1. KI-Regulierung wird operativ
Der EU AI Act ist nicht mehr nur Theorie. Ab Februar 2025 gelten die Verbote für inakzeptable KI-Praktiken, und ab August 2026 treten die vollständigen Anforderungen für Hochrisiko-KI-Systeme in Kraft. Unternehmen müssen jetzt KI-Inventare erstellen, Risikobewertungen durchführen und Governance-Strukturen gemäß ISO 42001 implementieren. Die ersten Durchsetzungsmaßnahmen werden erwartet, und die Bußgelder können bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes betragen.
2. Zero Trust wird zum Standard
Zero Trust ist nicht länger ein Konzept — es wird zur Baseline-Architektur. Die neue ISO 27001:2022-Kontrolle A.8.16 (Überwachungsaktivitäten) unterstützt diesen Ansatz direkt. Organisationen implementieren Mikrosegmentierung, kontinuierliche Verifizierung und Least-Privilege-Zugang als Standardpraxis. Besonders in hybriden Arbeitsumgebungen ist Zero Trust zur operativen Notwendigkeit geworden.
3. Lieferkettensicherheit rückt in den Fokus
Nach aufsehenerregenden Angriffen auf Software-Lieferketten verschärfen sowohl die NIS2-Richtlinie als auch branchenspezifische Standards die Anforderungen an das Lieferantenrisikomanagement. SBOM (Software Bill of Materials) wird zum Standardwerkzeug. Organisationen müssen die Sicherheitslage ihrer gesamten Lieferkette nachweisbar bewerten und überwachen — nicht nur der direkten Zulieferer, sondern auch der Unter-Lieferanten.
4. NIS2-Umsetzung in vollem Gang
Die NIS2-Richtlinie hätte bis Oktober 2024 in nationales Recht umgesetzt werden müssen. Obwohl einige EU-Mitgliedstaaten verzögert haben, ist die Umsetzung nun in vollem Gang. Der erweiterte Geltungsbereich betrifft deutlich mehr Unternehmen als die ursprüngliche NIS-Richtlinie, einschließlich mittlerer Unternehmen in kritischen Sektoren. Die Meldepflichten bei Sicherheitsvorfällen sind strenger: eine frühzeitige Meldung innerhalb von 24 Stunden und ein vollständiger Bericht innerhalb von 72 Stunden.
5. DORA verändert die Finanzbranche
Der Digital Operational Resilience Act (DORA) ist seit Januar 2025 anwendbar und verändert das IT-Risikomanagement in der Finanzbranche grundlegend. Finanzinstitute und ihre kritischen IKT-Dienstleister müssen umfassende Anforderungen an digitale Betriebsresilienz erfüllen, einschließlich regelmäßiger bedrohungsorientierter Penetrationstests (TLPT) und strengerer Auslagerungsanforderungen.
6. KI-gestützte Cyberangriffe nehmen zu
Die Demokratisierung von KI-Werkzeugen verändert die Bedrohungslandschaft. Angreifer nutzen Large Language Models für überzeugendere Phishing-Kampagnen, automatisierte Schwachstellenerkennung und adaptive Malware. Deepfake-basierter CEO-Betrug hat 2025 stark zugenommen. Gleichzeitig setzen Verteidiger KI für Anomalieerkennung, automatisierte Incident Response und prädiktive Bedrohungsanalyse ein.
Laut aktuellen Studien nutzen bereits 78 % der Unternehmen KI-gestützte Sicherheitstools — aber nur 34 % haben eine formale KI-Governance-Struktur implementiert.
7. Datenschutz-Konvergenz
Die weltweite Ausbreitung von Datenschutzgesetzen — DSGVO, UK GDPR, LGPD, PIPL und über 140 weitere nationale Datenschutzgesetze — zwingt international tätige Unternehmen zu einem konvergenten Ansatz. ISO 27701 (PIMS) dient dabei als Framework, um verschiedene Datenschutzanforderungen in einem einheitlichen System abzubilden. Die Nachfrage nach ISO 27701-Zertifizierungen ist 2025 um über 60 % gestiegen.
8. Post-Quantenkryptografie wird konkret
NIST hat 2024 die ersten Post-Quantenkryptografie-Standards (ML-KEM, ML-DSA, SLH-DSA) finalisiert. Obwohl kryptografisch relevante Quantencomputer noch nicht verfügbar sind, beginnen vorausschauende Organisationen mit der Kryptografie-Inventarisierung und Migrationsplanung. Die Bedrohung durch „Harvest now, decrypt later“-Angriffe macht dieses Thema für Organisationen mit langfristigen Geheimhaltungsanforderungen bereits heute relevant.
9. Cyber-Resilienz statt reine Prävention
Die Branche bewegt sich von einem präventionszentrierten Ansatz zu einem Resilienz-Paradigma. Die Frage lautet nicht mehr „Wie verhindern wir einen Vorfall?“, sondern „Wie schnell können wir uns erholen?“. ISO 22301 (Business Continuity) und die neue ISO 27001:2022-Kontrolle A.5.30 (IKT-Bereitschaft für Business Continuity) gewinnen an Bedeutung. Incident-Response-Übungen, Tabletop-Simulationen und Recovery-Tests werden zur Routine.
10. Konsolidierung der Compliance-Landschaft
Unternehmen sehen sich einer wachsenden Zahl von Compliance-Anforderungen gegenüber: NIS2, DORA, EU AI Act, DSGVO, branchenspezifische Regulierung. Die Antwort darauf ist Konsolidierung. Integrierte Managementsysteme, die mehrere ISO-Normen in einem einheitlichen Framework zusammenführen, werden zum Standard. GRC-Plattformen (Governance, Risk, Compliance) verzeichnen zweistellige Wachstumsraten, da Organisationen manuelle Compliance-Prozesse nicht mehr skalieren können.
| Trend | Relevante Normen/Regulierung | Handlungsbedarf |
|---|---|---|
| KI-Regulierung | EU AI Act, ISO 42001 | Hoch — sofort |
| Zero Trust | ISO 27001:2022, NIST ZTA | Hoch — laufend |
| Lieferkettensicherheit | NIS2, ISO 27036 | Hoch — sofort |
| NIS2 | NIS2-Richtlinie, ISO 27001 | Kritisch — sofort |
| DORA | DORA, ISO 27001, ISO 22301 | Kritisch (Finanzbranche) |
Fazit: Proaktives Handeln ist gefragt
Die Cybersicherheits- und Compliance-Landschaft 2026 ist geprägt von regulatorischer Verdichtung, technologischem Wandel und einer zunehmend aggressiven Bedrohungslandschaft. Organisationen, die diese Trends frühzeitig erkennen und strukturiert adressieren, schaffen nicht nur Compliance — sie bauen einen echten Wettbewerbsvorteil auf.
BALTUM unterstützt Unternehmen dabei, diese Trends in konkrete Maßnahmen umzusetzen — von der Zertifizierung nach internationalen Standards bis zur Implementierung umfassender Governance-Strukturen.