Cyber, Resilience

Cyber Resilience Act: 72-Stunden-Meldepflicht ab September 2026

Veröffentlicht: 13.07.2026 um 23:04 Uhr, Redaktion boerse-global.de

Viele Finanzinstitute tun sich schwer, die DORA-Vorgaben praktisch umzusetzen. Neue Regularien wie der Cyber Resilience Act erhöhen den Druck zusÀtzlich.

DORA-Umsetzung: Deutsche Banken kĂ€mpfen mit IT-SicherheitslĂŒcken
Ein stilisiertes, leuchtendes digitales VorhĂ€ngeschloss, das sich mit abstrakten Datenlinien und Leiterplattenmustern verflechtet, vor einer Finanzstadtlandschaft. Illustration mit AI erstellt ĂŒbermittelt durch boerse-global.de

WĂ€hrend neue Regularien wie der Cyber Resilience Act nĂ€her rĂŒcken, zeigen Marktanalysen: Viele Banken tun sich schwer, die IT-Sicherheitsanforderungen praktisch umzusetzen und bestehende Standards zu integrieren.

Besonders in der deutschen Bankenlandschaft besteht Nachholbedarf. Viele Institute interpretieren die DORA-Vorgaben bislang isoliert. Eine konsequente Verzahnung mit den etablierten Mindestanforderungen an das Risikomanagement (MaRisk) oder internationalen ISO-Standards? Fehlanzeige.

Defizite bei der PrĂŒfungsbereitschaft

Um diese LĂŒcken zu schließen, rĂŒcken gezielte Weiterbildungen in den Fokus. Am 11. September 2026 ist ein Fachseminar geplant, das die Operationalisierung des IKT-Risikomanagements behandelt. Referent Florian Kertscher von FinPlanet will einen prĂŒfungssicheren Rahmen definieren – und die fragmentierte Herangehensweise vieler Banken ablösen.

Ein zentrales Problem: die personelle Besetzung der Kontrollinstanzen. Eine BaFin-Orientierungshilfe vom 18. Dezember 2025 zur KI-Nutzung offenbarte strukturelle MÀngel im Drei-Linien-Modell (3LoD). Bei weniger bedeutenden Instituten sind die erste und zweite Verteidigungslinie oft personell identisch. Ein erhebliches regulatorisches Risiko. Experten empfehlen eine strikte unabhÀngige Validierung und einen dreiphasigen Freigabeprozess.

KI und Cloud: Neue Risiken

Die Integration von KI-Systemen verschÀrft die Anforderungen nach DORA Artikel 28, der das Management von IKT-Drittdienstleisterrisiken regelt. Neue Werkzeuge wie KI-basierte Browser-Erweiterungen bringen Risiken wie Prompt-Injection mit sich. Fachleute raten Instituten: KI-Agenten-Tools innerhalb von 72 Stunden inventarisieren und Netzwerksegmentierungen vornehmen.

Anzeige

Der Einsatz von KI-Systemen in Unternehmen unterliegt strengen neuen Regeln, die ĂŒber rein technische Sicherheitsaspekte weit hinausgehen. Dieser kostenlose Umsetzungsleitfaden bietet einen kompakten Überblick ĂŒber alle Anforderungen, Pflichten und Risikoklassen des EU AI Act. EU AI Act in 5 Schritten verstehen

Der Bitkom Cloud Report 2026 zeigt eine kritische AbhÀngigkeit: 85 Prozent der Unternehmen stufen die AbhÀngigkeit von US-Cloud-Anbietern als zu hoch ein. 28 Prozent der Cloud-Nutzer verzeichneten in den letzten zwölf Monaten gravierende AusfÀlle. Die Datensicherung vor Ort (On-Premises) gewinnt daher als Resilienz-Strategie wieder an Bedeutung. Das KRITIS-Dachgesetz verpflichtet betroffene Unternehmen bereits zu detaillierten Resilienz-PlÀnen.

NIS2, CRA und AI Act: Regulatorischer Dreiklang

Die Compliance-Landschaft wird durch weitere europĂ€ische Rechtsakte komplexer. Die NIS2-Richtlinie ist in Deutschland seit dem 6. Dezember 2025 in Kraft – doch die Registrierungsquote liegt laut aktuellen Erhebungen bei lediglich 39 Prozent. Unternehmen, die die am 6. MĂ€rz 2026 abgelaufene Frist versĂ€umt haben, drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes.

Am 11. September 2026 treten die Meldepflichten des Cyber Resilience Act in Kraft. Unternehmen mĂŒssen Schwachstellen dann innerhalb von 24 Stunden als FrĂŒhwarnung und innerhalb von 72 Stunden vollstĂ€ndig melden. Parallel greifen ab dem 2. August 2026 erste Transparenzpflichten des EU AI Act. Eine ENISA-Umfrage vom Juni 2026 ergab: Nur 13 Prozent der Unternehmen haben ein tiefgehendes VerstĂ€ndnis der geforderten Dokumentationen.

Anzeige

Viele Unternehmen unterschĂ€tzen die neuen rechtlichen Dokumentationspflichten und die damit verbundenen Haftungsrisiken bei der Nutzung moderner Technologien. Ein kostenloser Report klĂ€rt auf, welche KI-Systeme konkret als Hochrisiko gelten und was Verantwortliche jetzt fĂŒr eine rechtssichere Umsetzung tun mĂŒssen. Kostenlosen Report zum AI Act herunterladen

Aufsicht erhöht den Druck

Die europĂ€ische Bankenaufsicht verschĂ€rft unterdessen den Ton. In einem Schreiben vom 7. Juli 2026 warnte EZB-Vertreterin Claudia Buch vor KI-gestĂŒtzten Cyberangriffen und der technologischen Entwicklung von Quantencomputern. Die Institute sind aufgefordert, bis zum 31. Oktober 2026 einen Aktionsplan vorzulegen, wie sie auf die Risiken der Quantentechnologie reagieren wollen.

Das Risiko des massenhaften Datendiebstahls mit dem Ziel einer spĂ€teren EntschlĂŒsselung („Harvest now, decrypt later“) zwingt die Branche zur vorzeitigen Auseinandersetzung mit Post-Quantum-Kryptographie. Die Zeit drĂ€ngt.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Änderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.

de | wirtschaft | 69762171 |