Die wichtigsten Meldungen der vergangenen 48 Stunden zeigen, dass Cybersecurity, Regulierung und Marktlogik kaum noch getrennt bewertet werden können. Ob KRITIS, NIS‑2, DORA, Cyber Resilience oder Datenschutz: Sicherheitsarchitektur, Haftung, Aufsicht und wirtschaftliche Wettbewerbsfähigkeit greifen inzwischen direkt ineinander.
Die aktuelle Nachrichtenlage ist weniger von isolierten Einzelfällen geprägt als von einer auffälligen Verdichtung regulatorischer und operativer Anforderungen. Sicherheitsfragen werden inzwischen entlang realer Betriebsabhängigkeiten organisiert: in kritischen Infrastrukturen über digitale Souveränität und Lieferkettenkontrolle, im Finanzsektor über harte Melde- und Resilienzpflichten, im Software- und Produktbereich über Konformitäts- und Zertifizierungslogiken und im Datenschutz über neue Erwartungen an Plattform-und KI-Governance. Für Unternehmen bedeutet das vor allem eines: Compliance lässt sich nicht mehr nachgelagert dokumentieren, sondern muss in Architektur, Beschaffung, Incident Response und Produktdesign eingebaut werden.
Im KRITIS- und NIS‑2-Umfeld zeigt sich dieser Trend besonders klar. Die Kommission hat ihre strategische Roadmap für Digitalisierung und KI im Energiesektor als Teil des Technological Sovereignty Package veröffentlicht und dabei Sicherheit, Wettbewerbsfähigkeit und Energieeffizienz ausdrücklich zusammengeführt. Parallel arbeitet die EU an einem Rahmen für vertrauenswürdige ICT-Lieferketten und an gezielten Vereinfachungen bei derUmsetzung von NIS‑2. Das ist politisch bedeutsam, weil es die operative Perspektive verschiebt: Weg von einzelnen Security-Kontrollen, hin zu einer systemischen Betrachtung von Komponentenherkunft, Fremdabhängigkeiten, Datenflüssen und grenzüberschreitender Belastbarkeit kritischer Dienste.
· Quelle: Europäische Kommission, Strategic Roadmap on digitalisation and AI in the energy sector, https://energy.ec.europa.eu/publications/strategic-roadmap-digitalisation-and-ai-energy-sector_en
· Quelle: Europäische Kommission, Commission presents measures to digitalise Europe’s energy system while ensuring sustainable digitalisation, https://energy.ec.europa.eu/news/commission-presents-measures-digitalise-europes-energy-system-while-ensuring-sustainable-2026-06-03_en
· Quelle: Consilium, Proposal on a Regulation strengthening the Union’s cybersecurity framework, https://data.consilium.europa.eu/doc/document/ST-9399-2026-INIT/en/pdf
Im Finanzsektor wird die neue Aufsichtstiefe durch DORA nun erstmals quantitativ sichtbar. Der erste ESA-Bericht erfasst 3.383 schwere ICT-bezogene Vorfälle im Jahr 2025; rund ein Drittel davon hatte grenzüberschreitende Auswirkungen, während Systemausfälle, externe Ereignisse und Drittparteien als zentrale Treiber hervortreten. Parallel macht die EZB deutlich, dass KI-beschleunigte Cyberrisiken nicht mehr als Spezialthema der IT behandelt werden dürfen, sondern als strategische Managementaufgabe. Für Institute heißt das praktisch: Klassifizierung, Meldeketten, Third-Party-Governance und Krisensteuerung müssen nicht nur formal vorhanden sein, sondern unter Realbedingungen belastbar funktionieren.
· Quelle: ESMA, ESAs publish the first report on DORA major ICT-related incidents, https://www.esma.europa.eu/press-news/esma-news/esas-publish-first-report-dora-major-ict-related-incidents
· Quelle: ESMA, JC 2026 16 – ESAs 2025 report on major ICT-related incidents, https://www.esma.europa.eu/sites/default/files/2026-06/JC_2026_16_ESAs_2025_report_on_major_ICT-related_incidents.pdf
· Quelle: Reuters, ECB to ask banks for targeted measures to counter AI risk, https://www.reuters.com/legal/transactional/ecb-ask-banks-targeted-measures-counter-ai-risk-2026-06-03/
Auf der Technologie- und Bedrohungsseite laufen zwei Entwicklungen zusammen: bessere betriebliche Kontextualisierung und professionellere Angriffsökosysteme. Splunk positioniert ITSI 5.0 klar auf schnellere Time-to-Value, weniger Reibung im Betrieb und mehr verwertbaren Kontext aus Event Analytics und operativen Workflows. Check Point zeigt zeitgleich, wie ausgereift heutige Malware-Verteilungsmodelle bereits sind: mit Impersonation, Click Hijacking und TDS-basierten Ketten, die Vertrauen in scheinbar legitime Quellen ausnutzen. Die eigentliche Management-Botschaft daraus ist, dass moderne Verteidigung nicht nur mehr Telemetrie braucht, sondern nachvollziehbare Korrelation, Herkunftsprüfung und robuste Entscheidungsunterstützung in hybriden Umgebungen.
· Quelle: Splunk, Introducing Splunk IT Service Intelligence 5.0, https://www.splunk.com/en_us/blog/observability/introducing-splunk-it-service-intelligence-5-0.html
· Quelle: Check Point Research, Impersonation, Click Hijacking, and TDS: Inside aMalware Distribution Ecosystem, https://research.checkpoint.com/2026/impersonation-click-hijacking-and-tds-inside-a-malware-distribution-ecosystem/
Bei Incident Response und Cyber Resilience verschiebt sich der Fokus zugleich deutlich auf Systeme, die lange nicht als zentrale Resilienzknoten behandelt wurden. Der Fall Eversource zeigt, dass bereits kompromittierte Mitarbeiterkonten nach Phishing und Social Engineering erhebliche Daten- und Meldefolgen auslösen können, selbst wenn operative Versorgungssysteme nicht betroffen sind. Der Vorfall beim Welternährungsprogramm unterstreicht zusätzlich, wie kritisch Self-Registration-Plattformen mit Identitäts- und Standortdaten geworden sind. ENISA ergänzt dieses Bild auf regulatorischer Ebene, indem die Behörde die Kompetenzanforderungen für CRA-Notified-Bodies konkretisiert und damit signalisiert, dass Cyber Resilience künftig nicht nur an Produkten, sondern auch an der Qualität der Prüfinfrastruktur hängt.
· Quelle: CTPost / Hearst, Eversource says data of 3,049 customers exposed incyberattack, https://www.ctpost.com/business/article/eversource-customers-cyberattack-ct-ma-nh-22289772.php
· Quelle: The Record, UN food agency investigates breach exposing data of Gazaaid recipients, https://therecord.media/un-food-agency-investigates-gaza-aid-breach
· Quelle: ENISA, Technical Competence Requirements for CRA Notified Bodies, https://www.enisa.europa.eu/publications/technical-competence-requirements-for-cra-notified-bodies
Im Datenschutz verdichten sich schließlich mehrere Entwicklungslinien zu einem gemeinsamen Governance-Thema. Thailand will gegen Meta wegen scam-bezogener Facebook-Anzeigen klagen; in den USA sollen sensible Angaben in Gerichtsakten künftig stärker geschwärzt und Minderjährige besser geschützt werden; in Großbritannien wird xAI wegen sexualisierter Grok-Bilder verklagt; und die britische Wettbewerbsaufsicht zwingt Google dazu, Publishern mehr Kontrolle über die Nutzung ihrer Inhalte in KI-Suchfunktionen zu geben.Zusammengenommen ist das mehr als eine Reihe isolierter Verfahren: Es ist ein deutliches Signal, dass Datenschutz, Plattformverantwortung, Produktsicherheitund Wettbewerbsrecht operativ zusammenwachsen.
· Quelle: Reuters, Thai watchdog to sue Meta over Facebook scam ads targetingusers, https://www.reuters.com/world/thailand-watchdog-plans-legal-action-against-metas-facebook-failing-protect-2026-06-04/
· Quelle: Reuters, US judiciary proposes expanding privacy protections in federalcourt filings, https://www.reuters.com/legal/government/us-judiciary-proposes-expanding-privacy-protections-federal-court-filings-2026-06-03/
· Quelle: Reuters, British lawmaker sues Musk's xAI over sexualised Grok images, https://www.reuters.com/legal/government/british-lawmaker-sues-musks-xai-over-sexualised-grok-images-2026-06-03/
· Quelle: Reuters, Google must let UK publishers opt out of AI search under newrules, https://www.reuters.com/legal/litigation/uk-regulator-enforces-new-competition-requirements-google-search-2026-06-03/
