März 2026 Sicherheitsvorschriften-Update: NIS2-Durchsetzung beginnt, DORA-Fristen nähern sich, DSGVO-Rekordstrafen
⚖️ NIS2-Richtlinie: Durchsetzungsphase beginnt
Compliance-Frist abgelaufen — Durchsetzung aktiv
Die NIS2-Umsetzungsfrist endete im Oktober 2024. EU-Mitgliedstaaten setzen nun aktiv Cybersicherheitsanforderungen durch, wobei die ersten Verwaltungsstrafen im Q1 2026 verhängt wurden. Nicht konforme Organisationen drohen Bußgelder von bis zu 10 Millionen € oder 2% des globalen Jahresumsatzes, je nachdem, welcher Betrag höher ist.
NIS2-Umfang & Anforderungen
Die Netz- und Informationssicherheitsrichtlinie 2 (NIS2) erweitert erheblich die Cybersicherheitsverpflichtungen in der gesamten Europäischen Union:
- Erweiterte Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Dienstleistungsmanagement, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallwirtschaft, Fertigung, Lebensmittelproduktion, Chemikalien
- Lieferkette: Organisationen müssen Cybersicherheitsrisiken in ihren Lieferketten bewerten und verwalten
- Vorfallmeldung: 24-Stunden-Frühwarnung, 72-Stunden-Vorfallbenachrichtigung, Abschlussbericht innerhalb eines Monats
- Governance: Haftung der Unternehmensleitung für Cybersicherheitsfehler
Neueste Durchsetzungsmaßnahmen
Deutschland verhängte im Februar 2026 seine erste NIS2-Strafe gegen einen mittelgroßen Cloud-Diensteanbieter wegen Versäumnisses bei der Implementierung von Risikomanagement-Maßnahmen und Incident-Response-Verfahren. Bußgeld: 850.000 €.
Frankreich eröffnete Untersuchungen gegen 14 Einrichtungen aus den Bereichen Gesundheit und digitale Infrastruktur wegen unzureichender Cybersicherheits-Governance und fehlender Vorfallmeldemechanismen.
Niederlande veröffentlichten Compliance-Leitlinien, die alle wesentlichen und wichtigen Einrichtungen verpflichten, bis Juni 2026 eine Selbstbewertung abzuschließen.
Erforderliche Maßnahmen: Organisationen im Anwendungsbereich müssen unverzüglich NIS2-Cybersicherheitsmaßnahmen implementieren, einschließlich Risikomanagement, Incident Response, Business Continuity, Lieferkettensicherheit, Kryptographie, Zugangskontrolle und Schwachstellenmanagement.
🏦 DORA: 9 Monate bis zur Compliance-Frist
Der Digital Operational Resilience Act (DORA) tritt am 17. Januar 2025 in Kraft. Finanzunternehmen haben weniger als 9 Monate, um vollständige Compliance zu erreichen.
DORA-Anforderungen Übersicht
| Säule | Hauptanforderungen |
|---|---|
| IKT-Risikomanagement | Umfassendes Framework zur Abdeckung von Identifikation, Schutz, Erkennung, Reaktion, Wiederherstellung und Lernfähigkeiten |
| Vorfallmeldung | Schwerwiegende IKT-Vorfälle werden den Aufsichtsbehörden innerhalb strenger Fristen gemeldet |
| Betriebliche Resilienz-Tests | Regelmäßige Tests einschließlich bedrohungsgeführter Penetrationstests (TLPT) für bedeutende Einrichtungen |
| Drittanbieterrisiko | Management von IKT-Drittanbietern mit vertraglichen Vereinbarungen zur Gewährleistung der Aufsicht |
| Informationsaustausch | Teilnahme an Vereinbarungen zum Austausch von Cyber-Bedrohungsinformationen |
Wer muss konform sein?
- Kreditinstitute (Banken)
- Zahlungsinstitute und E-Geld-Institute
- Wertpapierfirmen und Krypto-Asset-Dienstleister
- Versicherungs- und Rückversicherungsunternehmen
- Pensionsfonds
- Handelsplätze und zentrale Gegenparteien
- Transaktionsregister, Zentralverwahrer
- Ratingagenturen
Kritische IKT-Drittanbieter
DORA führt einen neuen Aufsichtsrahmen für kritische IKT-Drittdienstleister ein. Cloud-Anbieter, Rechenzentrumsbetreiber und Managed-Security-Service-Provider, die Finanzunternehmen bedienen, unterliegen direkter EU-Aufsicht und müssen sich bei den Europäischen Aufsichtsbehörden (ESAs) registrieren.
Zeitdruck: Viele Finanzinstitute berichten von erheblichen Lücken in der DORA-Bereitschaft, insbesondere im Bereich Drittanbieterrisikomanagement und betriebliche Resilienz-Tests. Aufsichtsbehörden bereiten sich auf Day-One-Durchsetzung vor.
🛡️ DSGVO-Durchsetzung: Rekord-2,1 Mrd. € Bußgelder in 2025
Die DSGVO-Durchsetzung erreichte 2025 ein beispielloses Niveau, wobei EU-Datenschutzbehörden 2,1 Milliarden € Verwaltungsbußgelder verhängten — ein Anstieg von 40% gegenüber 2024.
2025 Durchsetzungstrends
- Grenzüberschreitende Fälle: 65% der größeren Bußgelder resultierten aus Kooperation zwischen mehreren Datenschutzbehörden
- KI und automatisierte Entscheidungsfindung: Erheblicher Fokus auf Artikel-22-Compliance
- Datenschutzverletzungsmeldungen: Erhöhte Strafen für verspätete oder unvollständige Meldungen
- Transparenz: Bußgelder für unklare Datenschutzrichtlinien und versteckte Datenverarbeitung
- Kinderdaten: Verstärkte Prüfung von Plattformen und Diensten, die sich an Minderjährige richten
Bemerkenswerte Durchsetzungsmaßnahmen 2025
650 Mio. € — Große Social-Media-Plattform (Irische DPC)
Verstöße: Rechtswidrige Verarbeitung personenbezogener Daten für Verhaltens-Werbung, unzureichende Rechtsgrundlage, Transparenzversagen
425 Mio. € — Globales Werbetechnologie-Unternehmen (Französische CNIL)
Verstöße: Echtzeit-Gebotsdatenaustausch ohne gültige Einwilligung, unzureichende Datenminimierung
380 Mio. € — Gesundheits-KI-Plattform (Deutschland)
Verstöße: Verarbeitung von Gesundheitsdaten ohne angemessene Schutzmaßnahmen, automatisierte Entscheidungsfindung ohne menschliche Aufsicht
Schwerpunktbereiche für 2026
- KI und große Sprachmodelle: Datenquellen, Trainingsdatenrechte, automatisierte Entscheidungsfindung
- Cookie-Einwilligung: Dark Patterns, vorausgewählte Kästchen, Cookie-Walls
- Mitarbeiterüberwachung: Arbeitsplatzüberwachung, Produktivitäts-Tracking, biometrische Daten
- Internationale Datentransfers: Post-Schrems-II-Compliance, Angemessenheitsbeschlüsse
🤖 EU AI Act: Anwendungsphase beginnt
Der EU Artificial Intelligence Act trat im August 2024 in Kraft. Wesentliche Bestimmungen gelten schrittweise von 2026 bis 2027.
2026-Anwendungszeitplan
| Datum | Geltende Bestimmungen |
|---|---|
| Februar 2026 | Verbotene KI-Praktiken (Artikel 5) |
| Mai 2026 | Anforderungen an Allzweck-KI-Modelle (Kapitel V) |
| August 2026 | Anforderungen an Hochrisiko-KI-Systeme (Kapitel III) |
| August 2027 | Vollständige Anwendung aller AI Act-Anforderungen |
Verbotene KI-Praktiken (Jetzt in Kraft)
Ab Februar 2026 sind die folgenden KI-Systeme in der EU verboten:
- Unterschwellige Manipulation mit Schadensfolge
- Ausnutzung von Schwachstellen (Alter, Behinderung)
- Social Scoring durch öffentliche Stellen
- Echtzeit-Remote-Biometrische Identifizierung in öffentlichen Räumen (mit begrenzten Ausnahmen für Strafverfolgung)
- Emotionserkennung am Arbeitsplatz und in der Bildung (mit Ausnahmen)
Hochrisiko-KI-Systeme Registrierung
Registrierung öffnet Q2 2026
Das EU AI Office wird die Registrierung für Hochrisiko-KI-Systeme im Q2 2026 eröffnen. Anbieter müssen Systeme vor der Markteinführung registrieren. Hochrisiko-Kategorien umfassen: biometrische Identifizierung, kritische Infrastruktur, Bildung/berufliche Bildung, Beschäftigung, wesentliche Dienstleistungen, Strafverfolgung, Migration/Grenzkontrolle und Justiz/demokratische Prozesse.
Allzweck-KI-Modelle (Mai 2026)
Anbieter von Allzweck-KI-Modellen (GPT-4, Claude, Gemini, Llama usw.) müssen Transparenzanforderungen erfüllen und für systemische Risikomodelle (>10^25 FLOPs Training) zusätzliche Verpflichtungen, einschließlich:
- Modellbewertungen und Adversarial Testing
- Nachverfolgung und Meldung schwerwiegender Vorfälle
- Cybersicherheitsschutz für Modellgewichte
- Berichterstattung über Energieverbrauch
📋 Compliance-Checkliste: Q2 2026
- NIS2 (Sofort):
- Status im Anwendungsbereich bestätigen (wesentliche oder wichtige Einrichtung)
- Alle 10 Mindestsicherheitsmaßnahmen implementieren
- 24/72-Stunden-Vorfallmeldeverfahren etablieren
- Lieferkettensicherheitsbewertungen dokumentieren
- Rechenschaftsmechanismen der Unternehmensleitung sicherstellen
- DORA (9 Monate verbleibend):
- IKT-Risikomanagement-Framework-Implementierung abschließen
- Alle IKT-Drittanbieter inventarisieren und Kritikalität bewerten
- Verträge mit IKT-Dienstleistern für DORA-Compliance aktualisieren
- Bedrohungsgeführte Penetrationstests (TLPT) für 2026 planen
- Vorfallklassifizierungs- und Meldeprozesse etablieren
- DSGVO (Laufend):
- KI/automatisierte Entscheidungsfindung auf Artikel-22-Compliance prüfen
- Cookie-Einwilligungsmechanismen auf Dark Patterns überprüfen
- Verzeichnis der Verarbeitungstätigkeiten (VVT) aktualisieren
- Datenschutzverletzungs-Meldeverfahren testen (<72 Stunden)
- Internationale Datentransfermechanismen überprüfen
- EU AI Act:
- Alle KI-Systeme inventarisieren und Risikoebenen klassifizieren
- Verbotene KI-Praktiken unverzüglich einstellen
- Technische Dokumentation für Hochrisiko-KI-Systeme vorbereiten
- Für GPAI-Anbieter: Transparenzanforderungen implementieren
- EU AI Office Leitlinien und Registrierungszeitpläne überwachen
⚠️ Regulatorische Risikobewertung
Hohes Durchsetzungsrisiko: Organisationen, die in mehreren regulierten Sektoren tätig sind (z.B. Finanzdienstleistungen + Gesundheitswesen), sehen sich überschneidenden Compliance-Verpflichtungen aus NIS2, DORA, DSGVO und sektorspezifischen Vorschriften gegenüber. Lücken in einem Framework schaffen kumulatives regulatorisches Risiko.
Lieferkettenexposition: Sowohl NIS2 als auch DORA verpflichten explizit zu Lieferkettensicherheit und Drittanbieterrisikomanagement. Organisationen, die sich auf nicht konforme Anbieter verlassen, erben regulatorisches Risiko.
Grenzüberschreitende Komplexität: Verschiedene EU-Mitgliedstaaten setzen NIS2 in unterschiedlichem Tempo um und durch, was Compliance-Komplexität für Organisationen schafft, die in mehreren Rechtsordnungen tätig sind.
Compliance mit KENSAI navigieren
Automatisierte Compliance-Zuordnung für NIS2, DORA, DSGVO und EU AI Act. Echtzeit-Regulierungs-Updates und Gap-Analyse.
Compliance-Demo buchenBleiben Sie konform. Bleiben Sie informiert.
🗡️ KENSAI Compliance Team
6. März 2026