Europäische Cyberregulierung ist Mitte März 2026 erkennbar in eine neue Phase eingetreten: Weniger politische Grundsatzdebatte, mehr operative Verdichtung. Das sieht man an den neuen DORA-Compliance-Tabellen, an der CRA-Anwendungsleitlinie und an der gerichtlichen wie aufsichtsrechtlichen Nachschärfung im Amazon-Verfahren. Die eigentliche Botschaft lautet: Aufsicht und Markt verlangen keine bloßen Programme mehr, sondern belastbare Evidenz, konsistente Datenmodelle und nachprüfbare Governance.
Quelle:
· ESMA: Compliance table on the Joint Guidelines on oversight cooperation under DORA, https://www.esma.europa.eu/document/compliance-table-joint-guidelines-oversight-cooperation-under-dora
· ESMA: Compliance table on the Joint Guidelines on costs and losses under DORA, https://www.esma.europa.eu/document/compliance-table-joint-guidelines-costs-and-losses-under-dora
Gleichzeitig verschiebt sich das Risikobild kritischer Infrastrukturen deutlich in Richtung hybrider und zusammengesetzter Krisen. Die Warnung der ISAC-Community vor Spillover-Effekten der Nahost-Eskalation und die Debatte über klima- und digitalisierungsbedingte OT-Verwundbarkeit zeigen, dass Resilienz heute nicht mehr sektoral oder rein technisch gedacht werden kann. Für Betreiber zählt nicht nur die Verhinderung des Angriffs, sondern die Fähigkeit, unter Mehrfachbelastung weiter handlungsfähig zu bleiben.
Quelle:
· Industrial Cyber: ISAC advisory highlights cyber and physical risks to critical infrastructure as Middle East tensions rise, https://industrialcyber.co/industrial-cyber-attacks/isac-advisory-highlights-cyber-and-physical-risks-to-critical-infrastructure-as-middle-east-tensions-rise/
Besonders plastisch wird das am Stryker-Vorfall. Sobald globale Systeme, interne Services und Betriebsabläufe gleichzeitig beeinträchtigt werden, ist Incident Response kein Spezialprozess des SOC mehr, sondern ein Führungsinstrument für Produktion, Lieferfähigkeit, Kommunikation und Rechtsbewältigung. In solchen Lagen trennt sich taktische Reaktion von strategischer Resilienz.
Quelle:
· Industrial Cyber: Suspected Iran-linked cyberattack hits medical technology giant Stryker amid Middle East tensions, https://industrialcyber.co/medical/suspected-iran-linked-cyberattack-hits-medical-technology-giant-stryker-amid-middle-east-tensions/
Hinzu kommt ein zweites, häufig unterschätztes Thema: die Integrität des Incident-Response-Ökosystems selbst. Der US-Fall um einen mutmaßlich kompromittierten Ransomware-Verhandler macht sichtbar, dass Response-Dienstleister nicht nur technische Helfer, sondern hochprivilegierte Risikoakteure sind. Für Unternehmen wird Vendor Governance damit Teil der Krisenabwehr.
Quelle:
· The Record: Ransomware incident responder gave info to BlackCat cybercriminals during negotiations, DOJ alleges,https://therecord.media/ransomware-blackcat-doj-incident-responder
Auch im Datenschutz zeigt sich eine strategische Verschiebung. Die DSGVO wirkt nicht mehr nur als Sanktionsrahmen für Werbe- und Plattformmodelle, sondern greift tief in Gesundheitsinnovation, Biotech-Regulierung und transatlantische Mobilitätsprozesse ein. Datenschutz wird damit erneut zu einem Kernfaktor für Produktarchitektur, Marktvertrauen und geopolitische Anschlussfähigkeit.
Quelle:
· Reuters: Win for Amazon as Luxembourg court scraps record $854 million privacy fine, https://www.reuters.com/legal/government/win-amazon-luxembourg-court-scraps-record-854-million-privacy-fine-2026-03-13/
Für deutsche Unternehmen ergibt sich daraus ein relativ klares Arbeitsprogramm: Compliance-Mapping über DORA, CRA, KRITIS-/NIS2-nahe Pflichten und DSGVO hinweg; stärkere Beweisfähigkeit in Logs, Registern und Entscheidungswegen; Übungen, die Cyber-, Betriebs- und Kommunikationskrise zusammen denken; und eine deutlich härtere Governance externer Response- und Krisendienstleister. Wer diese Konvergenz früh operationalisiert, gewinnt nicht nur Rechtssicherheit, sondern reale Krisenfestigkeit.
