Die letzten 48 Stunden zeigen, wie sich der regulatorische Druck auf kritische Infrastrukturen und Finanz‑IT weiter verdichtet: In Deutschland hat der Bundestag das NIS‑2‑Umsetzungsgesetzverabschiedet und damit tausende „wesentliche“ und „wichtige“Einrichtungen in ein strengeres BSI‑Regime mit Managementhaftung, Risikomanagement‑Pflichten und erweiterten Meldepflichten gezogen. Parallel haben die drei europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) erstmals 19 kritische ICT‑Drittdienstleister unter DORA benannt – darunter große Cloud‑ und Infrastrukturprovider wie AWS, Google Cloud,Microsoft, Bloomberg oder Deutsche Telekom – und damit ein EU‑weites Aufsichtsregime für diese Anbieter aktiviert. Statements von AWS und die Einordnung aktueller Berichterstattung,u. a. bei Reuters und in einem Financial‑Regulation‑Bulletin von Slaughter and May, zeigen, dass Cloud‑Resilienz endgültig als makroprudenzielle Frage für die Finanzmarktstabilität verstanden wird.
Quellen: Lexology/ Bird & Bird, „German Bundestag passes German NIS 2ImplementationAct“, https://www.lexology.com/library/detail.aspx?g=0ab34573-8e23-4166-97eb-76e0722bfadc;Slaughter and May, „Financial Regulation Weekly Bulletin – 20November 2025 (DORA – ESAs publish list of designatedCTPPs)“, https://www.slaughterandmay.com/insights/financial-regulation-weekly-bulletin/financial-regulation-weekly-bulletin-20-november-2025/;European Banking Authority, „The European Supervisory Authoritiesdesignate critical ICT third-party providers under the DigitalOperational ResilienceAct“, https://www.eba.europa.eu/publications-and-media/press-releases/european-supervisory-authorities-designate-critical-ict-third-party-providers-under-digital;AWS Security Blog, „AWS designated as a critical third-partyprovider under EU’s DORAregulation“, https://aws.amazon.com/blogs/security/aws-designated-as-a-critical-third-party-provider-under-eus-dora-regulation/;Reuters, „Amazon, Google named by EU among 'critical' techproviders for financeindustry“, https://www.reuters.com/sustainability/boards-policy-regulation/amazon-google-named-by-eu-among-critical-tech-providers-finance-industry-2025-11-18/.
Parallel dazu schiebt die EU‑Kommission mit dem sogenannten Digital‑Omnibus‑Paket eine erste „Bereinigung“ des digitalen Regulierungsrahmens an: Vorgeschlagen werden u. a. Anpassungen der DSGVO‑Begriffsbestimmungen, veränderte Auskunfts‑ und Verfahrensregeln für Aufsichtsbehörden sowie Klarstellungen im Zusammenspiel mit sektorspezifischen Digitalakten. Datenschutz‑Organisationen und Aktivisten kritisieren diese Vorschläge – gestützt auf ein Reuters‑Stück, das von „death by a thousand cuts“ für die DSGVO spricht – als Einfallstor, um Datennutzung für KI‑Training über ein weitergefasstes „berechtigtes Interesse“ zu erleichtern. Gleichzeitig zeigt das Urteil eines Madrider Handelsgerichts gegen Meta, das wegen unzulässiger Verarbeitung von Nutzerdaten für verhaltensbasierte Werbung zu 479 Mio. € Schadenersatz an 87 spanische Medienhäuser verpflichtet wurde, wie robust Gerichte bestehende DSGVO‑Instrumente mit Wettbewerbsrecht kombinieren, wenn datengetriebene Geschäftsmodelle rechtswidrig ausgestaltet sind.
Quellen: Covington(Inside Privacy), „European Commission Proposes Revisions to GDPRand Other Digital Rules Under Digital OmnibusPackage“, https://www.insideprivacy.com/eu-data-protection/european-commission-proposes-revisions-to-gdpr-and-other-digital-rules-under-digital-omnibus-package/;Reuters, „Critics call proposed changes to landmark EU privacy law'death by a thousandcuts'“, https://www.reuters.com/sustainability/boards-policy-regulation/critics-call-proposed-changes-landmark-eu-privacy-law-death-by-thousand-cuts-2025-11-10/;Reuters, „Spanish court orders Meta to pay $550 million to digitalmediacompanies“, https://www.reuters.com/sustainability/boards-policy-regulation/spanish-court-orders-meta-pay-550-mln-digital-media-companies-2025-11-20/.
Im Finanzsektor verfestigt sich damit ein mehrschichtiges Resilienz‑Regime: DORA ist seit 17. Januar 2025 in Anwendung und verpflichtet Banken, Versicherer und andere Finanzunternehmen zu einem einheitlichen ICT‑Risikomanagement,zu strengeren Melde‑ und Testpflichten sowie zur systematischen Steuerung von Auslagerungen. Ergänzend etabliert der neue CTPP‑Aufsichtsrahmen eine direkte EU‑Aufsicht über besonders kritische Drittanbieter. Fachkommentare von Mayer Brown, DLA Piper und anderen betonen, dass DORA nicht nur technische Controls adressiert, sondern Governance‑Fragen (z. B. Rolle von Management und Aufsichtsorgan), Vertragsinhalte und Reporting‑Architekturen neu ordnet. Parallel veröffentlichen Bundesbank und Fachverlage neue Materialien zu BAIT/DORA –inklusive eines frischen Praxiskommentars –, die deutlich machen, dass Institute in Deutschland BAIT‑Anforderungen, DORA‑Pflichten und künftige NIS‑2‑Sicherheitsanforderungen in einem integrierten Kontrollmodell zusammenführen müssen.
Quellen: EBA,„Digital Operational Resilience Act (DORA) – DORAoversight“, https://www.eba.europa.eu/activities/direct-supervision-and-oversight/digital-operational-resilience-act;EIOPA, „Digital Operational Resilience Act(DORA)“, https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en;Mayer Brown, „Cybersecurity in the Financial Sector: EU’s DigitalOperational Resilience Act TakesEffect“, https://www.mayerbrown.com/en/insights/publications/2025/01/cybersecurity-in-the-financial-sector-eus-digital-operational-resilience-act-takes-effect;Deutsche Bundesbank, „BAIT /DORA“, https://www.bundesbank.de/de/aufgaben/bankenaufsicht/einzelaspekte/risikomanagement/bait-dora-598580;Schäffer‑Poeschel, „Praxiskommentar BAIT und DORA:Bankaufsichtliche Anforderungen an die IT und Digital OperationalResilienceAct“, https://www.schweitzer-online.de/buch/Buchmueller/Praxiskommentar-BAIT-DORA/9783791054681/B556718/.
Auf operativer Ebene erinnern aktuelle Vorfälle daran, dass Regulierung nur so gut ist wie die gelebte Incident‑Response‑ und Third‑Party‑Security‑Praxis: Ein aktueller Gastbeitrag im Mittelstands-Wiki skizziert anhand eines Sechs‑Phasen‑Modells, wie strukturierte Incident‑Response im Mittelstand Millionenschäden vermeiden kann; zeitgleich zeigt eine neue SANS‑ICS/OT‑Umfrage, dass OT‑Security‑Incidents– getrieben durch Ransomware und unsicheren Remote‑Zugriff –weiter zunehmen. Konkrete Fälle liefern die Stadt Attleboro in Massachusetts, deren Verwaltung durch einen komplexen Ransomware‑Angriff weitgehend lahmgelegt wurde, sowie der von Salesforce kommunizierte Gainsight‑Vorfall, bei dem kompromittierte OAuth‑Integrationen potentiell Zugriff auf Kundendaten ermöglichten. Gemeinsam machen diese Beispiele deutlich, dass viele Organisationen ihre Notfallpläne noch immer zu stark auf die eigene IT‑Organisation fokussieren und Lieferketten‑,SaaS‑ und OT‑Schnittstellen zu wenig berücksichtigen.
Quellen: MittelstandsWiki,„Incident Response: Wie Firmen bei Cyberangriffen die Kontrollebehalten“, https://www.mittelstandswiki.de/wissen/Gastbeitrag%3AIncident_Response/;IndustrialCyber, „SANS Institute 2025 survey finds OT cybersecurityincidents rising as ransomware and remote access risksgrow“, https://industrialcyber.co/news/sans-institute-2025-survey-finds-ot-cybersecurity-incidents-rising-as-ransomware-and-remote-access-risks-grow/;Breached Company, „City of Attleboro Under Cyber Siege: Latest inWave of Municipal RansomwareAttacks“, https://breached.company/city-of-attleboro-under-cyber-siege-latest-in-wave-of-municipal-ransomware-attacks/;AppOmni, „Security Advisory: Salesforce GainsightIncident“, https://appomni.com/blog/salesforce-gainsight-unauthorized-access-security-advisory/.
Der Markt reagiert auf diese Gemengelage mit einem klaren Shift hin zu Plattform‑ und Service‑Modellen: Cisco hebt in einer frischen Pressemitteilung hervor, dass Splunk bereits zum elften Mal in Folge als Leader im Gartner‑Magic‑Quadrant für SIEM und in mehreren Critical‑Capabilities‑Use‑Cases auf Platz eins liegt – und koppelt diese Positionierung mit Splunks jüngster Spende einer OpenTelemetry‑Injector‑Library an das CNCF‑Projekt, um Telemetrie‑Erhebung in heterogenen Umgebungen zu standardisieren. Check Point wiederum bringt mit neuen, durch ThreatCloud‑AI gespeisten Managed Rules für AWS NetworkFirewall eine Kombination aus Threat‑Intelligence‑Feed und kuratierten Suricata‑Regelsätzen in die Cloud, gemeinsam mit einem AWS‑Marketplace‑Launch. Gleichzeitig zeigen Branchenbeiträge und Marktkommentare – vom Compass‑IT‑Blog über vCISO‑Trends bis hin zum APN‑Artikel über Cybersecurity‑Thought‑Leader –, dass CISO‑as‑a‑Service‑Modelle und externe GRC‑Beratung zunehmend als Antwort auf steigende CISO‑Gehälter und knappe Budgets in regulierten Branchen etabliert werden.
Quellen: Cisco/ PR Newswire, „Splunk’s Impact in Cybersecurity Gains RepeatedAnalystRecognition“, https://investor.cisco.com/news/news-details/2025/Splunks-Impact-in-Cybersecurity-Gains-Repeated-Analyst-Recognition/default.aspx;DevOps.com, „Splunk Donates OpenTelemetry Injector Library to OpenSource InstrumentationFramework“, https://devops.com/splunk-donates-opentelemetry-injector-library-to-open-source-instrumentation-framework/;Splunk Blog, „KubeCon News: New Injector Donation, Advancements inLLM Monitoring, OpenTelemetry, andAI“, https://www.splunk.com/en_us/blog/observability/kubecon-news-new-injector-donation-advancements-in-llm-monitoring-opentelemetry-and-ai.html;Check Point Blog, „Check Point Launches Managed Rules for AWSNetworkFirewall“, https://blog.checkpoint.com/securing-the-cloud/check-point-launches-managed-rules-for-aws-network-firewall/;AWS Security Blog, „Simplify cloud security with managed rules fromAWS Marketplace for AWS NetworkFirewall“, https://aws.amazon.com/blogs/security/simplify-cloud-security-with-managed-rules-from-aws-marketplace-for-aws-network-firewall/;Compass IT Compliance, „Rising CISO Salaries & Tight BudgetsDrive Virtual CISOAdoption“, https://www.compassitc.com/blog/rising-ciso-salaries-tight-budgets-drive-virtual-ciso-adoption;APN News, „Top 4 Cybersecurity Thought Leaders and Their Impact in2025“, https://www.apnnews.com/top-4-cybersecurity-thought-leaders-and-their-impact-in-2025/.
Über alle Sektoren hinweg verschiebt sich die Diskussion damit von der reinen Frage „Sind wir compliant?“ hin zu „Wie bauen wir belastbare, mehrschichtige Resilienz auf?“: Während die EU mit dem Digital‑Omnibus‑Paket an der Vereinheitlichung und Entschlackung des bestehenden Regime‑Mix arbeitet, bereitet das Vereinigte Königreich mit dem Cyber Security and Resilience (Network and Information Systems) Bill eine Reform seiner NIS‑Regeln vor, die mehr Sektoren erfasst und Meldepflichten schärft. In denUSA wiederum werden mit Gesetzesinitiativen wie dem PILLAR Act und dem Strengthening Cyber Resilience against State‑Sponsored Threats Act, auf die etwa der Abgeordnete Finstad verweist, sowie mit Initiativen wie dem Beitritt des Ransomware‑Spezialisten Halcyon zur CISA‑JCDC‑Kooperation explizit staatlich‑private Resilienzbündnisse adressiert. Unternehmen,die diese regulatorischen Impulse nutzen, um Governance‑Strukturen, technische Security‑Architektur und Krisenorganisation entlang eines konsolidierten Control‑Frameworks (DORA, NIS‑2,BAIT, DSGVO, CRA etc.) neu zu ordnen, werden regulatorische Änderungen eher als Katalysator für robuste Cyber‑Resilienz denn als Störfaktor erleben.
Quellen: Covington(Inside Privacy), „European Commission Proposes Revisions to GDPRand Other Digital Rules Under Digital OmnibusPackage“, https://www.insideprivacy.com/eu-data-protection/european-commission-proposes-revisions-to-gdpr-and-other-digital-rules-under-digital-omnibus-package/;White & Case, „Reform to the UK’s cybersecurity regimeincoming“, https://www.whitecase.com/insight-alert/reform-uks-cybersecurity-regime-incoming;U.S. House of Representatives – Congressman Brad Finstad, „FinstadVotes to Strengthen Cybersecurity Resilience, Protect Against ForeignCyberThreats“, https://finstad.house.gov/2025/11/finstad-votes-to-strengthen-cybersecurity-resilience-protect-against-foreign-cyber-threats;PR Newswire / Halcyon, „Halcyon Joins CISA's Joint Cyber DefenseCollaborative to Advance National RansomwareResilience“, https://www.prnewswire.com/news-releases/halcyon-joins-cisas-joint-cyber-defense-collaborative-to-advance-national-ransomware-resilience-302621435.html.
