Cyber Resilience Act startet heute: Neue Regeln für digitale Produkte
11.06.2026 - 14:35:48 | boerse-global.de
Die europäischen Aufsichtsbehörden (ESAs) haben die ersten umfassenden Zahlen zur Bedrohungslage unter dem Digital Operational Resilience Act (DORA) vorgelegt. Für das Jahr 2025 registrierten sie insgesamt 3.383 schwerwiegende IKT-Vorfälle.
31 Prozent dieser Ereignisse hatten grenzüberschreitende Auswirkungen. Besonders brisant: 8 Prozent der Fälle betrafen mehr als zehn Länder gleichzeitig.
Die steigende Zahl komplexer Cyberangriffe und neue Gesetze wie DORA fordern von Unternehmen heute eine proaktive Sicherheitsstrategie. Erfahren Sie in diesem kostenlosen E-Book, wie Sie aktuelle Bedrohungen abwenden und neue rechtliche Pflichten effizient erfüllen. Gratis-Ratgeber: Cyber Security im Unternehmen stärken
DDoS und Datendiebstahl dominieren
Überraschend: Nur 10 Prozent der Meldungen entfielen auf klassische Cybersecurity-Vorfälle. Innerhalb dieser Kategorie führten DDoS-Attacken mit 33 Prozent, dicht gefolgt von Datendiebstahl mit 31 Prozent.
Die Regulatoren sehen darin einen Beleg für die Wirksamkeit bestehender Sicherheitskontrollen. Gleichzeitig mahnten sie angesichts zunehmender KI-gestützter Angriffe: Die Verteidigungslinien müssen weiter gestärkt werden.
DORA vs. NIS2: Wer hat Vorrang?
Seit dem 17. Januar 2025 gilt DORA für mehr als 22.000 Finanzinstitute in der EU. Die Verordnung fungiert als lex specialis und genießt Vorrang vor der NIS2-Richtlinie. Für betroffene Unternehmen bedeutet das: Sie sind von NIS2-Pflichten befreit, soweit DORA die Bereiche abdeckt.
Die Aufsicht in Deutschland liegt bei der BaFin – nicht beim BSI. Ein entscheidender Unterschied: DORA verlangt eine Erstmeldung schwerer IKT-Vorfälle innerhalb von vier Stunden, NIS2 gewährt 24 Stunden.
Die BaFin stellte in ihrem Jahresbericht klar: Der Fokus liegt auf Cyber-Resilienz, datenbasierter Aufsicht und der Integration von DORA in nationale Standards wie die MaRisk-Novelle. KI-Systeme werden als reguläre IKT-Assets eingestuft – keine Sonderrolle.
Neben DORA stellt auch die EU-KI-Verordnung Unternehmen vor neue regulatorische Herausforderungen bei der Risikodokumentation und Qualitätssicherung. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über alle Fristen und Pflichten des EU AI Acts. E-Book zur KI-Verordnung kostenlos herunterladen
Silodenken als größte Hürde
Die praktische Umsetzung der fünf DORA-Säulen bereitet vielen Instituten Kopfzerbrechen. Eine Studie von IDC und KPMG zeigt: 37 Prozent der Befragten sehen siloartige Sicherheitsstrukturen als Hindernis für eine effiziente Integration von IT-Betrieb und Security.
Eine neue Partnerschaft soll Abhilfe schaffen. Palo Alto Networks und die Deutsche Telekom kündigten am 10. Juni 2026 den Dienst „Sovereign Cortex with T Security“ an. Die KI-gestützte Sicherheitsplattform erfüllt spezifische Souveränitätsanforderungen für den europäischen Markt. Datenverarbeitung und Schlüsselverwaltung bleiben vollständig in europäischer Jurisdiktion. Der erste produktive Einsatz ist für das dritte Quartal 2026 geplant.
Cyber Resilience Act tritt heute in Kraft
Flankierend zur Finanzmarktregulierung startet heute der EU Cyber Resilience Act (CRA). Die Verordnung zwingt Hersteller digitaler Produkte, Sicherheitsstandards bereits vor dem Markteintritt nachzuweisen. Laut ENISA haben 78 Prozent der Organisationen bereits Software-Stücklisten (SBOM) eingeführt.
Für Finanzunternehmen bleibt das Risiko hoch: Bei Verstößen droht neben der persönlichen Haftung der Leitungsorgane eine Sanktion von bis zu 10 Prozent des jährlichen Gesamtumsatzes. Bereits im November 2025 begannen die ESAs damit, kritische IKT-Drittanbieter namentlich zu benennen – sie unterliegen der direkten Überwachung.
