Europas Cyber- und Datenschutzregulierung verlässt zunehmend die Konzeptphase und geht in die Betriebs- und Vollzugsphase über. Das sieht man parallel an der deutschen KRITIS-Debatte, an der institutionellen Verdichtung des Cyber Resilience Act und an den gezielten NIS-2-Anpassungen, die regulatorische Vereinfachung versprechen, ohne die materielle Verantwortung der Unternehmen zu senken. Aus deutscher Sicht ist zudem auffällig, dass Deutschland in mehreren Strängen gleichzeitig sichtbar ist: beim KRITIS-Dachgesetzals nationalem Resilienzrahmen und beim CRA durch die Führungsrolle des BSI in der AdCo Group. Für Unternehmen bedeutet das, dass sich regulatorische Entwicklungen künftig schneller in praktische Aufsicht, Marktanforderungen und Beschaffungsentscheidungen übersetzen können.
Quelle:
· Behörden Spiegel: Zustimmung und Kritik am KRITIS-Dachgesetz, https://www.behoerden-spiegel.de/2026/03/19/zustimmung-und-kritik-am-kritis-dachgesetz/
Besonders spannend ist, dass sich Datenschutz und Cybersicherheit nicht mehr sauber trennen lassen. Die gemeinsame Stellungnahme von EDPB und EDPS zu CSA2 und NIS-2 zeigt, dass Meldewege, Zertifizierung, ENISA-Rolle und Wallet-Infrastrukturen nur dann funktionieren, wenn Datenschutzrecht und Cyberrecht auf derselben Governance-Linie liegen. Die eigentliche Botschaft lautet also nicht Deregulierung, sondern bessere Anschlussfähigkeit der Regeln.
Quelle:
· EDPB: EDPB and EDPS support strengthening EU’s cybersecurity and easing compliance while protecting individuals’ personaldata, https://www.edpb.europa.eu/news/news/2026/edpb-and-edps-support-strengthening-eus-cybersecurity-and-easing-compliance-while_en
Parallel verschärfen die Datenschutzaufsichten die operative Erwartung an Transparenz und kinderschutzbezogene Produktgestaltung. Mit dem EDPB-Schwerpunkt auf Art. 12 bis 14 DSGVO und der ICO-Durchsetzung gegen Reddit wird deutlich, dass „Notice“, DPIA und Age Assurance keine formalen Anhängsel mehr sind, sondern Kernelemente produktbezogener Compliance und damit auch unternehmerischer Risikosteuerung.
Quelle:
· EDPB: CEF 2026: EDPB launches coordinated enforcement action on transparency and information obligations under the GDPR, https://www.edpb.europa.eu/news/news/2026/cef-2026-edpb-launches-coordinated-enforcement-action-transparency-and-information_en
Auf der Gegenseite professionalisieren sich Angreifer weiter. Check Point beschreibt, wie KI die Entwicklungszeit und Skalierbarkeit offensiver Werkzeuge drastisch senkt, während Kaspersky ICS CERT erneut zeigt, dass industrielle Vorfälle rasch in operative und sogar physische Schäden kippen können. Das erhöht den Druck, Security Operations, Threat Intelligence und Incident Response nicht isoliert, sondern entlang realer Geschäfts- und Betriebsprozesse zu organisieren.
Quelle:
· Check Point: The Agentic Era Arrives: How AIIs Transforming the Cyber Threat Landscape, https://blog.checkpoint.com/research/the-agentic-era-arrives-how-ai-is-transforming-the-cyber-threat-landscape/
Der strategische Schluss ist deshalb nüchtern, aber eindeutig: 2026 wird nicht das Jahr einzelner Security-Projekte, sondern das Jahr integrierter Betriebsfähigkeit. Wer Regulierung, Produktarchitektur, Datenschutz, Marktaufsicht und Incident Response weiterhin in getrennten Silos hält, wird sowohl technisch als auch rechtlich und ökonomisch an Reaktionsfähigkeit verlieren.
Quelle:
· EU-Kommission: Cyber Resilience Act: EU Market Surveillance Group elects New Chair and Vice-Chair, https://digital-strategy.ec.europa.eu/en/news/cyber-resilience-act-eu-market-surveillance-group-elects-new-chair-and-vice-chair
