剣 KENSAI
← All posts · security

März 2026 Sicherheitsvorschriften-Update: NIS2-Durchsetzung beginnt, DORA-Fristen nähern sich, DSGVO-Rekordstrafen


⚖️ NIS2-Richtlinie: Durchsetzungsphase beginnt

Compliance-Frist abgelaufen — Durchsetzung aktiv

Die NIS2-Umsetzungsfrist endete im Oktober 2024. EU-Mitgliedstaaten setzen nun aktiv Cybersicherheitsanforderungen durch, wobei die ersten Verwaltungsstrafen im Q1 2026 verhängt wurden. Nicht konforme Organisationen drohen Bußgelder von bis zu 10 Millionen € oder 2% des globalen Jahresumsatzes, je nachdem, welcher Betrag höher ist.

NIS2-Umfang & Anforderungen

Die Netz- und Informationssicherheitsrichtlinie 2 (NIS2) erweitert erheblich die Cybersicherheitsverpflichtungen in der gesamten Europäischen Union:

  • Erweiterte Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Dienstleistungsmanagement, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallwirtschaft, Fertigung, Lebensmittelproduktion, Chemikalien
  • Lieferkette: Organisationen müssen Cybersicherheitsrisiken in ihren Lieferketten bewerten und verwalten
  • Vorfallmeldung: 24-Stunden-Frühwarnung, 72-Stunden-Vorfallbenachrichtigung, Abschlussbericht innerhalb eines Monats
  • Governance: Haftung der Unternehmensleitung für Cybersicherheitsfehler

Neueste Durchsetzungsmaßnahmen

Deutschland verhängte im Februar 2026 seine erste NIS2-Strafe gegen einen mittelgroßen Cloud-Diensteanbieter wegen Versäumnisses bei der Implementierung von Risikomanagement-Maßnahmen und Incident-Response-Verfahren. Bußgeld: 850.000 €.

Frankreich eröffnete Untersuchungen gegen 14 Einrichtungen aus den Bereichen Gesundheit und digitale Infrastruktur wegen unzureichender Cybersicherheits-Governance und fehlender Vorfallmeldemechanismen.

Niederlande veröffentlichten Compliance-Leitlinien, die alle wesentlichen und wichtigen Einrichtungen verpflichten, bis Juni 2026 eine Selbstbewertung abzuschließen.

Erforderliche Maßnahmen: Organisationen im Anwendungsbereich müssen unverzüglich NIS2-Cybersicherheitsmaßnahmen implementieren, einschließlich Risikomanagement, Incident Response, Business Continuity, Lieferkettensicherheit, Kryptographie, Zugangskontrolle und Schwachstellenmanagement.


🏦 DORA: 9 Monate bis zur Compliance-Frist

Der Digital Operational Resilience Act (DORA) tritt am 17. Januar 2025 in Kraft. Finanzunternehmen haben weniger als 9 Monate, um vollständige Compliance zu erreichen.

DORA-Anforderungen Übersicht

Säule Hauptanforderungen
IKT-Risikomanagement Umfassendes Framework zur Abdeckung von Identifikation, Schutz, Erkennung, Reaktion, Wiederherstellung und Lernfähigkeiten
Vorfallmeldung Schwerwiegende IKT-Vorfälle werden den Aufsichtsbehörden innerhalb strenger Fristen gemeldet
Betriebliche Resilienz-Tests Regelmäßige Tests einschließlich bedrohungsgeführter Penetrationstests (TLPT) für bedeutende Einrichtungen
Drittanbieterrisiko Management von IKT-Drittanbietern mit vertraglichen Vereinbarungen zur Gewährleistung der Aufsicht
Informationsaustausch Teilnahme an Vereinbarungen zum Austausch von Cyber-Bedrohungsinformationen

Wer muss konform sein?

  • Kreditinstitute (Banken)
  • Zahlungsinstitute und E-Geld-Institute
  • Wertpapierfirmen und Krypto-Asset-Dienstleister
  • Versicherungs- und Rückversicherungsunternehmen
  • Pensionsfonds
  • Handelsplätze und zentrale Gegenparteien
  • Transaktionsregister, Zentralverwahrer
  • Ratingagenturen

Kritische IKT-Drittanbieter

DORA führt einen neuen Aufsichtsrahmen für kritische IKT-Drittdienstleister ein. Cloud-Anbieter, Rechenzentrumsbetreiber und Managed-Security-Service-Provider, die Finanzunternehmen bedienen, unterliegen direkter EU-Aufsicht und müssen sich bei den Europäischen Aufsichtsbehörden (ESAs) registrieren.

Zeitdruck: Viele Finanzinstitute berichten von erheblichen Lücken in der DORA-Bereitschaft, insbesondere im Bereich Drittanbieterrisikomanagement und betriebliche Resilienz-Tests. Aufsichtsbehörden bereiten sich auf Day-One-Durchsetzung vor.


🛡️ DSGVO-Durchsetzung: Rekord-2,1 Mrd. € Bußgelder in 2025

Die DSGVO-Durchsetzung erreichte 2025 ein beispielloses Niveau, wobei EU-Datenschutzbehörden 2,1 Milliarden € Verwaltungsbußgelder verhängten — ein Anstieg von 40% gegenüber 2024.

2025 Durchsetzungstrends

  • Grenzüberschreitende Fälle: 65% der größeren Bußgelder resultierten aus Kooperation zwischen mehreren Datenschutzbehörden
  • KI und automatisierte Entscheidungsfindung: Erheblicher Fokus auf Artikel-22-Compliance
  • Datenschutzverletzungsmeldungen: Erhöhte Strafen für verspätete oder unvollständige Meldungen
  • Transparenz: Bußgelder für unklare Datenschutzrichtlinien und versteckte Datenverarbeitung
  • Kinderdaten: Verstärkte Prüfung von Plattformen und Diensten, die sich an Minderjährige richten

Bemerkenswerte Durchsetzungsmaßnahmen 2025

650 Mio. € — Große Social-Media-Plattform (Irische DPC)
Verstöße: Rechtswidrige Verarbeitung personenbezogener Daten für Verhaltens-Werbung, unzureichende Rechtsgrundlage, Transparenzversagen

425 Mio. € — Globales Werbetechnologie-Unternehmen (Französische CNIL)
Verstöße: Echtzeit-Gebotsdatenaustausch ohne gültige Einwilligung, unzureichende Datenminimierung

380 Mio. € — Gesundheits-KI-Plattform (Deutschland)
Verstöße: Verarbeitung von Gesundheitsdaten ohne angemessene Schutzmaßnahmen, automatisierte Entscheidungsfindung ohne menschliche Aufsicht

Schwerpunktbereiche für 2026

  • KI und große Sprachmodelle: Datenquellen, Trainingsdatenrechte, automatisierte Entscheidungsfindung
  • Cookie-Einwilligung: Dark Patterns, vorausgewählte Kästchen, Cookie-Walls
  • Mitarbeiterüberwachung: Arbeitsplatzüberwachung, Produktivitäts-Tracking, biometrische Daten
  • Internationale Datentransfers: Post-Schrems-II-Compliance, Angemessenheitsbeschlüsse

🤖 EU AI Act: Anwendungsphase beginnt

Der EU Artificial Intelligence Act trat im August 2024 in Kraft. Wesentliche Bestimmungen gelten schrittweise von 2026 bis 2027.

2026-Anwendungszeitplan

Datum Geltende Bestimmungen
Februar 2026 Verbotene KI-Praktiken (Artikel 5)
Mai 2026 Anforderungen an Allzweck-KI-Modelle (Kapitel V)
August 2026 Anforderungen an Hochrisiko-KI-Systeme (Kapitel III)
August 2027 Vollständige Anwendung aller AI Act-Anforderungen

Verbotene KI-Praktiken (Jetzt in Kraft)

Ab Februar 2026 sind die folgenden KI-Systeme in der EU verboten:

  • Unterschwellige Manipulation mit Schadensfolge
  • Ausnutzung von Schwachstellen (Alter, Behinderung)
  • Social Scoring durch öffentliche Stellen
  • Echtzeit-Remote-Biometrische Identifizierung in öffentlichen Räumen (mit begrenzten Ausnahmen für Strafverfolgung)
  • Emotionserkennung am Arbeitsplatz und in der Bildung (mit Ausnahmen)

Hochrisiko-KI-Systeme Registrierung

Registrierung öffnet Q2 2026

Das EU AI Office wird die Registrierung für Hochrisiko-KI-Systeme im Q2 2026 eröffnen. Anbieter müssen Systeme vor der Markteinführung registrieren. Hochrisiko-Kategorien umfassen: biometrische Identifizierung, kritische Infrastruktur, Bildung/berufliche Bildung, Beschäftigung, wesentliche Dienstleistungen, Strafverfolgung, Migration/Grenzkontrolle und Justiz/demokratische Prozesse.

Allzweck-KI-Modelle (Mai 2026)

Anbieter von Allzweck-KI-Modellen (GPT-4, Claude, Gemini, Llama usw.) müssen Transparenzanforderungen erfüllen und für systemische Risikomodelle (>10^25 FLOPs Training) zusätzliche Verpflichtungen, einschließlich:

  • Modellbewertungen und Adversarial Testing
  • Nachverfolgung und Meldung schwerwiegender Vorfälle
  • Cybersicherheitsschutz für Modellgewichte
  • Berichterstattung über Energieverbrauch

📋 Compliance-Checkliste: Q2 2026

  1. NIS2 (Sofort):
    • Status im Anwendungsbereich bestätigen (wesentliche oder wichtige Einrichtung)
    • Alle 10 Mindestsicherheitsmaßnahmen implementieren
    • 24/72-Stunden-Vorfallmeldeverfahren etablieren
    • Lieferkettensicherheitsbewertungen dokumentieren
    • Rechenschaftsmechanismen der Unternehmensleitung sicherstellen
  2. DORA (9 Monate verbleibend):
    • IKT-Risikomanagement-Framework-Implementierung abschließen
    • Alle IKT-Drittanbieter inventarisieren und Kritikalität bewerten
    • Verträge mit IKT-Dienstleistern für DORA-Compliance aktualisieren
    • Bedrohungsgeführte Penetrationstests (TLPT) für 2026 planen
    • Vorfallklassifizierungs- und Meldeprozesse etablieren
  3. DSGVO (Laufend):
    • KI/automatisierte Entscheidungsfindung auf Artikel-22-Compliance prüfen
    • Cookie-Einwilligungsmechanismen auf Dark Patterns überprüfen
    • Verzeichnis der Verarbeitungstätigkeiten (VVT) aktualisieren
    • Datenschutzverletzungs-Meldeverfahren testen (<72 Stunden)
    • Internationale Datentransfermechanismen überprüfen
  4. EU AI Act:
    • Alle KI-Systeme inventarisieren und Risikoebenen klassifizieren
    • Verbotene KI-Praktiken unverzüglich einstellen
    • Technische Dokumentation für Hochrisiko-KI-Systeme vorbereiten
    • Für GPAI-Anbieter: Transparenzanforderungen implementieren
    • EU AI Office Leitlinien und Registrierungszeitpläne überwachen

⚠️ Regulatorische Risikobewertung

Hohes Durchsetzungsrisiko: Organisationen, die in mehreren regulierten Sektoren tätig sind (z.B. Finanzdienstleistungen + Gesundheitswesen), sehen sich überschneidenden Compliance-Verpflichtungen aus NIS2, DORA, DSGVO und sektorspezifischen Vorschriften gegenüber. Lücken in einem Framework schaffen kumulatives regulatorisches Risiko.

Lieferkettenexposition: Sowohl NIS2 als auch DORA verpflichten explizit zu Lieferkettensicherheit und Drittanbieterrisikomanagement. Organisationen, die sich auf nicht konforme Anbieter verlassen, erben regulatorisches Risiko.

Grenzüberschreitende Komplexität: Verschiedene EU-Mitgliedstaaten setzen NIS2 in unterschiedlichem Tempo um und durch, was Compliance-Komplexität für Organisationen schafft, die in mehreren Rechtsordnungen tätig sind.

Compliance mit KENSAI navigieren

Automatisierte Compliance-Zuordnung für NIS2, DORA, DSGVO und EU AI Act. Echtzeit-Regulierungs-Updates und Gap-Analyse.

Compliance-Demo buchen

Bleiben Sie konform. Bleiben Sie informiert.

🗡️ KENSAI Compliance Team

6. März 2026

All posts · Permalink