Trends, News, Ratgeber, und unsere Expertise

CRA Betroffenheitscheck: Fällt Ihr Produkt unter den Cyber Resilience Act?

Fällt Ihr Produkt unter den Cyber Resilience Act? Dieser strukturierte Betroffenheitscheck in 3 Schritten klärt ob Sie betroffen sind, welche Ausnahmen gelten und welche Produktklasse für Ihren Compliance-Aufwand entscheidend ist.

Boris Friedrich

28. März 2026

8 min Lesezeit

Was ist der Cyber Resilience Act? Der vollständige Überblick für Unternehmen

Der Cyber Resilience Act verpflichtet Hersteller vernetzter Produkte ab September 2026 zur Schwachstellenmeldung und ab Dezember 2027 zur CE-Kennzeichnung. Dieser Artikel erklärt Ziele, Geltungsbereich, Kernpflichten und Zeitplan.

Boris Friedrich

28. März 2026

9 min Lesezeit

AI‑Modell‑Governance im Alltag: Wie MaRisk, EBA, EGIM und BCBS 239 den AI‑Act für Hochrisiko‑AI vorstrukturieren

Banken verfügen mit MaRisk, EBA‑Guidelines, EGIM und BCBS 239 bereits über ein robustes Fundament für Modell‑ und Daten‑Governance. Der EU-AI-Act baut auf diesen Strukturen auf und ergänzt sie gezielt um AI‑spezifische Anforderungen für Hochrisiko‑AI‑Systeme, insbesondere im Kreditscoring natürlicher Personen. Anstatt eine parallele „AI‑Governance‑Welt“ aufzubauen, können Institute Hochrisiko‑AI in ihr bestehendes Modell‑Framework integrieren und dieses risikobasiert erweitern.Konkret heißt das: Modellinventar, Rollen, Validierung und Gremienstrukturen aus MaRisk/EBA/EGIM lassen sich nutzen, um AI‑Act‑Kontrollen wie lebenszyklusbezogenes Risikomanagement, Human‑Oversight‑Konzepte sowie technische Dokumentation und Logging zu verankern. BCBS‑239‑orientierte Datenarchitekturen bilden die Basis für AI‑Trainings‑, Validierungs‑ und Testdaten; neu hinzu kommen Fairness‑ und Bias‑Analysen sowie Grundrechts‑ und Diskriminierungsbewertungen.Der AI-Act ist damit weder ein kompletter Neustart noch ein reines „Paperwork‑Upgrade“. Er verlangt zusätzliche inhaltliche Fähigkeiten – etwa bei Datenethik, Fairness‑Messung und technischer Dokumentation – lässt sich aber effizient im bestehenden Governance‑Rahmen verorten. Ein pragmatisches Zielbild lautet daher: ein gemeinsames Framework für alle Modelle, risikobasiert erweitert für Hochrisiko‑AI.

Angelo Tarda

19. März 2026

5 min Lesezeit

EU AI Act Enforcement: Wie Brüssel KI-Anbieter prüfen und bestrafen will — und was das für Ihr Unternehmen bedeutet

Die EU-Kommission hat am 12. März 2026 den Entwurf einer Durchführungsverordnung veröffentlicht, die erstmals konkret beschreibt, wie GPAI-Modellanbieter geprüft und bestraft werden. Was das für Unternehmen bedeutet, die ChatGPT, Gemini oder andere KI-Modelle einsetzen.

Boris Friedrich

17. März 2026

7 min Lesezeit

NIS2 und DORA sind jetzt scharf: Was SOC-Teams sofort ändern müssen

NIS2 und DORA gelten ohne Gnadenfrist. 3 SOC-Bereiche die sich sofort ändern müssen: Architektur, Workflows, Metriken. 5-Punkte-Checkliste für SOC-Teams.

Boris Friedrich

17. März 2026

10 min Lesezeit

Shadow AI kontrollieren statt verbieten: Wie ein AI Governance Framework wirklich schützt

Boris Friedrich

17. März 2026

EU AI-Act im Finanzsektor: AI im bestehenden IKS verankern – statt einer Parallelwelt aufzubauen

Der EU-AI-Act ist für Banken weniger ein radikaler Bruch als eine AI‑spezifische Erweiterung des bestehenden internen Kontrollsystems (IKS). Statt neue Parallelstrukturen aufzubauen, geht es darum, Hochrisiko‑AI‑Anwendungen sauber in Governance, Risikomanagement, Kontrollen und Dokumentation zu integrieren.

Angelo Tarda

17. März 2026

5 min Lesezeit

CRA Draft Guidance: Was die EU-Konsultation bis 31. März für Hersteller bedeutet

Die EU-Kommission hat am 3. März 2026 die CRA Draft Guidance veröffentlicht — mit Konsultationsfrist bis 31. März. Was steht drin, wer sollte kommentieren, und was ändert sich für Hersteller?

Boris Friedrich

17. März 2026

8 min Lesezeit

Nach der BaFin-Meldefrist: Was DORA-pflichtige Unternehmen jetzt tun müssen

Die DORA-IKT-Register-Meldefrist am 30. März 2026 ist vorbei. Was passiert jetzt bei Lücken? Welche BaFin-Konsequenzen drohen und wie schließen Sie Ihr Register nach? Ein praxisnaher Guide.

Boris Friedrich

17. März 2026

8 min Lesezeit

NIS2 Durchsetzung 2026: Was jetzt passiert – und was Unternehmen sofort tun müssen

Das BSI wechselt von der Registrierungsphase zur aktiven Durchsetzung. 18.500 Firmen haben die Frist verpasst und riskieren Bußgelder bis 10 Mio. €. Dieser Artikel erklärt, was jetzt passiert und welche Sofortmaßnahmen zwingend nötig sind.

Boris Friedrich

17. März 2026

9 min Lesezeit

CRA vs. NIS2 vs. DORA: Welche Regulierung gilt für wen?

CRA, NIS2 und DORA — drei EU-Regulierungen, die 2026 gleichzeitig greifen. Dieser Artikel erklärt, welche Regulierung für wen gilt, wo sich die Anforderungen überschneiden und wie Unternehmen eine integrierte Compliance-Strategie aufbauen.

Boris Friedrich

16. März 2026

10 min Lesezeit

Der KI-gestützte vCISO: Wie Unternehmen Governance-Lücken strukturiert schließen

NIS-2 verpflichtet Unternehmen zu nachweisbarer Informationssicherheit.Der KI-gestützte vCISO bietet einen strukturierten Weg: Ein 10-Module-Framework deckt alle relevanten Governance-Bereiche ab – von Asset-Management bis Awareness.

Nora Haberkorn

13. März 2026

6 min Lesezeit