erkenntnissen aus dem „Kiteworks Data Sovereignty Report 2026“ im letzten Jahr – 2025 – 32 Prozent dennoch einen Vorfall gemeldet, wodurch sich eine kritische „Souveränitätslücke“ auftue. Das Problem ist demnach nicht mangelndes Wissen, sondern eine operative Schwäche. Trotz Millionen-Budgets klaffe eine Kluft zwischen „Compliance“-Richtlinien und technischer Architektur.

Abbildung: Kiteworks

„2026 Data Security and Compliance Risk: Data Sovereignty Report“ – Erkenntnisse für die EU

Auffällige Diskrepanz bei den Unternehmen auf ihrem Weg zur Datensouveränität

Der aktuelle „2026 Data Security and Compliance Risk: Data Sovereignty Report“ von Kiteworks deckt eine auffällige Diskrepanz auf dem Weg zur Datensouveränität auf. Die zugrundeliegende Umfrage zeige, dass Unternehmen die Vorschriften zur Datensouveränität zwar besser denn je kennen würden, jedoch auch jedes dritte Unternehmen in den letzten zwölf Monaten einen Vorfall im Zusammenhang mit Datensouveränität verzeichnet habe.

• Für diesen Report wurden laut Kiteworks 286 Fachleute, meist IT-Manager, CIOs oder CTOs, in Europa (189), Kanada (43) und dem Nahen Osten (54) befragt. Die Einhaltung der DSGVO und neue Rahmenwerke zur KI-Governance hätten dabei in Europa im Mittelpunkt gestanden. Signifikantes Ergebnis des Reports sei das Aufzeigen einer Lücke zwischen Bewusstsein für die Anforderungen von Datensouveränität und der Häufigkeit von Vorfällen.

44 Prozent der Befragten in jeder Region bezeichneten sich als „sehr gut informiert“ über die Anforderungen an die Datensouveränität. In Europa fühlten sich 80 Prozent „gut“ (36%) bis „sehr gut“ (44%) informiert. Dennoch bestätigten 32 Prozent der europäischen Befragten einen Vorfall (23% in Kanada, 44% im Nahen Osten). Zu diesen Vorfällen zählten am häufigsten unbefugte grenzüberschreitende Datenübermittlungen, behördliche Auskunftsersuche, Datenschutzverletzungen mit Auswirkungen auf die Souveränität sowie „Compliance“-Verstöße durch Dritte.

Souveränitätslücke der Unternehmen ist operativer, nicht informativer Natur

Es zeige sich: „Die verbleibende Lücke ist operativer, nicht informativer Natur – und um sie zu schließen, bedarf es einer geeigneten Architektur, nicht unbedingt weiterer Schulungen.“

• Als größtes Bedenken und Hindernis bei den Souveränitätsbestrebungen würden 44 Prozent der Befragten in Europa die Souveränitätsgarantien der Anbieter nennen – es sei der höchste Wert aller befragten Regionen und das, obwohl die DSGVO fast überall eingehalten werde.

Viele „Cloud“-Umgebungen erfüllten zwar die rechtlichen Anforderungen an den Datenstandort, böten jedoch keine alleinige Kontrolle über die Encryption-Schlüssel – „was bedeutet, dass der Anbieter weiterhin technisch in der Lage ist, auf Kundendaten zuzugreifen“. Diese Lücke untergrabe die Souveränitätsgarantien, welche viele Unternehmen benötigten.

Unternehmen in allen untersuchten Regionen geben Millionen für die Einhaltung von Datenschutzbestimmungen aus…

Des Weiteren empfänden 40 Prozent den „EU AI Act“ als Hindernis – und 36 Prozent politische Kurswechsel in den USA, 34 Prozent die Durchsetzung der Datenschutzgesetze und 23 Prozent mögliche Änderungen bei den sogenannten Angemessenheitsentscheidungen. Keine andere Region sehe sich mit so vielen regulatorischen Herausforderungen gleichzeitig konfrontiert.

• „Unternehmen in allen von uns untersuchten Regionen geben Millionen für die Einhaltung von Datenschutzbestimmungen aus, weisen ein hohes Bewusstsein für die Thematik auf und sind dennoch von Datenschutzverletzungen, unbefugten Datenübertragungen und behördlichen Auskunftsersuchen betroffen“, kommentiert Dario Perfettibile, „Vice President & GM of European Operations“ bei Kiteworks.

Er führt weiter aus: „Die Lücke liegt nicht im Wissen. Es ist die Kluft zwischen den Richtlinien und der Architektur, die die Datenresidenz tatsächlich durchsetzt, den Zugriff kontrolliert und bei Bedarf auditierbare Nachweise liefert.“

Datensouveränität mit Fokus auf unternehmenseigener Architektur

In Europa führten 58 Prozent Änderungen an der technischen Infrastruktur (59% insgesamt) sowie Fachwissen in den Bereichen Recht und „Compliance“ (53% Europa und insgesamt) als ressourcenintensivste Bereiche an. Danach kämen Dokumentation und Auditierung mit 41 Prozent als größter Ressourcenfresser (42% insgesamt).

• Die Mehrheit der Unternehmen gebe jährlich mehr als eine Million US-Dollar für die Einhaltung von Souveränitätsvorschriften aus.

Souveränität liefere einen klaren geschäftlichen Mehrwert: So sähen 61 Prozent, dass ihre Bestrebungen mit einer erhöhten Sicherheit (insgesamt 63%) sowie einem gesteigerten Kundenvertrauen einhergingen (51% in Europa, 52% insgesamt). Mehr als die Hälfte in Europa (55%) plane, in den nächsten zwei Jahren in die Automatisierung von „Compliance“-Prozessen zu investieren (insgesamt 53%). Auch verbesserte technische Kontrollen stünden in Europa (51%) wie in allen drei Regionen im Mittelpunkt der Zweijahresplanung.

KI-„Governance“ der Unternehmen entwickelt sich zum nächsten Schauplatz

Der Kiteworks-Report beleuchtet zudem die wachsende Herausforderung bei der Datensouveränität mit Blick auf den Einsatz Künstlicher Intelligenz (KI). Etwa ein Drittel aller Befragten bewahre alle KI-Trainingsdaten innerhalb der eigenen Region auf (36%), ein weiteres Drittel verfolge einen je nach Sensibilität variierenden Ansatz (34%).

• Der Rest sei noch dabei, seine KI-Souveränitätsstrategie zu entwickeln oder möchte dazu keine Aussage treffen. In Europa spiegelten sich diese Zahlen: 34 Prozent der Befragten bewahrten alle KI-Trainingsdaten innerhalb der EU auf und weitere 34 Prozent verfolgten einen gemischten Ansatz, welcher sich nach der Sensibilität der Daten richte.

„Früher bedeutete Souveränität vor allem Geographie – man musste die Daten nur im richtigen Land aufbewahren und schon war man auf der sicheren Seite“, so Perfettibile. Indes sei diese Ära nun vorbei. Abschließend gibt er zu bedenken: „Aufsichtsbehörden, Kunden und Beschaffungsteams verlangen heute Nachweise: Wer hat Zugriff auf die Daten, wer verwaltet die Schlüssel und lässt sich die Einhaltung der Vorschriften auf Anfrage nachweisen? Die Unternehmen, die diese Nachweise in ihre Architektur integrieren, werden die Nase vorn haben. Alle anderen werden zwar weiterhin die Regeln kennen, aber immer wieder ins Straucheln geraten.“

Weitere Informationen zum Thema:

Kiteworks
Über Kiteworks: Zero-Trust-Datenaustausch ermöglichen

Kiteworks
Management: Lernen Sie das Team kennen, das das Team führt

Kiteworks, 2026
2026 Data Security and Compliance Risk / Data Sovereignty Report / Awareness is high. Incidents are higher. How organizations across Canada, the Middle East, and Europe are navigating the new rules of data residency

Kiteworks, 2026
Executive Summary: 2026 Data Security and Compliance Risk: Data Sovereignty in Europe / The Most Regulated Market in the World Is Still Learning That Contracts Can’t Override Laws – and Architecture Is the Real Defence

datensicherheit.de, 23.02.2026
Regionale Datensouveränität im Zeitalter der KI: Spannungsfeld zwischen Freiheit und Regulierung mit maximalem Mehrwert / Während sich Künstliche Intelligenz rasant beschleunigt und Datenvolumina exponentiell wachsen, müssen Unternehmen in nie dagewesener Geschwindigkeit innovieren im Rahmenzunehmend strenger regulatorischer, geopolitischer und Souveränitäts-bezogener Rahmenbedingungen.

datensicherheit.de, 24.12.2025
Cloud-Nutzung: Auswege für KMU aus dem Dilemma der Datensouveränität / Mit „Hyperkonvergenter Infrastruktur“ können KMU einfacher und kostengünstiger „Hybrid Clouds“ aufbauen – und so garantieren, dass ihre kritischen Daten jederzeit am richtigen Ort zugänglich sind

datensicherheit.de, 21.03.2025
Zero Trust noch sicherer durch europäische Datensouveränität / IT-Security in hybriden IT-Infrastrukturen

datensicherheit.de, 21.03.2025
US-Clouds: Erste Warnungen vor Gefährdung der Datensouveränität in Europa / Unternehmen und Organisationen speichern und verarbeiten sensible Daten bei US-basierten „Cloud“-Anbietern – mangels europäischer Alternativen

datensicherheit.de, 29.11.2024
Datensouveränität: Bedeutung der Self Sovereign Identities / Annahme der novellierte eIDAS-Verodnung durch das EU-Parlament

datensicherheit.de, 28.02.2019
WebEngine: Stärkung der Datensouveränität / Mit der dezentralen Suchmaschine sollen Nutzer die vollständige Kontrolle über ihre Daten behalten

[datensicherheit.de, 03.04.2026] Alexander Ingelheim, CEO und Mitgründer von Proliance, warnt in seiner aktuellen Stellungnahme vor wachsenden Risiken von „KI-Washing“ bei automatisierten Zertifizierungen. Er führt aus, warum der vermeintlich bequeme, KI-gestützte „Shortcut zur Compliance“ für Unternehmen schnell zur rechtlichen und intransparenten Falle werden kann, wenn nämlich Geschwindigkeit echte Prüftiefe ersetzt: „Kaum ein Versprechen klingt so verlockend wie das, nie wieder mühsam Nachweise zusammentragen, Richtlinien formulieren und Auditoren zuarbeiten zu müssen. KI-gestützte ,Compliance’-Plattformen werben genau damit, schneller zum Zertifikat bei weniger Aufwand und automatisierter Nachweisführung.“ Doch aktuelle Fälle zeigten Schattenseiten solcher Versprechen auf.

Foto: Proliance

Alexander Ingelheim nimmt kritisch Stellung zu KI-gestützten „Compliance“-Plattformen

„KI-Washing“ für Unternehmen könnte sich zu großem Problem ausweiten

So sorgt in den USA demnach aktuell ein Fall für Aufsehen, in dem eine als KI-gestützt vermarktete Plattform offenbar Audit-Nachweise vorausgefüllt, Prüfberichte vor der eigentlichen unabhängigen Prüfung erstellt und die Grenze zwischen Prüfer und Geprüftem systematisch verwischt haben soll.

• Investoren distanzierten sich öffentlich, Kunden stünden vor der Frage, „ob ihre Zertifizierungen überhaupt belastbar sind“. Was nach einem Einzelfall aussehe, verweise auf ein strukturelles Problem: „Wenn Geschwindigkeit zum alleinigen Qualitätsmerkmal wird, leidet die Substanz!“

Dieses Phänomen habe einen Namen: „KI-Washing“. Die US-Börsenaufsicht SEC habe 2024 erstmals Strafen wegen irreführender KI-Aussagen verhängt, das Justizministerium Strafverfahren eingeleitet. In der EU adressiere der „AI Act“ künftig genau solche irreführenden Darstellungen.

EU-Unternehmen benötigen Gewissheit, wo ihre personenbezogenen Daten liegen und wer nach welchen Regeln darauf zugreift

Für den europäischen Markt komme eine weitere Dimension hinzu. Unternehmen, die personenbezogene Daten verarbeiten oder „Compliance“-Nachweise führen, brauchten Gewissheit darüber, wo ihre Daten liegen und wer nach welchen Regeln darauf zugreift. „Eine Plattform, die verspricht, DSGVO-Konformität automatisch herzustellen, aber selbst intransparent agiert, erzeugt ein Paradox, das Aufsichtsbehörden zunehmend kritisch sehen“, so Ingelheim.

• Verantwortungsvoller KI-Einsatz in der „Compliance“ lasse sich an klaren Kriterien festmachen: „Der Mensch bleibt am Steuer und trifft die Entscheidungen, während der Datenzugriff eng abgesteckt bleibt. Die eingesetzte Technologie ist nachvollziehbar, wobei europäische Open-Source-Modelle hier einen Transparenzvorteil gegenüber geschlossenen Systemen bieten. Und sensible ,Compliance’-Daten gehören zu europäischen ,Cloud’-Anbietern, im eigenen Rechtsraum.“

„Compliance“ existiere, um Vertrauen in der Wirtschaft sicherzustellen: „Wer in diesem Feld arbeitet, bekommt genau eine Chance, dieses Vertrauen zu rechtfertigen. Diese Chance verdient Sorgfalt, Sachverstand und echte Prüftiefe!“ Ingelheims Fazit: „Sie auf einen ,Shortcut’ zu reduzieren, der auf Preis und Aufwand optimiert, gefährdet am Ende genau das, was ,Compliance’ leisten soll.“

Weitere Informationen zum Thema:

proliance
Über uns: Professional Compliance aus München mit Leidenschaft für kleine und mittlere Unternehmen

proliance
Alexander Ingelheim – Co-Founder & CEO

datensicherheit.de, 25.03.2026
Den Fortschritt im Blick, Cyberangreifer im Windschatten: Wie Unternehmen Governance, Risk & Compliance (GRC) mit KI harmonisieren / Künstliche Intelligenz entwickelt sich zunehmend zu einem entscheidungsrelevanten Faktor mit unmittelbaren Auswirkungen auf Risikoexposition, Haftung und regulatorische Anforderungen. Systeme treffen automatisierte Entscheidungen, priorisieren Risiken, analysieren Anomalien oder steuern Prozesse in Echtzeit.

datensicherheit.de, 27.01.2026
Strategische Prioritäten für Unternehmen 2026: Informationssicherheit, Compliance und Datenschutz / Datenschutz, Informationssicherheit und „Compliance“ stehen für Unternehmen 2026 nicht mehr nur als regulatorische Pflichtprogramme auf der Agenda – sie werden zu zentralen Erfolgsfaktoren

Von unserem Gastautor Thomas Kress, Geschäftsführer, Deutsche Cyberkom GmbH

[datensicherheit.de, 30.03.2026] NIS2 wird in vielen Unternehmen noch immer operativ interpretiert. Maßnahmen werden erweitert, Kontrollen verschärft, Compliance-Strukturen angepasst. Doch die eigentliche Veränderung liegt auf einer anderen Ebene. Geschäftsleitungen und Aufsichtsgremien müssen künftig nicht nur Verantwortung tragen, sondern diese auch aktiv und nachvollziehbar wahrnehmen.

Thomas Kress, Geschäftsführer, Deutsche Cyberkom GmbH, © Deutsche Cyberkom

Damit verschiebt sich der Maßstab. Nicht die Anzahl der Maßnahmen ist entscheidend, sondern die Fähigkeit zur Steuerung. Genau hier zeigt sich in der Praxis eine deutliche Lücke.

Vom ISMS zur echten Steuerungslogik

Viele Unternehmen verfügen über etablierte Informationssicherheitsmanagementsysteme, häufig orientiert an ISO 27001. Diese schaffen Struktur, ersetzen aber keine Steuerung auf Vorstandsebene. NIS2 fordert genau diese Übersetzung.

Cyberrisiken müssen so aufbereitet werden, dass sie für die Geschäftsleitung verständlich und entscheidungsfähig sind. Technische Schwachstellen allein reichen nicht aus. Erst die Verknüpfung mit geschäftlichen Auswirkungen macht Risiken steuerbar.

In der Praxis fehlt häufig genau dieser Schritt. Informationen bleiben technisch, während die Führungsebene keine klare Entscheidungsbasis erhält.

Die fünf Kennzahlen für die Führungsebene

Für eine wirksame Steuerung haben sich fünf Kennzahlen bewährt, die auf Vorstandsebene belastbar sind:

• Der aggregierte Risikostatus kritischer Geschäftsprozesse zeigt, wie stark das Kerngeschäft aktuell gefährdet ist und basiert auf Business Impact Analysen sowie aktuellen Bedrohungslagen.
• Die Mean Time to Detect misst die Zeit bis zur Erkennung eines Vorfalls und gibt Aufschluss über die Effektivität von Monitoring und Detection.
• Die Mean Time to Recover beschreibt die Wiederherstellungszeit kritischer Systeme und damit die operative Resilienz des Unternehmens.
• Der Umsetzungsgrad priorisierter Maßnahmen zeigt, ob definierte Sicherheitsmaßnahmen tatsächlich umgesetzt werden und wo Verzögerungen bestehen.
• Die Third-Party Risk Exposure bewertet die Risiken durch externe Dienstleister und Lieferketten, die zunehmend zum entscheidenden Angriffspunkt werden.

Diese Kennzahlen verdichten komplexe Sachverhalte auf ein Niveau, das fundierte Entscheidungen ermöglicht.

Reporting als Entscheidungsgrundlage

Ein entscheidender Erfolgsfaktor ist das Reporting. Umfangreiche technische Berichte sind auf Vorstandsebene nicht zielführend. Entscheidend ist eine klare und reduzierte Darstellung.

Ein einseitiges Management-Update hat sich in der Praxis bewährt. Es enthält eine eindeutige Gesamteinschätzung der Risikolage, die Entwicklung der zentralen Kennzahlen sowie die aktuell kritischsten Risiken.

Wesentlich ist die Übersetzung in geschäftliche Auswirkungen. Welche Prozesse sind betroffen, welche operativen oder finanziellen Konsequenzen entstehen können.

Abschließend müssen konkrete Entscheidungsbedarfe formuliert werden. Erst dadurch wird aus Reporting echte Steuerung.

Haftung als Frage der Nachvollziehbarkeit

Die persönliche Haftung wird häufig als abstraktes Risiko wahrgenommen. In der Praxis ist sie vor allem eine Frage der Nachvollziehbarkeit.

Geschäftsleitungen müssen zeigen können, dass Risiken bekannt sind, bewertet werden und auf dieser Grundlage Entscheidungen getroffen wurden. Die Existenz von Risiken ist dabei nicht ausschlaggebend.

Kritisch wird es, wenn Transparenz fehlt oder bekannte Risiken ignoriert werden. NIS2 erhöht hier die Anforderungen an strukturiertes und dokumentiertes Handeln.

Typische Schwächen in der Umsetzung

In vielen Organisationen liegt der Fokus weiterhin auf technischen Maßnahmen. Gleichzeitig fehlt die Integration in die Unternehmenssteuerung.

Cybersecurity wird operativ umgesetzt, aber nicht strategisch geführt. Risiken werden identifiziert, aber nicht priorisiert. Reporting ist vorhanden, aber nicht entscheidungsorientiert.

Diese Diskrepanz führt zu einer Scheinsicherheit, die durch NIS2 zunehmend hinterfragt wird.

Fazit

NIS2 verschiebt den Fokus von einzelnen Maßnahmen hin zur Fähigkeit, Risiken aktiv zu steuern. Geschäftsleitungen werden daran gemessen, ob sie Informationssicherheit nachvollziehbar führen.

Ein klar definiertes Set an Kennzahlen, ein reduziertes und entscheidungsorientiertes Reporting sowie die Integration in bestehende Governance-Strukturen bilden die Grundlage dafür. Unternehmen, die diese Übersetzung schaffen, erreichen nicht nur regulatorische Konformität, sondern echte Resilienz.

Über den Autor:

Thomas Kress ist ein erfahrener IT-Sicherheitsexperten im deutschsprachigen Raum und Geschäftsführer der Deutschen CyberKom. Nach über 25 Jahren in leitenden Rollen bei internationalen IT-Projekten gründete er sein eigenes Unternehmen, das heute unter dem Dach der Deutschen CyberKom IT-Security und Telekommunikation strategisch vereint. Darüber hinaus ist Kress gefragter Fachautor in IT- und Wirtschaftspublikationen. Als Berater betreut er führende Unternehmen sowie Systemhäuser in Sicherheitsfragen, Infrastruktur und digitaler Souveränität.

Weitere Informationen zum Thema:

datensicherheit.de, 28.03.2026
NIS2 wird nicht an der Technologie scheitern – sondern am Faktor Mensch

[datensicherheit.de, 28.03.2026] NIS2 hat die Messlatte für die Cybersicherheit in ganz Europa höher gelegt, und das aus gutem Grund. Die Bedrohungen sind hartnäckiger, raffinierter und störender als je zuvor. Die Aufsichtsbehörden reagieren darauf, indem sie stärkere Sicherheitskontrollen, eine klarere Rechenschaftspflicht und einen besseren Einblick in das Risikomanagement von Unternehmen fordern. Als Reaktion darauf haben viele Unternehmen bekannte und sinnvolle Schritte unternommen. Sie haben in neue Sicherheitstools investiert, ihre technischen Schutzmaßnahmen verstärkt, Richtlinien verfeinert und die Risikoberichterstattung an die Unternehmensleitung verstärkt. All dies spielt eine wichtige Rolle bei der Verbesserung der Sicherheitslage.

MetaCompliance, Anbieter für Human Risk Management, warnt jedoch, dass Erfahrung aus der Praxis zeigen, dass diese Maßnahmen allein nicht ausreichen werden:

Wenn es zu Sicherheitsverletzungen kommt, beginnt dies selten mit einem technischen Defekt. Sie beginnen mit einer menschlichen Entscheidung, die oft schnell, unter Druck oder ohne genügend Kontext getroffen wird, um das Risiko in diesem Moment zu erkennen. Daran wird sich der Erfolg oder Misserfolg von NIS2 letztlich entscheiden.

NIS2 rückt den Menschen fest in den Blickpunkt

Eines der häufigsten Missverständnisse im Zusammenhang mit NIS2 ist, dass es sich in erster Linie um eine technische oder IT-gesteuerte Verordnung handelt. Sie enthält zwar Anforderungen in Bezug auf Systeme, Überwachung, Meldung von Vorfällen und Sicherheit der Lieferkette, aber ihr Anwendungsbereich ist viel breiter.

NIS2 legt den Schwerpunkt eindeutig auf Risikomanagement, Governance und organisatorische Resilienz. Unternehmen müssen verstehen, wo ihre wirklichen Risiken bestehen, wie sich diese Risiken im Laufe der Zeit entwickeln und ob die vorhandenen Kontrollen wirklich wirksam sind, um sie zu reduzieren. Diese Wirksamkeit wird nicht daran gemessen, wie viele Tools eingesetzt werden oder wie umfangreich eine Richtlinienbibliothek auf dem Papier aussieht, sondern daran, ob die Risiken in der Praxis verwaltet werden.

Auch die Verantwortung wird fest nach oben verlagert. Von der Geschäftsleitung wird erwartet, dass sie die Maßnahmen zum Risikomanagement genehmigt und ihre laufende Wirksamkeit überwacht. In diesem Zusammenhang kann menschliches Verhalten nicht mehr ignoriert werden. Entscheidungen über den Zugang, den Umgang mit Anmeldeinformationen, die gemeinsame Nutzung von Daten und Reaktionen unter Druck haben einen direkten Einfluss darauf, ob die Kontrollen bei Tests Bestand haben.

NIS2 betrachtet dieses Thema nicht als zweitrangig oder weich, sondern das menschliche Verhalten als Kernkomponente des organisatorischen Risikos.

Die meisten Angriffe beginnen immer noch mit alltäglichen Entscheidungen

Trotz jahrelanger Fortschritte in der Cybersicherheitstechnologie bleiben die häufigsten Angriffswege bemerkenswert gleich. Laut des neuesten Verizon Data Breach Investigations Report (DBIR) sind rund 60 Prozent der Sicherheitsverletzungen auf menschliches Verhalten zurückzuführen, darunter Phishing, kompromittierte Zugangsdaten und Routinefehler. Dies zeigt, wie sehr menschliches Verhalten das Risiko immer noch beeinflusst. In demselben Bericht waren gestohlene oder missbräuchlich verwendete Zugangsdaten in etwa 22 Prozent der Fälle der primäre Einstiegsvektor, während Phishing etwa 15 Prozent ausmachte. Diese Zahlen verdeutlichen, dass viele Vorfälle nicht auf einen Fehler in den Sicherheitstools zurückzuführen sind, sondern auf alltägliche Entscheidungen, die getroffen werden, wenn Menschen beschäftigt, abgelenkt oder unter Druck sind.

Diese Situationen entstehen nicht, weil Mitarbeiter unvorsichtig oder böswillig sind. Sie entstehen, weil die Menschen versuchen, ihre Arbeit in einer schnelllebigen Umgebung zu erledigen, in der Bequemlichkeit, Dringlichkeit und konkurrierende Prioritäten das Verhalten oft bestimmen. Angreifer verstehen diese Dynamik sehr gut, weshalb Social Engineering nach wie vor eine so effektive Taktik ist. Gemäß des DBIR sind Social-Engineering-Techniken an fast drei Vierteln der Sicherheitsverletzungen beteiligt. Damit ist dies eine der erfolgreichsten Methoden für Angreifer, sich Zugang zu verschaffen, indem sie menschliche Entscheidungen und nicht technische Schwächen ausnutzen.

Technologie ist auf definierte Prozesse und vorhersehbare Eingaben ausgelegt, aber sie geht oft davon aus, dass Menschen sich konsistent verhalten, selbst wenn sie müde sind, unter Druck stehen oder mit unvollständigen Informationen arbeiten. Aus Sicht von NIS2 ist diese Lücke wichtig. Die Aufsichtsbehörden interessieren sich nicht nur dafür, ob es Kontrollen gibt, sondern auch dafür, ob sie belastbar genug sind, um den realen Bedingungen standzuhalten.

Wenn eine Kontrolle von perfektem Verhalten unter unvollkommenen Umständen abhängt, stellt dies ein Risiko dar, das verstanden und verwaltet werden muss.

Warum Politik und jährliche Schulungen zu kurz greifen

Die meisten Unternehmen können nachweisen, dass sie über Sicherheitsrichtlinien verfügen und dass ihre Mitarbeiter regelmäßig Schulungen zur Sensibilisierung absolvieren. Lange Zeit wurde dies als angemessener Beweis für die gebotene Sorgfalt angesehen. Unter NIS2 wird es schwieriger, diese Annahme zu verteidigen. Richtlinien beschreiben, wie die Dinge funktionieren sollten, und jährliche Schulungen erklären das erwartete Verhalten in der Theorie. Was sie nicht zeigen, ist, wie Menschen tatsächlich reagieren, wenn sie mit realistischen Szenarien konfrontiert werden, die den Druck ihrer täglichen Aufgaben widerspiegeln.

Vom Standpunkt der Regulierung aus betrachtet, schafft dies eine Lücke in der Sichtbarkeit. Abschlussquoten und Bestätigungen von Richtlinien zeigen die Aktivität, aber nicht die Wirksamkeit. Da NIS2 einen risikobasierten und ergebnisorientierten Ansatz für die Einhaltung der Vorschriften vorantreibt, müssen die Unternehmen nachweisen, dass ihre Sensibilisierungsprogramme das Verhalten auf messbare Weise beeinflussen.

Verhaltensnachweise sind wichtiger als Anwesenheit

Eine der wichtigsten Änderungen, die durch NIS2 eingeführt wurden, ist die Konzentration auf das laufende Risikomanagement und nicht auf die punktuelle Einhaltung von Vorschriften.

Wenn es um menschliche Risiken geht, bedeutet das, dass wir in der Lage sind, praktische Fragen zu beantworten:

• Womit haben die Mitarbeiter am meisten zu kämpfen?
• Welche Verhaltensweisen bergen die größten Risiken?
• Wie variiert dieses Risiko je nach Funktion, Team oder Standort?
• Welche Beweise gibt es, die belegen, dass Lerninterventionen tatsächlich Wirkung zeigen?

Verhaltensbasierte Erkenntnisse helfen bei der Beantwortung dieser Fragen. Daten zum Engagement, Reaktionen auf realistische Szenarien und Muster bei der Entscheidungsfindung liefern wertvolle Erkenntnisse darüber, wie sich Menschen verhalten, wenn sie mit wichtigen Situationen konfrontiert sind. Anwesenheits- und Abschlusskennzahlen allein können dieses Maß an Sicherheit nicht bieten.

Engagement ist kein Nice-to-have

Das Engagement im Bereich des Sicherheitsbewusstseins wird oft in Bezug auf die Teilnahme oder den Abschluss diskutiert und nicht in Bezug auf die Auswirkungen auf die Art und Weise, wie Menschen denken und handeln, wenn sie mit Risiken konfrontiert werden.

Wenn Mitarbeiter unmotiviert sind, ist es viel unwahrscheinlicher, dass sie Anleitungen aufnehmen, Warnzeichen erkennen oder das Gelernte anwenden, wenn es am wichtigsten ist. Aus der Sicht von NIS2 ist dies kein Problem des Lerndesigns, sondern ein Problem des Risikomanagements.

Interaktive, szenariobasierte Inhalte spielen hier eine wertvolle Rolle, da sie widerspiegeln, wie Menschen am besten lernen. Dieser Ansatz steht in engem Einklang mit den Erwartungen der Regulierungsbehörden in Bezug auf Effektivität und kontinuierliche Verbesserung.

Technologie unterstützt die Resilienz, Menschen bestimmen sie

Starke technische Kontrollen sind weiterhin unerlässlich. Firewalls, Überwachungstools, Identitätssysteme und Erkennungsfunktionen spielen eine entscheidende Rolle. Was NIS2 außerdem fordert, ist ein klares Verständnis dafür, wie diese Kontrollen mit dem menschlichen Verhalten interagieren. Unternehmen, die NIS2 als reines Technologieprojekt betrachten, laufen Gefahr, dies völlig zu verpassen.

Aufbau einer vertretbaren NIS2-Ausrichtung

Da die Durchsetzung von NIS2 näher rückt, werden die Unternehmen zunehmend aufgefordert werden, nachzuweisen, wie sie in der Praxis mit Risiken umgehen. Eine vertretbare Ausrichtung beruht auf Beweisen. Letztendlich wird die Einhaltung von NIS2 nicht daran scheitern, dass ein Tool fehlt. Sie wird scheitern, wenn menschliches Verhalten als nachträglicher Gedanke behandelt wird und nicht als zentraler Bestandteil des Risikomanagements.

Management menschlicher Risiken

Die Erfüllung der NIS2-Erwartungen erfordert mehr als den Nachweis, dass eine Schulung stattgefunden hat. NIS2 führt zu mehr Verantwortlichkeit und Kontrolle. Unternehmen, die klar zeigen können, wie sie ihre Mitarbeiter vorbereiten, werden am besten in der Lage sein, sowohl die Erwartungen der Regulierungsbehörden zu erfüllen als auch reale Bedrohungen zu bewältigen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2025
NIS-2 offiziell in Kraft: Proliance-Handlungsempfehlungen für Unternehmen

Von unserem Gastautor Kay Ernst, Manager DACH von Zero Networks

[datensicherheit.de, 01.03.2026] Die NIS2-Richtlinie der EU ist mehr als nur eine Dokumentationsaufgabe. Sie wurde entwickelt, um die Lücken von NIS1 zu schließen und der sich ständig weiterentwickelnden Bedrohungslandschaft Rechnung zu tragen. Die NIS2-Compliance erfordert von CISOs, dass sie Resilienz und Verantwortlichkeit gegenüber einmaligen Checkbox-Aufgaben priorisieren.

Kay Ernst, Manager DACH von Zero Networks, Foto: Zero Networks

Speziell für CISOs bedeutet NIS2 auch veränderte Compliance-Erwartungen. Kay Ernst, Manager DACH von Zero Networks erläutert Hintergründe und präsentiert eine 5-Punkte Checkliste:

NIS2 erhöht die grundlegenden Cybersicherheitserwartungen für wesentliche und wichtige Unternehmen: die Verantwortung der Geschäftsleitung und des Vorstands für das Cyber-Risikomanagement, nachweisbare operative Resilienz, nicht nur präventive Kontrollen, und nachweisbare Eindämmung und Reduzierung der Auswirkungen von Vorfällen. Im Gegensatz zu vielen anderen Vorschriften geht NIS2 davon aus, dass Sicherheitsverletzungen auftreten werden. Sie zielt darauf ab, die potenziellen Auswirkungen dieser unvermeidlichen Vorfälle zu mindern, und fordert die Führungskräfte auf, nachzuweisen, dass sie proaktive (und sinnvolle) Maßnahmen zur Verbesserung der Cyber-Resilienz ergriffen haben.

Umsetzung von NIS2 – Wo die meisten Unternehmen Probleme haben

Lücken, die die Resilienz von Unternehmen und die Einhaltung der NIS2-Vorschriften beeinträchtigen, treten in vielen Unternehmen tendenziell in denselben Betriebsbereichen auf:

• Unkontrollierte laterale Bewegung: Viele Unternehmen verfügen nach wie vor nicht über robuste interne Kontrollen und behandeln den Ost-West-Verkehr als implizit vertrauenswürdig. Für Angreifer ist es dadurch ein Leichtes, einen kleinen Einstiegspunkt in eine weitreichende Sicherheitsverletzung zu verwandeln.
• Privilegierte Zugriffspfade: Nur ein Prozent der Ports sind für 90 Prozent der Sicherheitsverletzungen verantwortlich, aber die meisten Unternehmen lassen privilegierte Admin-Ports wie SSH, RDP und RPC permanent offen, wodurch das Netzwerk anfällig bleibt.
• Übermäßiger Zugriff durch Anbieter und Dritte: Breiter VPN-Zugriff, persistente Anmeldedaten und unzureichende identitätsbasierte Zugriffskontrollen ermöglichen es externen Konten, sich frei zu bewegen und den Explosionsradius zu vergrößern.
• Ausufernde Altsysteme: Altsysteme, die moderne Identitätskontrollen nicht unterstützen können, werden häufig aus Zero-Trust-Initiativen ausgeschlossen, bleiben jedoch für den Betrieb von entscheidender Bedeutung und fallen eindeutig in den Geltungsbereich der Vorschriften.
• Erkennung ausgerichtete Strategien zur Reaktion auf Vorfälle: Viele Incident-Response-Strategien basieren nach wie vor auf Erkennung und Wiederherstellung statt auf Eindämmung, obwohl damit im Falle eines Angriffs ganze Umgebungen abgeschaltet werden müssen.

Aufbau einer resilienten Sicherheitsarchitektur

Um die Anforderungen von NIS2 zu erfüllen, müssen die Grundlagen der Sicherheit nicht neu erfunden werden. Stattdessen sollten sich CISOs darauf konzentrieren, ihre Netzwerkarchitektur widerstandsfähig zu gestalten, sodass die Einhaltung von Vorschriften zu einem Nebenprodukt und nicht zu einer wiederkehrenden Aufgabe wird. Durch die Priorisierung von vier Hauptzielen können Sicherheitsverantwortliche ihre Sicherheitslage verbessern, um sich an veränderte gesetzliche Anforderungen anzupassen:

Standardmäßig laterale Bewegungen verhindern

Laterale Bewegungen eskalieren kleinere Vorfälle zu vollständigen Ausfällen. Wenn Angreifer niemals über den Punkt des ersten Zugriffs hinauskommen, führen Sicherheitsvorfälle niemals zu Geschäftsunterbrechungen. In der Praxis bedeutet die Verhinderung lateraler Bewegungen, dass durch umfassende Mikrosegmentierung eine Kommunikation mit minimalen Berechtigungen zwischen allen Netzwerkressourcen durchgesetzt wird – und nicht nur Aktivitäten überwacht und Warnmeldungen verfolgt werden. Ost-West-Datenverkehr sollte nur auf der Grundlage ausdrücklicher geschäftlicher Anforderungen zugelassen werden.

Durchsetzung privilegierter Zugriffsrechte auf Netzwerkebene

Der Missbrauch von Anmeldedaten ist nach wie vor eine der zuverlässigsten Methoden, mit denen Angreifer sich ersten Zugriff verschaffen und die Auswirkungen eskalieren können. Granulare identitätsbasierte Kontrollen stellen sicher, dass Anmeldedaten nur auf ausdrücklich genehmigten Pfaden verwendet werden können, selbst für Dienstkonten oder Altsysteme, die nicht mit den meisten modernen Identitäts- oder MFA-Technologien integriert werden können. Privilegierte Ports und administrative Aktivitäten sollten mit Just-in-Time-MFA gesichert werden, die die Berechtigungen nach der Überprüfung kurzzeitig erhöht, um sicherzustellen, dass ein gestohlenes Passwort oder ein zu freizügiges Dienstkonto Angreifern nicht mehr uneingeschränkten Zugriff auf das Netzwerk gewährt.

Zugriff durch Dritte und Lieferanten einschränken

Externer Zugriff umgeht oft interne Sicherheitsvorkehrungen. Dritte sollten nur auf die notwendigen internen Ressourcen zugreifen können – mehr nicht. Durch die Forderung nach einer Just-in-Time-MFA-Überprüfung für den Fernzugriff können Sicherheitsverantwortliche konsistente, detaillierte Zugriffsrichtlinien für Lieferanten, Auftragnehmer und andere Dritte durchsetzen.

Auf Eindämmung statt Abschaltung ausgelegt

Die Resilienz unter NIS2 wird an der Kontinuität gemessen. Wenn die Isolierung einer Bedrohung die Abschaltung großer Teile der Umgebung erfordert, bleibt das Ziel der Richtlinie, die Betriebskontinuität aufrechtzuerhalten, unerreichbar. Die Eindämmung von Bedrohungen sollte präzise, automatisch und mit minimalen Störungen erfolgen, wobei betroffene Ressourcen gezielt isoliert werden, ohne kritische Dienste zu unterbrechen.

NIS2-Checkliste: Prüfung der Betriebsbereitschaft

CISOs können die Strategie ihres Unternehmens schnell anhand der NIS2-Anforderungen messen, indem sie sich einige wichtige Fragen stellen:

1. Wird laterale Bewegung verhindert?
   Unbefugte Ost-West-Kommunikation sollte standardmäßig blockiert werden, um sicherzustellen, dass Angreifer nicht über die anfängliche Kompromittierung hinauskommen.
2. Wird privilegierter Zugriff im Netzwerk durchgesetzt?
   Anmeldedaten sollten nur auf ausdrücklich genehmigten Pfaden verwendet werden können, und MFA sollte durchgesetzt werden – auch für Dienstkonten und Altsysteme.
3. Ist die Eindämmung in die Umgebung integriert?
   Sicherheitsvorfälle sollten ohne manuelle Isolierung oder Abschaltung eingedämmt werden, um sicherzustellen, dass kritische Dienste dennoch betriebsbereit bleiben.
4. Ist der Zugriff durch Dritte eingeschränkt?
   Der Zugriff von Anbietern und Lieferanten sollte auf Netzwerkebene segmentiert werden, um den Zugriff auf nicht zugehörige Systeme zu blockieren.
5. Sind Kontrollen nachweisbar?
   Unternehmen müssen nachweisen können, wie Segmentierung und Zugriffskontrollen durchgesetzt werden, und Belege für deren Auswirkungen auf den Explosionsradius vorlegen.

NIS2-Compliance durch automatisierte, identitätsbasierte Mikrosegmentierung

Anstatt zusätzliche Überwachungsmaßnahmen einzuführen, ist eine dynamische Eindämmungs- und Durchsetzungsebene innerhalb des Netzwerks nötig. Unternehmen können damit nachweisen, dass sie die Ausbreitung und die betrieblichen Auswirkungen aktiv begrenzen können, was für die NIS2-Compliance von zentraler Bedeutung ist.

Automatisierte, identitätsbasierte Mikrosegmentierung verhindert laterale Bewegungen in großem Maßstab. MFA auf Netzwerkebene erzwingt privilegierten Zugriff für alle Systeme, einschließlich Legacy-Umgebungen. Dieser Ansatz minimiert die Auswirkungen von Sicherheitsverletzungen und blockiert laterale Bewegungen, indem sie Bedrohungen automatisch in Echtzeit eindämmt und gleichzeitig das Risiko in der Lieferkette und durch Dritte durch die Einschränkung externer Zugriffspfade reduziert. Nicht zuletzt bietet dieser Ansatz die erforderliche Sichtbarkeit hinsichtlich Zugriffspfaden, Segmentierungsgrenzen und Eindämmungszonen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2025
NIS-2 offiziell in Kraft: Proliance-Handlungsempfehlungen für Unternehmen

[datensicherheit.de, 31.01.2026] Laut einer aktuellen Meldung von Zero Networks ist der weltweite Markt für Cybersicherheitsversicherungen bis 2026 auf rund 20 Milliarden US-Dollar angewachsen – ein Trend, der sich demnach voraussichtlich fortsetzen wird, da immer stärker ausgefeilte Ransomware-Kampagnen, KI-gestützte Angriffe und der regulatorische Druck zunehmen. Da Cyberkriminalität im Jahr 2026 voraussichtlich wirtschaftliche Schäden in Höhe von Billionen US-Dollar verursachen werde, mache eine wachsende Schutzlücke viele Unternehmen anfällig für neue und sich weiterentwickelnde Bedrohungen. Kay Ernst, „Manager DACH“ bei Zero Networks, erläutert in seiner Stellungnahme Möglichkeiten zur Senkung der Versicherungsprämien.

Foto: Zero Networks

Kay Ernst rät zu einer sich selbst schützenden Netzwerkarchitektur, welche das Vertrauen der Versicherer und die Sicherheit der Sicherheitsteams stärkt und gleichzeitig die Prämien senkt

Ein Fünftel der mittleren und großen Unternehmen noch ohne Cyberversicherung

Obwohl Unternehmen Schutz vor Cybersicherheitsbedrohungen als ihr Hauptanliegen einstuften, habe etwa ein Fünftel der mittleren und großen Unternehmen bisher noch keine Cyberversicherung abgeschlossen.

• „Warum? Der Preis der Versicherung ist das am häufigsten genannte Hindernis, da Marktforschungen darauf hindeuten, dass Unternehmen mit 30-prozentigen Prämienerhöhungen konfrontiert sind“, so Ernst.

Da Cyberversicherungen zu einem zentralen Bestandteil der Risikovorsorgestrategie würden, müssten Sicherheitsverantwortliche in Zeiten verschärfter Prüfung durch die Versicherer einen Weg finden, die Prämien zu minimieren.

Voraussetzungen für eine Cyberversicherung

Um sich für eine Cybersicherheitsversicherung zu qualifizieren, müssten Unternehmen in der Regel eine Reihe von technischen Sicherheitskontrollen und operativen „Best Practices“ nachweisen. Die spezifischen Anforderungen variierten je nach Versicherer, Police und Sicherheitslage des einzelnen Unternehmens, umfassten jedoch in der Regel Strategien wie Multi-Faktor-Authentifizierung (MFA), Netzwerksegmentierung, identitätsbasierte Zugriffskontrollen und Pläne für die Reaktion auf Vorfälle.

• „Während solche Kernanforderungen nach wie vor relevant sind, legen Versicherer angesichts der sich wandelnden Bedrohungslage zunehmend Wert auf Cyberhygiene und proaktiven Schutz.“ So sei beispielsweise zu erwarten, „dass Versicherer im Jahr 2026 strengere KI-Risikomanagementprogramme sowie strengere identitätsbasierte Kontrollen verlangen werden, um die Eskalation von Privilegien angesichts einer Welle von Schadensfällen durch kompromittierte Geschäfts-E-Mails zu minimieren“.

Sich überhaupt für eine Cybersicherheitsversicherung zu qualifizieren, könne sich als schwierig erweisen – die Minimierung der Prämien sei eine noch größere Herausforderung. „Sicherheitsverantwortliche, die mit der Verbesserung des Schutzes bei gleichzeitiger Kostensenkung beauftragt sind, können eine mehrdimensionale Verteidigung aufbauen, die das Vertrauen der Versicherer stärkt, indem sie fünf wichtige ,Best Practices’ priorisieren.“

„Best Practices“ zur Senkung der Prämien bei Cyberversicherungen

1. Unterbindung lateraler Bewegungen mittels Mikrosegmentierung:

• Laterale Bewegungen seien ein wichtiger Bestandteil des Erfolgsrezepts von Cyberangreifern. Wie Aaron Goodwin, CISO bei B. Riley Financial, betont habe, könnten Unternehmen durch die Unterbindung lateraler Bewegungen Bedrohungen eindämmen und gleichzeitig die Kosten für Cyberversicherungen senken:
• „Die Mehrheit der Angriffe, die wir heute beobachten, weisen eine Art laterale Bewegung im Verlauf der Angriffssequenz auf, die es ihnen ermöglicht, einen besseren Zugriff oder eine bessere Kontrolle über die Umgebung zu erlangen, was Milliarden von Dollar an Kosten für die Behebung verursacht und dazu führt, dass unsere Versicherungsprämien im Bereich Cybersicherheit weiter in die Höhe schnellen.“
• Mikrosegmentierung sei der „Goldstandard“ bei der Verhinderung lateraler Bewegungen, da sie Bedrohungen sofort isoliere und neutralisiere. Aus diesem Grund gäben fast 70 Prozent der Unternehmen an, dass ihr Cyberversicherungsanbieter eine Netzwerksegmentierung verlange – aber nicht alle Netzwerksegmentierungsstrategien seien gleich.
• Beispielsweise verwendeten viele Unternehmen VLANs als grundlegende Netzwerksegmentierungsstrategie – aber dieser Ansatz sei weit weniger umfassend als die automatisierte Mikrosegmentierung. Aus diesem Grund bewerteten 75 Prozent der Versicherer mittlerweile die Segmentierungslage bei der Risikoprüfung; Unternehmen mit einer höheren Segmentierungsreife gäben an, dass sie niedrigere Versicherungsprämien erhalten haben.

2. Durchsetzung von Zugriff mit geringsten Rechten überall mit granularen identitätsbasierten Kontrollen:

• Der Missbrauch von Anmeldedaten sei nach wie vor der häufigste Erstzugriffsvektor für Datenverletzungen weltweit. In dieser Zeit zunehmender identitätsbasierter Angriffe verändere sich die Sichtweise von Cyberversicherern auf Risiken.
• Jeff Bird, „Cybersecurity Advisory Lead“ beim Versicherungsmakler und Risikomanagementunternehmen Marsh, habe es so ausgedrückt: „Bei den meisten Angriffen, die wir heute beobachten, geht es nicht um Einbrüche. Es geht darum, sich mit gestohlenen Anmeldedaten einzuloggen, um beispielsweise als legitimer Benutzer zu agieren.“
• Inzwischen hätten viele Unternehmen detektionsorientierte Sicherheitsstrategien eingeführt und setzten auf Lösungen wie EDR und SIEM, wodurch identitätsbasierte Taktiken für Angreifer zu einem praktikablen Weg würden, um „unter dem Radar“ zu bleiben. Beispielsweise zielten Angreifer auf Maschinenidentitäten wie Dienstkonten ab, welche mittlerweile über 70 Prozent der vernetzten Identitäten ausmachten, um sich unbemerkt im Netzwerk zu bewegen.
• Anbieter von Cyberversicherungen benötigten den Nachweis, „dass ein gestohlener Zugangsdatensatz keine Katastrophe bedeutet“. Durch die Anwendung granularer Kontrollen auf der Grundlage der Identität von Benutzern, Geräten oder Anwendungen zur Skalierung von Richtlinien für minimalen Zugriff im gesamten Netzwerk könnten Sicherheitsteams einen hervorragenden Schutz vor Identitätsbedrohungen nachweisen.

3. Sicherung des privilegierten Zugriffs mittels Just-in-Time-MFA:

• „Selbst wenn ein Netzwerk keine Fehlkonfigurationen oder übermäßigen Berechtigungen aufweisen würde, blieben bestimmte Konten, Ports und Ressourcen für Hacker ein Ticket zur Eskalation von Berechtigungen.“
• Durch die Anwendung von Just-in-Time-MFA auf alle Administratorkonten und privilegierten Protokolle wie RDP, SSH und WinRM fügten Unternehmen eine wichtige Schutzebene hinzu, um wichtige Wege abzuschneiden, ohne den Betrieb zu stören.
• „Stellen Sie sich vor, Sie könnten einem Prüfer oder Auditor sagen, dass die Anzahl der Administratoren keine Rolle spielt, da diese ohne Zwei-Faktor-Authentifizierung nichts ausrichten können. Das ist eine bahnbrechende Veränderung“, so Christ Turek, CIO bei Evercore.
• Die Kombination aus Netzwerksegmentierung und Identitätssegmentierung, verstärkt durch Just-in-Time-MFA, schaffe eine mehrdimensionale Verteidigung, welche Cyberversicherern zeige, „dass ein Unternehmen darauf vorbereitet ist, Sicherheitsverletzungen in Echtzeit einzudämmen“.

Cyberversicherungen erwarten Priorisierung der Geschäftsresilienz und Transformation der „Incident Response“

Die Planung der Reaktion auf Vorfälle („Incident Response“ / IR) reduziere die durchschnittlichen Kosten einer Datenverletzung um fast 250.000 US-Dollar. Daher sei es nicht verwunderlich, dass Versicherungsanbieter häufig IR-Pläne als Voraussetzung für den Versicherungsschutz verlangten. Im Kontext der heutigen dynamischen „digitalen Landschaften“ seien Vorlagen für die Reaktion auf Vorfälle jedoch schnell veraltet.

• Letztendlich wollten Cyberversicherer den Nachweis, dass ein Unternehmen darauf vorbereitet sei, unvermeidliche Cybervorfälle mit minimalen Auswirkungen zu bewältigen. Anstatt sich ausschließlich auf starre und von Natur aus reaktive IR-Pläne zu konzentrieren, sollten Unternehmen proaktiven Kontrollen Vorrang einräumen, um die Widerstandsfähigkeit ihres Unternehmens zu verbessern.

Über die Demonstration von Erkennungs- und Reaktionsfähigkeiten hinaus könnten Sicherheitsteams nachweisen, „dass eine automatisierte Eindämmung von Bedrohungen die Anforderungen der Versicherer an die Resilienz besser erfüllt“.

Flexibilität der „Compliance“-Strategie Basis einer Cyberversicherung

Die Cyberversicherung des Erstversicherers decke häufig die sich aus einer Verletzung ergebenden Gebühren, Bußgelder oder Strafen ab. Der erhöhte regulatorische Druck bedeute daher, dass Versicherer zunehmend nach Möglichkeiten suchten, Zahlungen aufgrund von Verstößen zu vermeiden.

• Angesichts einer Vielzahl von regulatorischen Anforderungen und bewährten Verfahren der Branche müssten Unternehmen die zentralen Cybersicherheitsstandards implementieren, „die für alle Rahmenwerke gelten, um sowohl Auditoren als auch Versicherer zufrieden zu stellen“.

Diese wichtigen Kontrollen und Verfahren sollten kontinuierlich an Netzwerkänderungen angepasst werden, um zu signalisieren, dass die „Compliance“-Strategie eines Unternehmens flexibel sei, und gleichzeitig sicherzustellen, dass Cyberbedrohungen nicht durch versteckte Sicherheitslücken schlüpfen könnten.

Senkung der Cyberversicherungsprämien und Stärkung der -sicherheit

Cyberversicherer müssten wissen, „dass die Sicherheitslage eines Unternehmens auf der Grundlage einer Zero-Trust-Architektur für die Geschäftskontinuität ausgelegt ist“.

• Eine entsprechende Plattform kombiniere fortschrittliche Lösungen für Netzwerksegmentierung, Identitätssegmentierung und Zero-Trust-Netzwerkzugang, welche durch MFA auf Netzwerkebene verstärkt würden, um einen mehrdimensionalen Schutz zu bieten, der sich dynamisch an veränderte Netzwerke und sich entwickelnde Risiken anpasse.

Ernst führt abschließend aus: „Dies gelingt mit einer sich selbst schützenden Netzwerkarchitektur, die das Vertrauen der Versicherer und die Sicherheit der Sicherheitsteams stärkt und gleichzeitig die Prämien senkt.“

Weitere Informationen zum Thema:

ZERO NETWORKS
Containment by default. Resilient by design. / Contain attacks and stop lateral movement with automated, identity-based microsegmentation.

MIT-BLOG, Zero Networks
Kay Ernst

Instagram, avemio.tech
Steigende Bedrohung durch Cyberkriminalität weltweit / Die Kosten der Cyberkriminalität könnten bis 2026 auf über 20 Billionen Dollar steigen. Globale Sicherheit ist jetzt wichtiger denn je!

Allianz, 24.09.2025
Versicherte Großunternehmen zunehmend resilient gegenüber Cyberattacken

GDV Gesamtverband der Versicherer, Christian Ponzel, 05.09.2024
Cybersicherheit: Mehr Cyberschäden – Prävention wichtiger denn je / Die IT-Bedrohungslage in Deutschland hat sich zuletzt verschärft. Das spüren auch die Cyberversicherer. Die Schäden sind 2023 deutlich gestiegen und zehren die Prämieneinnahmen fast vollständig auf.

datensicherheit.de, 23.01.2025
Cyber-Versicherungen: Neuer KnowBe4-Bericht zeigt dringenden Bedarf angesichts eskalierender digitaler Bedrohungen auf / Die aktuelle Untersuchung unterstreicht die Notwendigkeit an integrierter Cyber-Sicherheit, Mitarbeiterschulungen und strategischen Versicherungspartnerschaften

datensicherheit.de, 25.09.2024
Unternehmen in der Pflicht: IT-Schutz als Türöffner für Cyber-Versicherungen / Versicherer fordern zunehmend, dass Unternehmen Mindeststandards der Cyber-Sicherheit einhalten

datensicherheit.de, 10.04.2024
Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen / Ab Oktober 2024 könnte der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden

datensicherheit.de, 08.02.2023
Cyber-Versicherungen im Umbruch: Ransomware-Lösegeld-Forderungen bedrohen Unternehmen / Versicherer können Kosten der Ransomware-Schadensregulierung bald nicht mehr tragen

datensicherheit.de, 11.11.2022
Cyber-Versicherungen decken kritische Risiken immer seltener ab / Geschäftsführung und Vorstand drängen indes immer häufiger auf den Abschluss einer Cyber-Versicherung

[datensicherheit.de, 27.01.2026] Alexander Ingelheim, CEO und Mitgründer von Proliance nimmt in seiner Stellungnahme zum Jahresbeginn Stellung zu den zentralen Handlungsfeldern und Herausforderungen im Kontext von Fragen des Datenschutzes und und der Informationssicherheit im Jahr 2026: „Datenschutz, Informationssicherheit und ,Compliance’ stehen für Unternehmen künftig nicht mehr nur als regulatorische Pflichtprogramme auf der Agenda – sie werden zu zentralen Erfolgsfaktoren!“ Dies spiegele sich auch im Management wider: „Laut einer internationalen Gartner-Studie sehen 85 Prozent der CEOs Cybersecurity inzwischen als kritischen Faktor für künftiges Unternehmenswachstum.“ Gleichzeitig verdeutlichten Zahlen des Digitalverbands Bitkom die reale Bedrohungslage: „Der Schaden für die deutsche Wirtschaft durch Spionage, Sabotage und Datendiebstahl lag alleine 2025 bei 289,2 Milliarden Euro – rund acht Prozent mehr als im Vorjahr.“ Vor diesem Hintergrund wird 2026 demnach ein Jahr, in dem Unternehmen ihre Prioritäten neu ordnen müssten.

Foto: Proliance

Alexander Ingelheim: Um z.B. Gefahren von „Schatten-KI“ oder Schadcode zu reduzieren, bleiben „Awareness“-Schulungen über die Vor- und Nachteile der Technologie auch 2026 essenziell

NIS-2-Compliance ist 2026 zentrale IT-Sicherheitsaufgabe

Mit dem Inkrafttreten der NIS-2-Richtlinie zum 6. Dezember 2025 ohne jegliche Übergangsfristen seien die Anforderungen an Informations- und IT-Sicherheit deutlich angestiegen.

• Unternehmen müssten nun ein systematisches Risikomanagement etablieren, Cyberresilienz stärken und robuste Business-Continuity-Strukturen schaffen – nicht nur zum Schutz vor aktuellen Angriffen, sondern als Grundlage für nachhaltige digitale Stabilität.

Trotz des Aufwands sehe der Mittelstand den Nutzen: 51 Prozent der deutschen KMU begrüßten diese Richtlinie. „Und das zurecht, denn NIS-2 schafft keine neuen Probleme, sondern adressiert bereits bestehende Risiken. Wer jetzt handelt, vermeidet Haftungsrisiken, hohe Bußgelder und sichert sich Wettbewerbsvorteile!“

Digital-Omnibus der EU erfordert 2026ff anpassungsfähige Compliance-Strukturen

Die im November 2025 vorgestellte „Digital-Omnibus“-Reform der EU adressiere zentrale Bereiche des Datenschutzes, der Datennutzung und der KI-Regulierung und führe zu einer eng verflochtenen „Compliance“-Landschaft.

• Ein Punkt der neuen „To Do“-Liste: „Die innovationsfreundlichere Gestaltung von KI-Regeln und die Modernisierung von Cookie-Regeln.“

Ingelheim führt aus: „Datenschützer sehen hier die Gefahr des Rückschritts in Sachen digitaler Grundrechte. Für KMU könnte das Reformpaket dagegen eine Entlastung darstellen.“ Vorausgesetzt, diese stellten ihre Datenschutz- und „Compliance“-Maßnahmen so auf, „dass diese sich flexibel an Neuerungen anpassen lassen“.

2026 werden Automatisierung und vernetzte Systeme bedeutender Wettbewerbsfaktor

Angesichts der steigenden Komplexität von Regularien und Cyberbedrohungen gewenne die Vernetzung von Datenschutz-, IT-Sicherheits- und „Compliance“-Prozessen erhebliches an Bedeutung:

• „Sie schafft Transparenz, reduziert operative Risiken und ermöglicht eine agile Anpassung an neue Vorgaben.“ Nur so könnten Unternehmen effizient und skalierbar auf Veränderungen reagieren.

Laut einer aktuellen PwC-Umfrage könne ein „Connected Compliance“-Ansatz mit besserer Vernetzung und Koordination Entscheidungen erleichtern, mehr Transparenz schaffen und insgesamt die betriebliche „Compliance“-Kultur stärken.

Digitale Souveränität: „Must Have“ und ebenfalls entscheidender Wettbewerbsfaktor

„Auch 2026 werden geopolitische Spannungen Unternehmen zunehmend dazu bringen, ihre digitale Infrastruktur ,souverän’ zu gestalten. Strategische Unabhängigkeit von globalen Tech-Giganten und die Nutzung europäischer Alternativen werden hier zu einem zentralen Wettbewerbsfaktor – besonders aus ,Compliance’- und IT-Sicherheitsperspektive.“

• Aber auch Konsumenten könnten dies künftig vermehrt fordern: Laut Bitkom wünschten sich 98 Prozent der Bundesbürger mehr digitale Unabhängigkeit Deutschlands. Gleichzeitig schätzten 93 Prozent der Unternehmen Deutschland aktuell „stark abhängig“, bzw. „eher abhängig“, von digitalen Technologien und Leistungen aus dem Ausland ein.

Somit werde Digitale Souveränität in diesem Jahr klar zur strategischen Geschäftsentscheidung. Ingelheim legt nahe: „Verantwortliche sollten bei jeder Software-Implementierung europäische Alternativen in Betracht ziehen und die wichtigsten Bausteine ihres Tech-Stacks auf diese Alternativen umstellen!“

KI-Regulierung rückt 2026 in den Mittelpunkt unternehmerischer Verantwortung

Künstliche Intelligenz (KI) bleibe 2026 sowohl Wachstums- als auch Risikofaktor. Die KI-Regulierung „EU AI-Act“ – der weltweit erste umfassende Rechtsrahmen für KI – bringe neue Anforderungen an Risikomanagement, Transparenz und Dokumentation mit sich. „Nach der formalen Verabschiedung und Vorstellung im Sommer 2024 tritt dieser nun schrittweise in Kraft.“ Unternehmen sollten ihre bisher genutzten Systeme prüfen und eine zentrale Übersicht über den Einsatz aller KI-Technologien im Unternehmen schaffen, etwa in Form eines „Asset Hub“. Ab August 2026 kämen weitere Pflichten für Hochrisiko-KI hinzu – darunter Konformitätsbewertungen, ein strukturiertes Risikomanagement und die Registrierung entsprechender Systeme.

• Zudem rückten Transparenzanforderungen für Deepfakes und Chatbots sowie spezifische Vorgaben für Basismodelle in den Fokus. Unabhängig davon sollten Firmen ihre KI-Risiken konsequent steuern, auf sichere Konfigurationen setzen und den gesamten Lebenszyklus ihrer KI-Systeme nachvollziehbar dokumentieren. Unternehmen müssten KI-Systeme nicht nur regulierungskonform einsetzen, sondern auch systematisch überwachen und in bestehende Sicherheits- und Datenschutzprozesse integrieren.

Gleichzeitig könnte der „Digitale Omnibus“ vieles einfacher gestalten, KI-Kompetenzpflichten sollten etwa gelockert werden. Ingelheim betont abschließend: „Trotzdem gilt für Betriebe Vorsicht beim Einsatz von KI. Denn auch Cyberkriminelle beschäftigen sich zunehmend mit dieser Technologie. Um Gefahren von ,Schatten-KI’ oder Schadcode zu reduzieren, bleiben ,Awareness’-Schulungen über die Vor- und Nachteile der Technologie auch 2026 essenziell, genauso wie die enge Zusammenarbeit mit externen KI-Experten, um keine Entwicklung zu verpassen.“

Weitere Informationen zum Thema:

proliance
Über uns: Professional Compliance aus München mit Leidenschaft für kleine und mittlere Unternehmen

prpliance
Alexander Ingelheim – Co-Founder & CEO

Gartner, 22.04.2025
Gartner Survey Finds 85% of CEOs Say Cybersecurity is Critical for Business Growth / Survey Findings Illustrate that Cybersecurity Has Morphed into Critical Driver for Business Growth

bitkom
Studie „Wirtschaftsschutz 2025“

Bundesamt für Sicherheit in der Informationstechnik, 05.12.2025
Cybersicherheitsrecht: NIS-2-Umsetzungsgesetz ab morgen in Kraft

proliance
Cyberresilienz-Studie 2025: Wo steht der deutsche Mittelstand? / 32 % der Mittelständler hatten schwere Security-Vorfälle. 51 % begrüßen strengere Regeln. Zeit für einfache Checks, klare Leitlinien und pragmatische Unterstützung.

European Commission, 19.11.2025
Digital Omnibus Regulation Proposal / The Digital Omnibus proposal includes a set of technical amendments to a large corpus of digital legislation, selected to bring immediate relief to businesses, public administrations, and citizens alike, and to stimulate competitiveness.

pwc, 26.02.2025
PwC’s Global Compliance Survey 2025 / Moving faster: Reinventing compliance to speed up, not trip up

bitkom, 13.11.2025
Europas Weg in die digitale Souveränität

European Commission
AI Act: The AI Act is the first-ever legal framework on AI, which addresses the risks of AI and positions Europe to play a leading role globally.

Bundesamt für Verfassungsschutz
Vorstellung der Bitkom-Studie „Wirtschaftsschutz 2025“

proliance, 26.11.2025
Schatten-KI in Unternehmen: Unterschätzte Gefahr für den Datenschutz?

datensicherheit.de, 26.01.2026
Thales-Kommentar zum Data Privacy Day 2026: Datenschutz im KI-Kontext relevanter als je zuvor / Die meisten Datenschutzverletzungen werden heute nicht von Hackern verursacht – sie finden still und leise innerhalb der IT-Systeme statt

datensicherheit.de, 20.01.2026
Data Readiness Scorecard 2026 als Wegweiser für IT-Führungskräfte / Die „Scorecard“ stellt grüne Signale wie KI-taugliche „Datenpipelines“, tiefe Unveränderbarkeit und „cloud“-unabhängige Resilienz klaren roten Warnzeichen wie „Vendor-Lock-in“, nicht verifizierter Wiederherstellung und fehlender Datenherkunft gegenüber

datensicherheit.de, 08.01.2026
Bitdefender-Rat an Unternehmen: 2026 von Reaktion zur Prävention wechseln / Laut Bitdefender könnte bzw. sollte sogar 2026 zum „Schaltjahr in der Cyberdefensive“ werden

[datensicherheit.de, 22.01.2026] Der 17. Januar 2026 hat den ersten Jahrestag des Inkrafttretens des „Digital Operational Resilience Act“ (DORA) der EU markiert. Zusammen mit den britischen Regeln zur Operationalen Resilienz und dem gesetzlichen Rahmenwerk für Kritische Drittanbieter (Critical Third Parties, CTP) bestimmen diese Vorschriften nun, wie Finanzinstitute in Europa in der digitalen Hemisphäre agieren müssen.

DORA soll Basis bieten, dass Banken und Versicherer Cyberangriffen und IT-Ausfällen standhalten

„Die Absicht von DORA ist ein einheitliches Rahmenwerk für das Management von Drittanbieter-Risiken im Finanzsektor“, erläutert Cynthia Overby, „Director of Strategic Security Solutions, ZCOE“ bei Rocket Software.

• Dieses soll demnach sicherstellen, dass Institutionen wie Banken und Versicherer Cyberangriffen und IT-Ausfällen standhalten, darauf reagieren und sich davon erholen können.

Inzwischen sollte die DORA-„Compliance“ bereits weitgehend in die Unternehmensrichtlinien und Resilienzprogramme aller Finanzinstitute innerhalb der EU sowie derjenigen, die regelmäßig Geschäfte in der Region tätigen, integriert sein.

Auswirkungen von DORA entlang einer vollständig zu schützenden Lieferkette

Overby führt aus: „Die Auswirkungen von DORA gehen über die bloße Funktionsweise von Finanzinstituten hinaus. Obwohl der Großteil der Verantwortung bei ihnen liegt, ist das Ziel des Rahmenwerks eine vollständig geschützte Lieferkette!“

• Daher seien nun auch Kritischen Drittanbietern von Informations- und Kommunikationstechnologie (IKT-Dienstleistern) spezifische und direkte Pflichten auferlegt.

Dazu gehörten die Implementierung von Risikomanagement-Rahmenwerken, die Meldung von Vorfällen, die Gewährleistung der Geschäftskontinuität durch strenge Disaster-Recovery-Pläne und die Einhaltung technischer Standards.

DORA: Schadensfall im Kontext ungenügender „Compliance“ wird teuer

„Diese geteilte Rechenschaftspflicht bedeutet, dass jeder Akteur innerhalb der Kette genau wissen muss, welche Regeln für ihn gelten – was mit einer gründlichen Überprüfung der eigenen Verträge beginnt“, so Overby.

• Sie verwendet eine Analogie: „,Compliance’ ist ein bisschen wie zu schnelles Fahren – ein Autofahrer kann das Tempolimit überschreiten und ungeschoren davonkommen, bis er angehalten wird. Und wenn nichts passiert, erfährt es niemand…“

Abschließend warnt sie indes: „Aber wenn es zu einem Vorfall kommt und man sich außerhalb der ,Compliance’ bewegt, kommen Bußgelder, Reputationsschäden und die finanziellen Kosten der Fehlerbehebung ins Spiel!“ 

Weitere Informationen zum Thema:

Rocket software
About us / Rocket Software powers the world’s most innovative companies

Linkedin
Cynthia Overby: Director Strategic Security Solutions, zCOE at Rocket Software

Rocket software
Don’t wait for DORA / View the Rocket Software webinar, Countdown to DORA

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 28.08.2025
DORA – Digital Operational Resilience Act

datensicherheit.de, 29.09.2025
Alarmstufe DORA: Digital Operational Resilience Act als Weckruf für den Finanzsektor / Das im Januar 2025 eingeführte Gesetz auf DORA-Grundlage konzentriert sich auf die Meldung von Vorfällen, die Überwachung von Drittanbietern und die Prüfung der Widerstandsfähigkeit

datensicherheit.de, 31.07.2025
DORA – Europäische Union präzisiert Umgang mit Lieferketten-Risiken / Die Europäische Kommission hat Anfang Juli eine Ergänzung zur Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) in Form finaler technischer Regulierungsstandards (RTS) veröffentlicht. Damit konkretisiert sie Anforderungen an das Risikomanagement oftmals komplexer IKT-Lieferketten im durch DORA regulierten Bereich. Im Fokus stehen dabei Untervergaben. Der TÜV SÜD fasst die wichtigsten Punkte praxisorientiert zusammen.

datensicherheit.de, 21.07.2025
DORA Oversight Guide publiziert: Finanzunternehmen sollten sich dringend mit Verschlüsselung und Schlüsselhoheit befassen / Am 15. Juli 2025 wurde der neue „DORA Oversight Guide“ von den europäischen Aufsichtsbehörden veröffentlicht – Finanzunternehmen, IT-Dienstleister und „Cloud-Provider“ werden mit teils weitreichenden Auswirkungen konfrontiert