Cyber, Resilience

Cyber Resilience Act: 72-Stunden-Meldepflicht ab September 2026

Veröffentlicht: 13.07.2026 um 23:04 Uhr, Redaktion boerse-global.de

Viele Finanzinstitute tun sich schwer, die DORA-Vorgaben praktisch umzusetzen. Neue Regularien wie der Cyber Resilience Act erhöhen den Druck zusätzlich.

DORA-Umsetzung: Deutsche Banken kämpfen mit IT-Sicherheitslücken
Ein stilisiertes, leuchtendes digitales Vorhängeschloss, das sich mit abstrakten Datenlinien und Leiterplattenmustern verflechtet, vor einer Finanzstadtlandschaft. Illustration mit AI erstellt übermittelt durch boerse-global.de

Während neue Regularien wie der Cyber Resilience Act näher rücken, zeigen Marktanalysen: Viele Banken tun sich schwer, die IT-Sicherheitsanforderungen praktisch umzusetzen und bestehende Standards zu integrieren.

Besonders in der deutschen Bankenlandschaft besteht Nachholbedarf. Viele Institute interpretieren die DORA-Vorgaben bislang isoliert. Eine konsequente Verzahnung mit den etablierten Mindestanforderungen an das Risikomanagement (MaRisk) oder internationalen ISO-Standards? Fehlanzeige.

Defizite bei der Prüfungsbereitschaft

Um diese Lücken zu schließen, rücken gezielte Weiterbildungen in den Fokus. Am 11. September 2026 ist ein Fachseminar geplant, das die Operationalisierung des IKT-Risikomanagements behandelt. Referent Florian Kertscher von FinPlanet will einen prüfungssicheren Rahmen definieren – und die fragmentierte Herangehensweise vieler Banken ablösen.

Ein zentrales Problem: die personelle Besetzung der Kontrollinstanzen. Eine BaFin-Orientierungshilfe vom 18. Dezember 2025 zur KI-Nutzung offenbarte strukturelle Mängel im Drei-Linien-Modell (3LoD). Bei weniger bedeutenden Instituten sind die erste und zweite Verteidigungslinie oft personell identisch. Ein erhebliches regulatorisches Risiko. Experten empfehlen eine strikte unabhängige Validierung und einen dreiphasigen Freigabeprozess.

KI und Cloud: Neue Risiken

Die Integration von KI-Systemen verschärft die Anforderungen nach DORA Artikel 28, der das Management von IKT-Drittdienstleisterrisiken regelt. Neue Werkzeuge wie KI-basierte Browser-Erweiterungen bringen Risiken wie Prompt-Injection mit sich. Fachleute raten Instituten: KI-Agenten-Tools innerhalb von 72 Stunden inventarisieren und Netzwerksegmentierungen vornehmen.

Anzeige

Der Einsatz von KI-Systemen in Unternehmen unterliegt strengen neuen Regeln, die über rein technische Sicherheitsaspekte weit hinausgehen. Dieser kostenlose Umsetzungsleitfaden bietet einen kompakten Überblick über alle Anforderungen, Pflichten und Risikoklassen des EU AI Act. EU AI Act in 5 Schritten verstehen

Der Bitkom Cloud Report 2026 zeigt eine kritische Abhängigkeit: 85 Prozent der Unternehmen stufen die Abhängigkeit von US-Cloud-Anbietern als zu hoch ein. 28 Prozent der Cloud-Nutzer verzeichneten in den letzten zwölf Monaten gravierende Ausfälle. Die Datensicherung vor Ort (On-Premises) gewinnt daher als Resilienz-Strategie wieder an Bedeutung. Das KRITIS-Dachgesetz verpflichtet betroffene Unternehmen bereits zu detaillierten Resilienz-Plänen.

NIS2, CRA und AI Act: Regulatorischer Dreiklang

Die Compliance-Landschaft wird durch weitere europäische Rechtsakte komplexer. Die NIS2-Richtlinie ist in Deutschland seit dem 6. Dezember 2025 in Kraft – doch die Registrierungsquote liegt laut aktuellen Erhebungen bei lediglich 39 Prozent. Unternehmen, die die am 6. März 2026 abgelaufene Frist versäumt haben, drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes.

Am 11. September 2026 treten die Meldepflichten des Cyber Resilience Act in Kraft. Unternehmen müssen Schwachstellen dann innerhalb von 24 Stunden als Frühwarnung und innerhalb von 72 Stunden vollständig melden. Parallel greifen ab dem 2. August 2026 erste Transparenzpflichten des EU AI Act. Eine ENISA-Umfrage vom Juni 2026 ergab: Nur 13 Prozent der Unternehmen haben ein tiefgehendes Verständnis der geforderten Dokumentationen.

Anzeige

Viele Unternehmen unterschätzen die neuen rechtlichen Dokumentationspflichten und die damit verbundenen Haftungsrisiken bei der Nutzung moderner Technologien. Ein kostenloser Report klärt auf, welche KI-Systeme konkret als Hochrisiko gelten und was Verantwortliche jetzt für eine rechtssichere Umsetzung tun müssen. Kostenlosen Report zum AI Act herunterladen

Aufsicht erhöht den Druck

Die europäische Bankenaufsicht verschärft unterdessen den Ton. In einem Schreiben vom 7. Juli 2026 warnte EZB-Vertreterin Claudia Buch vor KI-gestützten Cyberangriffen und der technologischen Entwicklung von Quantencomputern. Die Institute sind aufgefordert, bis zum 31. Oktober 2026 einen Aktionsplan vorzulegen, wie sie auf die Risiken der Quantentechnologie reagieren wollen.

Das Risiko des massenhaften Datendiebstahls mit dem Ziel einer späteren Entschlüsselung („Harvest now, decrypt later“) zwingt die Branche zur vorzeitigen Auseinandersetzung mit Post-Quantum-Kryptographie. Die Zeit drängt.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wirtschaft | 69762171 |