← Back to Blog
Briefing zu Sicherheitsregeln 5 min read 2026-04-10

Briefing zu Sicherheitsregeln, 10. April 2026: NIS2, DORA, DSGVO und der EU AI Act wechseln von Politik zu Umsetzung

Die Stimmung in Europas Cyber-Regelwerk ist nicht mehr abwarten und sehen. Die Signale dieser Woche sind operativ: NIS2-Umsetzung wird konkreter, DORA-Aufsicht wird prozedural, DSGVO-Behörden liefern nutzbarere Compliance-Hilfen, und der EU AI Act bekommt genau den Leitfaden-Stapel, auf den Unternehmen gewartet haben.


Kurzfassung: Europas Sicherheitsregeln laufen auf dieselbe Botschaft hinaus: Kontrollen belegen, Abhängigkeiten dokumentieren und sich auf regulatorische Prüfungen über mehrere Gesetze hinweg vorbereiten, statt jedes Regelwerk wie eine eigene Papierstrecke zu behandeln.


1. NIS2 ist weiter eine Umsetzungsstory, keine Schlagzeilen-Story

Das wichtigste NIS2-Signal am 10. April ist keine spektakuläre Durchsetzungsmaßnahme. Entscheidend ist, dass die Umsetzungsmaschine weiter anzieht. ENISAs technische NIS2-Implementierungshilfe bleibt eine der klarsten operativen Referenzen für digitale Infrastrukturen, ICT-Service-Management und digitale Anbieter. Gleichzeitig erinnert die gemeinsame Stellungnahme von EDPB und EDPS aus März 2026 zu NIS2-bezogenen Änderungen und Cybersecurity Act 2 daran, dass Cyber-Resilienz und Datenschutz inzwischen gemeinsam verhandelt werden.

Das ist wichtig, weil viele Teams NIS2 immer noch wie eine reine Scope-Frage behandeln. Das reicht nicht mehr. Der aktuelle Druckpunkt ist, ob Organisationen Nachweise für Risikomanagement, Vorfallsmeldung, Lieferkettenkontrollen, Schwachstellenbehandlung und Governance-Verantwortung zeigen können.

Warum das wichtig ist


2. DORA wird prozedural, und damit gehen die Ausreden aus

Die EBA und die anderen ESAs stecken jetzt tief in der operativen DORA-Mechanik. Der Aufsichtsrahmen für kritische ICT-Drittdienstleister ist nicht mehr theoretisch, sondern wird über jährliche Benennungen, Joint Examination Teams und formale Aufsichtsabläufe umgesetzt. Auf der Reporting-Seite macht das EBA-Framework 4.2 die praktische Botschaft brutal klar: DORA-Meldungen gehören in die neue operative Pipeline, und manche Einreichungen müssen bereits im CSV-Format erfolgen, unabhängig von alten Reporting-Gewohnheiten.

Für Banken, Versicherer, Wertpapierhäuser und ihre Zulieferer wird DORA hier vom Policy-Memo zum Programm-Management-Problem. Wenn das Register der Informationen unvollständig ist oder das Drittparteien-Inventar unscharf bleibt, ist die Schwäche nicht mehr abstrakt.

Warum das wichtig ist


3. DSGVO-Behörden wollen Compliance nutzbarer machen und stärker mit anderen Digitalgesetzen verzahnen

Der am 9. April veröffentlichte Jahresbericht des EDPB ist lesenswert, weil er das Offensichtliche ausspricht: Europas digitale Regulierung wird komplexer, und die Behörden wissen, dass Unternehmen überlappende Pflichten nur schwer abbilden können. Der Board betont mehr Rechtssicherheit, mehr praktische Unterstützung und mehr Zusammenarbeit über Regulierungsgrenzen hinweg. Dazu gehören die Arbeit an der Schnittstelle zwischen DSGVO und neueren Gesetzen sowie ein One-Stop-Shop-Falldigest vom März 2026 zu berechtigten Interessen, der abstrakte Debatten zu Artikel 6 Absatz 1 Buchstabe f in reale Durchsetzungsbeispiele übersetzt.

Für Sicherheitsteams ist das relevant. Die DSGVO ist nicht mehr nur eine Last des Privacy-Teams in einem separaten Ordner. Sie wird Teil der Erklärung für Logging, Monitoring, Betrugserkennung, Identitätssysteme, KI-Nutzung und Datenteilungsentscheidungen über mehrere EU-Gesetze hinweg.

Warum das wichtig ist


4. Der EU AI Act erreicht die Leitfaden-Phase, die Unternehmen tatsächlich brauchen

Das AI Office der Kommission hat die Richtung für 2026 ziemlich klar beschrieben. Vorbereitet werden Leitlinien zu Hochrisiko-Klassifizierung, Transparenzpflichten, Meldung schwerwiegender Vorfälle, Verantwortlichkeiten entlang der KI-Wertschöpfungskette, wesentlichen Änderungen, Post-Market-Monitoring, vereinfachtem Qualitätsmanagement für KMU und zum Zusammenspiel von AI Act und EU-Datenschutzrecht. Zusätzlich sagt die zentrale AI-Act-Seite, dass weitere Transparenz-Werkzeuge im zweiten Quartal 2026 erwartet werden.

Das ist gerade die eigentliche Story. Der AI Act ist nicht mehr nur ein künftiger Termin. Die Unterstützungsarchitektur darum herum trifft ein. Damit bleibt Unternehmen weniger Raum, sich auf Unklarheit zu berufen, sobald die Pflichten 2026 und 2027 scharf werden.

Warum das wichtig ist


Was Sicherheits- und Compliance-Teams jetzt tun sollten

  1. Evidenz vereinheitlichen: NIS2-, DORA-, DSGVO- und AI-Act-Kontrollen nicht in getrennten Silos halten, wenn dieselben Systeme betroffen sind.
  2. Lieferanten-Sichtbarkeit aufräumen: Ihre ICT-Abhängigkeitskarte braucht benannte Services, Owner, Verträge und Kritikalität.
  3. Rechtsgrundlagen neu prüfen: Monitoring, Betrugsprävention, Identitätsanalysen und KI-Verarbeitungsflüsse verdienen eine frische DSGVO-Prüfung.
  4. KI-Governance jetzt vorbereiten: Modelle inventarisieren, Anwendungsfälle klassifizieren, Human Oversight abbilden und Eskalation definieren.
  5. Führungskräfte in Geschäftssprache briefen: Der gemeinsame Nenner ist Resilienz, Verantwortlichkeit und nachweisbare Kontrolle.

Quellen für dieses Briefing: ENISA-NIS2-Seiten und technische Umsetzungshilfe, EBA-Materialien zu DORA-Aufsicht und Reporting Framework 4.2, EDPB-Jahresbericht und Publikationsfeed sowie die Umsetzungsseiten der Europäischen Kommission zum AI Act, geprüft am 10. April 2026.

Regulatorischen Druck in einen Vorteil bei der Angriffsfläche verwandeln

KENSAI hilft Teams dabei, exponierte Assets, schwache Kontrollen und Drittparteien-Risikopfade zu erkennen, bevor Regulierer oder Angreifer sie zuerst finden.

Kostenlosen Scan starten →

Bleibt wachsam.

🗡️ KENSAI Security Team