IT-Regulierungen: Welche IT-Gesetze sollten Sie 2026 im Blick haben?

DORA: Digitale Resilienz im Finanzsektor  

Was regelt DORA konkret?

Der Digital Operational Resilience Act reagiert auf die zunehmende Abhängigkeit des Finanzsystems von der IT. Während NIS2 Cybersicherheit branchenübergreifend reguliert, fokussiert sich DORA auf die operative Resilienz im Finanzsektor.  

Ein zentraler Meilenstein ist dabei das Ende der Übergangsfrist der DORA-Verordnung im Finanzsektor im Jahr 2026. Spätestens dann müssen Unternehmen die regulatorischen Anforderungen vollständig umgesetzt haben.

Wen betrifft die Regulierung?

DORA gilt für Banken, Versicherer, Zahlungsdienstleister und viele weitere Finanzakteure, inklusive ihrer IT-Dienstleister.

Worauf zielt die Regulierung ab?

DORA soll sicherstellen, dass der Finanzsektor auch bei schweren IT-Störungen oder Cyberangriffen funktionsfähig bleibt. Finanzsysteme gelten als systemkritisch, ihr Ausfall hätte unmittelbare Auswirkungen auf Wirtschaft und Gesellschaft.

Was dadurch erreicht werden soll:

• IKT-Risikomanagement: IT-Risiken erhalten denselben Stellenwert wie finanzielle Risiken. Finanzunternehmen müssen Strategien implementieren, die den gesamten Lebenszyklus von IKT-Systemen abdecken, von der Identifikation über den Schutz bis zur Wiederherstellung.
• Drittanbieter-Aufsicht: Ein Novum in der EU-Regulierung ist, dass große Cloud-Provider (wie AWS, Azure, Google) nun direkt von den Finanzaufsichtsbehörden (ESAs) überwacht werden können, wenn sie als kritisch für den Sektor eingestuft werden. Abhängigkeiten von Cloud-Anbietern werden so transparent und steuerbar gemacht.
• Resilienz-Tests: Notfallpläne müssen regelmäßig durch realitätsnahe Szenarien überprüft werden. Für bedeutende Akteure schreibt DORA fortgeschrittene, bedrohungsorientierte Penetrationstests (Threat Led Penetration Testing) vor, die über einfache Scans hinausgehen und reale Angriffsszenarien simulieren.
• Recovery-Fährigkeit / KPI-Verschiebung: Erfolg wird nicht mehr nur an Systemverfügbarkeit gemessen, sondern an der Fähigkeit, den Geschäftsbetrieb trotz schwerer Sicherheitsvorfälle innerhalb definierter Zeiträume wiederherzustellen. Resilienz wird damit zu einem messbaren Governance-Thema auf Vorstandsebene.

DORA verschiebt den Fokus von "IT läuft" hin zu „Die Organisation bleibt auch im Krisenfall handlungsfähig“. 

Cyber Resilience Act (CRA): Sicherheit wird Produkteigenschaft  

Was regelt der Cyber Resilience Act konkret?

Der Cyber Resilience Act (CRA) schließt eine regulatorische Lücke und macht Cybersecurity zu einer Voraussetzung für den Marktzugang digitaler Produkte. Betroffen sind Hersteller von:

• IoT-Geräten
• Softwarelösungen
• vernetzten Industrieprodukten

Wen betrifft die Regulierung?

Der CRA betrifft Hersteller und Anbieter digitaler Produkte mit Software-Komponenten, von IoT-Geräten bis zu Business-Software. Ein besonders wichtiger Punkt für Hersteller sind die Meldepflichten des Cyber Resilience Acts ab September 2026. Unternehmen müssen

• aktiv ausgenutzte Schwachstellen
• innerhalb von 24 Stunden

an die europäische Cybersicherheitsagentur ENISA zu melden.

Worauf zielt die Regulierung ab?

Der CRA will verhindern, dass unsichere Produkte überhaupt auf den europäischen Markt gelangen. Cybersecurity wird damit nicht mehr nur eine Betreiberpflicht, sondern eine Herstellerverantwortung über den gesamten Produktlebenszyklus.

Was dadurch erreicht werden soll:

• Security by Design: Sicherheitsanforderungen werden bereits in der Entwicklung verankert. Funktionen wie Verschlüsselung müssen standardmäßig aktiviert sein, und unnötige Angriffsflächen (z. B. offene Ports) müssen minimiert werden.
• Schwachstellenmanagement: Schwachstellen müssen über den gesamten Lebenszyklus aktiv gemanagt und gemeldet werden. Hersteller sind verpflichtet, Sicherheitslücken über einen Zeitraum von bis zu fünf Jahren (oder der voraussichtlichen Produktlebensdauer) aktiv zu patchen.
• Transparenz: Kunden erhalten durch Software-Stücklisten, die sog. Software Bill of Materials (SBOM), Klarheit über enthaltene Komponenten. Die SBOM ist essenziell, um bei Bekanntwerden neuer Schwachstellen sofort feststellen zu können, welche Produkte im Unternehmen betroffen sind.
• Update-Pflicht: Sicherheitsupdates werden zum verpflichtenden Teil des Produktversprechens.
• Meldepflicht: Innerhalb von 24 Stunden nach Kenntnisnahme müssen Hersteller aktiv ausgenutzte Sicherheitslücken an die ENISA melden, um eine frühzeitige Warnung des gesamten Marktes zu ermöglichen.

Der CRA reduziert so systemische Risiken durch weit verbreitete Schwachstellen und stärkt das Vertrauen in digitale Produkte nachhaltig. Zusätzlich wird die Verantwortung von den Betreibern hin zu den Herstellern digitaler Produkte verschoben.

EU AI Act: Regulierung von Hochrisiko-KI

Was regelt der EU AI Act konkret?

Der EU AI Act ist die weltweit erste umfassende KI-Verordnung. Sein risikobasierter Ansatz fördert Innovation, ohne sie durch übermäßige Bürokratie zu behindern.

Wen betrifft die Regulierung?

Der AI Act führt ein risikobasiertes Modell ein und stellt besonders hohe Anforderungen an sogenannte Hochrisiko-KI-Systeme.

Worauf zielt die Regulierung ab?

Ziel ist es, Innovation mit dem Schutz von Grundrechten, Sicherheit und Transparenz zu verbinden. KI soll wirtschaftlich nutzbar bleiben, aber nicht auf Kosten von Fairness, Nachvollziehbarkeit oder gesellschaftlichem Vertrauen.

Was dadurch erreicht werden soll:

KI-Systeme werden nach Risiko eingestuft statt pauschal reguliert. Die Risiko-Pyramide ordnet Systeme entsprechend ein in:

• Unannehmbares Risiko: Diese KI-Systeme sind in der EU verboten, etwa Social Scoring oder manipulative Techniken.
• Hohes Risiko: KI-Systeme mit hohem Schadenspotenzial, wie KI-gestützte Bewerbungsverfahren oder autonome Fahrzeuge, unterliegen strengen Auflagen.
• Begrenztes Risiko: KI-Systeme mit begrenztem Risiko, die etwa für manipulative Zwecke oder Täuschung missbraucht werden könnten. Dazu gehören Chatbots, KI-generierte Inhalte und einfache Empfehlungssysteme. Für User muss klar ersichtlich sein, dass sie mit einer KI interagieren.
• Minimales Risiko: Niedrigste Risikoklasse, aufgrund ihres geringen Schadenpotenzials nicht speziell reguliert. Darunter fallen z.B. Spam-Filter, automatische Textvorschläge oder KI-gestützte Schreibassistenten.

Außerdem gehören noch folgende Punkte zum EU AI Act:

• Dokumentationspflichten: Sensible Bereiche wie Recruiting oder Kreditvergabe unterliegen strengen Prüf- und Dokumentationspflichten.
• Menschliche Aufsicht: Kritische Entscheidungen, die von einer KI getroffen werden, müssen einer menschlichen Überprüfung unterzogen werden.
• Bias-Kontrollen: Diskriminierungsrisiken sollen systematisch reduziert werden. Für Hochrisiko-Systeme müssen Trainings-, Validierungs- und Testdatensätze deshalb auf Bias (Voreingenommenheit) geprüft werden, um Diskriminierung zu verhindern.
• Regeln für General Purpose AI (GPAI): Spezielle Regeln gelten für mächtige Basismodelle, die für viele Zwecke eingesetzt werden können und systemische Risiken bergen.

Vertrauenswürdige KI wird durch den EU AI Act zu einem klar definierten Qualitäts- und Compliance-Merkmal für Unternehmen. 

Bestehende Regulierungen bleiben relevant

Neben diesen aktuellen EU-Vorgaben behalten auch bereits länger bestehende Vorgaben ihre zentrale Bedeutung und bilden oft die Grundlage für neue Anforderungen:

• DSGVO – bleibt maßgeblich für alle Fragen rund um personenbezogene Daten, insbesondere bei KI-Systemen und Sicherheitsvorfällen
• IT-Sicherheitsgesetz / BSIG & BSI-Grundschutz – Referenzrahmen für viele technische und organisatorische Maßnahmen
• ISO/IEC 27001 – international anerkannter Standard für Informationssicherheits-Managementsysteme (ISMS)
• MaRisk / BAIT / VAIT (Finanzsektor) – ergänzen DORA auf nationaler Aufsichtsebene
• Branchenspezifische Sicherheitsstandards (B3S) für KRITIS-Betreiber

Diese Regelwerke sorgen dafür, dass neue Regulierung nicht im luftleeren Raum entsteht, sondern auf bestehenden Sicherheits- und Governance-Strukturen aufbaut. 

Fazit: Regulierung als Navigationssystem, nicht als Bremse

Nach Jahren der Vorbereitung erreichen viele zentrale EU-Regelwerke im Jahr 2026 ihre volle Wirkung. Mit der nationalen Umsetzung von NIS2, dem Inkrafttreten weiterer Vorgaben aus DORA, dem Cyber Resilience Act und dem EU AI Act endet die Phase der Übergangsfristen. Für Unternehmen bedeutet das: IT-Compliance wird vom Projekt zur dauerhaften Managementaufgabe.

Die neuen Anforderungen greifen dabei zunehmend ineinander und bilden ein zusammenhängendes System digitaler Resilienz: 

• Management-Verantwortung: Cybersecurity wird zur expliziten Pflichtaufgabe der Unternehmensführung.
• Produktsicherheit: Digitale Produkte müssen über ihren gesamten Lebenszyklus hinweg nachweisbare Sicherheitsanforderungen erfüllen.
• Vertrauenswürdige KI: Klare Risikoklassen und Transparenzpflichten schaffen verbindliche Rahmenbedingungen für den Einsatz von Künstlicher Intelligenz.

Damit definieren die europäischen Regelwerke einen gemeinsamen Rahmen dafür, wie sichere IT-Infrastrukturen, resiliente Organisationen und vertrauenswürdige digitale Technologien künftig gestaltet werden sollen.

Unternehmen, die Regulierung ausschließlich als Pflichtprogramm betrachten, werden sie vor allem als Belastung wahrnehmen. Wer sie dagegen als strategischen Orientierungsrahmen nutzt, kann daraus einen echten Mehrwert ziehen – in Form von höherer Stabilität, klareren Prozessen und größerem Vertrauen bei Kunden und Partnern. 

Weiterführende Links zum Thema IT-Regulierung 

• IT-Regulierung – Überblick und Entwicklungen
• KRITIS: Bedeutung und Schutz
• Buy European – IT made in Europe
• Alle aktuellen Forenbeiträge der it-sa 365