Cyber Resilience Act: Meldepflicht für Schwachstellen ab September

Die EU verschiebt ihr Tech-Souveränitätspaket, während Deutschland mit dem KRITIS-Dachgesetz bereits klare Fakten schafft. Unternehmen stehen vor einem fundamentalen Umbau ihrer Sicherheitsstrategien.

Brüssel vertagt Tech-Souveränitätspaket – erneut

Die Europäische Kommission hat die Vorstellung ihres Prestigeprojekts zur digitalen Autonomie zum dritten Mal verschoben. Statt am 27. Mai soll das umfassende Maßnahmenbündel nun am 3. Juni 2026 präsentiert werden. Grund sind anhaltende Spannungen mit internationalen Handelspartnern und interne Bedaten über die industriepolitische Ausrichtung.

Neue EU-Gesetze und technologische Souveränität stellen Unternehmen vor gewaltige Herausforderungen. Dieses kostenlose E-Book liefert einen fundierten Überblick über aktuelle Bedrohungen, neue gesetzliche Anforderungen wie zum Thema KI und zeigt praxisnahe Schutzmaßnahmen für Ihren Betrieb. Gratis-E-Book: Cyber Security Trends 2024 jetzt herunterladen

Das Paket umfasst mehrere Kerninitiativen. Allen voran der Cloud and AI Development Act (CAIDA), der den Bau regionaler Rechenzentren beschleunigen und klare Kriterien für „souveräne" Cloud-Dienste definieren soll. Hinzu kommen eine zweite Auflage des European Chips Act sowie eine Digitalisierungsstrategie für den Energiesektor.

Diplomatische Kreise berichten von erheblichem Widerstand aus Washington. Die US-Regierung fürchtet, dass strenge Souveränitätsanforderungen für sensible Daten – etwa aus dem Gesundheits-, Finanz- und Justizwesen – etablierte Cloud-Anbieter vom europäischen Markt ausschließen könnten. Auch Peking hat Bedenken gegen mögliche Marktschranken angemeldet. Innerhalb der Kommission wird zudem noch über die finale Ausgestaltung gestritten, insbesondere über eine geplante Open-Source-Strategie, die zuletzt von der Agenda verschwunden war.

KRITIS-Dachgesetz: Neue Pflichten für Betreiber kritischer Infrastrukturen

Während Brüssel noch taktiert, ist die Rechtslage in Deutschland bereits deutlich konkreter. Das KRITIS-Dachgesetz, das die europäische CER-Richtlinie umsetzt, ist seit dem 17. März 2026 in Kraft. Es erweitert den Sicherheitsbegriff radikal: Nicht mehr nur die IT-Sicherheit steht im Fokus, sondern die physische und organisatorische Widerstandsfähigkeit kritischer Anlagen.

Betroffen sind rund 1.300 Betreiber aus elf Sektoren – von Energie über Gesundheit bis hin zu Verkehr und Wasser. Sie müssen bis zum 17. Juli 2026 ihre Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) abschließen. Danach bleiben neun Monate für umfassende Risikoanalysen und zehn Monate für detaillierte Resilienzpläne.

Besonders brisant: Die Geschäftsführung haftet persönlich für die Umsetzung. Verstöße können mit Bußgeldern von bis zu 500.000 Euro geahndet werden. Parallel dazu drohen nach der NIS2-Richtlinie – die für bis zu 40.000 deutsche Unternehmen gilt – Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Cyber Resilience Act: Security-by-Design wird Pflicht

Der produzierende Sektor bereitet sich derweil auf die schrittweise Einführung des EU Cyber Resilience Act (CRA) vor. Diese Verordnung schreibt verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen vor, die in der EU verkauft werden.

Ab 2027 wird „Security-by-Design" zum gesetzlichen Standard. Hersteller müssen Sicherheit dann über den gesamten Produktlebenszyklus hinweg integrieren – von der Entwicklung bis zur Wartung. Der erste Meilenstein kommt jedoch früher: Ab dem 11. September 2026 sind Unternehmen verpflichtet, aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle der europäischen Cybersicherheitsbehörde ENISA und den nationalen Behörden zu melden.

Die Konsequenzen sind drastisch: Wer die Anforderungen nicht erfüllt, riskiert den Verlust des CE-Kennzeichens – und damit den Marktzugang in der gesamten EU.

Zehn Jahre DSGVO: Die KI-Lücke in der Compliance

Der 25. Mai 2026 markiert den zehnten Jahrestag der Datenschutz-Grundverordnung. Während die DSGVO weltweit Maßstäbe gesetzt hat, zeigen aktuelle Erhebungen des Digitalverbands Bitkom eine wachsende Kluft zwischen Papierform und Realität.

Zwar haben 71 Prozent der deutschen Unternehmen die DSGVO-Anforderungen weitgehend umgesetzt. Doch der Aufwand bleibt enorm: 97 Prozent der Organisationen bezeichnen die Bürokratie als erheblich. Vor allem aber stoßen traditionelle technisch-organisatorische Maßnahmen (TOM) an ihre Grenzen, wenn es um Künstliche Intelligenz geht.

Über 60 Prozent der Unternehmen fehlt es an technischen Mitteln, um Zweckbindungen für KI-Agenten durchzusetzen oder fehlerhafte autonome Systeme rechtzeitig zu stoppen. Experten warnen: Viele Datenschutzkonzepte aus den Jahren 2018 bis 2022 halten einer Prüfung im Jahr 2026 nicht mehr stand. Die Bedrohung durch „Prompt Injection"-Angriffe und die Komplexität von KI-Modelltrainings erfordern grundlegend neue Ansätze.

Angesichts neuer technologischer Risiken durch KI und verschärfter Kontrollen müssen Unternehmen ihre Dokumentationspflichten heute präziser denn je erfüllen. Mit dieser kostenlosen Excel-Vorlage und Anleitung erstellen Sie Ihr rechtssicheres Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und vermeiden empfindliche Bußgelder. Kostenloses Muster-Verarbeitungsverzeichnis jetzt sichern

Resilienz als Wettbewerbsfaktor

Hinter den einzelnen Regulierungen steckt eine strategische Neuausrichtung der europäischen Politik. Sicherheit wird zunehmend als Frage der Souveränität und Resilienz verstanden – also der Fähigkeit, nicht nur Angriffe abzuwehren, sondern den Betrieb auch während und nach einem Vorfall aufrechtzuerhalten.

Aktuelle Vorfälle unterstreichen die Dringlichkeit: Erst vergangenes Wochenende führte ein Angriff auf einen Krankenhausdienstleister in Süddeutschland zum Verlust tausender Patienten- und Finanzdaten. Anfang Mai traf eine Großattacke eine Autohaus-Gruppe.

Als Reaktion entstehen neue Kooperationsmodelle. T-Systems und BSI Software haben etwa eine europäische SaaS-Plattform für regulierte Branchen wie Banken und Versicherungen angekündigt. Ziel: Alle Daten und KI-Funktionen innerhalb der europäischen Rechtshoheit zu halten – eine Brücke zwischen Innovation und den strengen Anforderungen des US Cloud Act und des EU AI Act.

Ausblick: Die zweite Jahreshälfte 2026 wird zur Bewährungsprobe

Die kommenden Monate stehen ganz im Zeichen der Vorbereitung auf die ersten Melde- und Registrierungsfristen. Nach der erwarteten Vorstellung des Tech-Souveränitätspakets am 3. Juni rückt die Juli-Frist für KRITIS-Betreiber in den Fokus.

Bis zum 11. September müssen die Elektronik- und Softwareindustrie ihre Meldewege für den Cyber Resilience Act etabliert haben. Parallel ist mit einer Welle von „Sovereign Cloud"-Pilotprojekten zu rechnen. Für die Vorstände deutscher Unternehmen wird der Rest des Jahres 2026 vor allem eines bedeuten: die Integration all dieser regulatorischen Stränge in eine kohärente Unternehmensstrategie, die digitale Resilienz als zentrales Geschäftsrisiko behandelt.

de | wirtschaft | 69423274 |