Brüssels nächster Schritt: Was nach NIS2 und DORA kommt

NIS2 und DORA waren nur Phase 1. AI Act, Data Act, CRA, EUCS und neue Rechenschaftspflichten werden Phase 2 definieren. Hier ist die konkrete Roadmap, auf die sich GRC-Verantwortliche vorbereiten müssen.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 Min. Lesezeit
Brussels' Next Move: What Comes After NIS2 and DORA

Brüssel verlangsamt das Tempo nicht. Wenn NIS2 und DORA bereits als belastend galten, ist die nächste Welle ; bereits veröffentlicht, verabschiedet oder in den abschließenden Verhandlungen ; umfangreicher, strenger und operationeller.

The era of “one regulation every few years” is over. Wir treten in die Phase der kontinuierlichen digitalen Regulierung ein.

Hier ist, was tatsächlich als Nächstes kommt ; mit klaren, umsetzbaren Implikationen für jeden CISO, DPO und Digital Compliance Officer.

1. AI Act Durchsetzung (2025–2026): Das neue Governance-Monster

Der AI Act ist die ambitionierteste EU-Verordnung seit dem GDPR. Anders als NIS2 betrachtet er nicht nur Cybersicherheit ; er regelt, wie Intelligenz entwickelt, getestet, eingesetzt, überwacht und dokumentiert wird.

Was Organisationen umsetzen müssen (nicht Theorie, sondern Realität):

  • KI-Risikoklassifizierung (verboten / hohes Risiko / begrenztes Risiko / Allzweck)
  • Modell-Dokumentationspakete (Trainingsdaten, Evaluierung, Architektur)
  • Verpflichtende Risikobewertungen (abgestimmt auf ISO 42001)
  • Kontinuierliches Monitoring auf Drift, Bias, Halluzinationen
  • Red-Teaming für Hochrisiko- und Foundation-Modelle
  • KI-Vorfallsmeldungen an das neue EU AI Office
  • Menschliche Aufsichtsfunktionen
  • Vollständige Nachvollziehbarkeit von Entscheidungen
  • Verantwortlichkeit und Audits gegenüber KI-Lieferanten

Auswirkung:

Dies erfordert eine neue Governance-Funktion innerhalb von Organisationen ; weshalb Brüssel implizit das Entstehen des Digital Compliance Officer (DCO) vorantreibt.

2. Data Act (2025): Obligatorischer Datenzugang, Portabilität und Interoperabilität

Der Data Act verändert, wie Unternehmen Daten auf struktureller Ebene handhaben, insbesondere Cloud-Anbieter und datenintensive Branchen.

Zentrale Pflichten:

  • Nutzer müssen Cloud-Anbieter schnell und kostengünstig wechseln können
  • Verpflichtende Datenportabilität zwischen Cloud-Infrastrukturen
  • Verbot bestimmter Anbieter-Lock-in-Praktiken
  • Transparenz bei Datenverarbeitung und Nutzungsrechten
  • Verpflichtende Interoperabilität zwischen IoT-Geräten und Backend-Systemen
  • Zugriffsrechte für öffentliche Stellen in Notlagen

Auswirkung:

Anbieter-Lock-in wird zu einem regulatorischen Compliance-Verstoß. Cloud-Architekturen müssen mit Blick auf Exit und Portabilität neu gestaltet werden ; in direkter Übereinstimmung mit den IKT-Resilienzanforderungen von DORA.

3. Cyber Resilience Act (CRA): Secure-by-Design für jedes digitale Produkt

Der CRA legt verbindliche Cybersicherheitsanforderungen für jedes Produkt mit digitalen Elementen fest ; Hardware, Software, eingebettete Systeme, IoT, Industriegeräte.

  • Anforderungen an Secure-by-Design und Secure-by-Default
  • Verpflichtende Prozesse zum Schwachstellenmanagement
  • 24-Stunden-Frühwarnung an ENISA bei aktiver Ausnutzung
  • 72-Stunden-Vorfallsmeldung
  • 5–10 Jahre Sicherheitsupdates je nach Produktkritikalität
  • SBOM-Anforderungen (Software Bill of Materials)
  • Konformitätsbewertungen vor Marktzulassung der Produkte

Auswirkung:

Dies wird Software-Anbieter, SaaS-Unternehmen, Industrieproduzenten und auch Startups treffen. Produktteams werden erstmals Teil des Compliance-Ökosystems.

4. EUCS (EU Cloud Certification Scheme): Das kommende Regelwerk für Cloud-Sicherheit

EUCS wird die Cloud-Nutzung in der gesamten EU neu definieren. Es geht um mehr als Zertifizierung ; es ist eine Souveränitätsstrategie.

Was EUCS vorschreiben wird:

  • Drei Vertrauensstufen (Basic, Substantial, High)
  • Anforderungen an den Datenspeicherort
  • Verpflichtende Transparenz gegenüber Unterauftragnehmern
  • Restrictions on non-EU jurisdictional influence at “High” level (i.e., CLOUD Act conflicts)
  • Strengere Prüfbarkeit für Cloud-Anbieter
  • Vorfallsmeldepflichten in Übereinstimmung mit NIS2/DORA
  • Verpflichtende Sicherheitskontrollen über ISO 27001 hinaus

Auswirkung:

  • AWS/Azure/GCP may not qualify for “High” unless they adapt governance models
  • Kritische Sektoren werden verpflichtet sein, EUCS-zertifizierte Dienste zu nutzen
  • Multi-Cloud-Strategien werden nicht länger optional sein ; sie werden zur regulatorischen Absicherung

Diese Verordnung wird Cloud-Strategien in ganz Europa neu gestalten.

5. Strengere Sanktionen und persönliche Haftung der Führungsebene

NIS2 hat bereits die persönliche Verantwortung von Führungskräften eingeführt. Es ist zu erwarten, dass Brüssel weitergeht und die persönliche Haftung über digitale Verordnungen hinweg harmonisiert.

Was kommt:

  • Haftung auf C-Ebene bei AI Act-Verstößen (insbesondere bei missbräuchlichem Einsatz von Hochrisiko-KI)
  • Bußgelder in Abhängigkeit vom globalen Umsatz wie beim GDPR
  • Diskussionen über strafrechtliche Haftung bei grober Fahrlässigkeit (in mehreren Ausschüssen in der Debatte)
  • Verpflichtende Cybersicherheitskompetenz auf Board-Ebene
  • SOX-ähnliche Bestätigungspflichten für Cybersicherheit und operative Resilienz

Auswirkung:

Boards werden zunehmend fordern:

  • Kontinuierliches Compliance-Reporting
  • Risikobasierte KPIs
  • Klare Verantwortlichkeit für Cyber- und KI-Entscheidungen
  • Nachweise, dass Compliance eingebettet ist, nicht nur dokumentiert

Führungskräfte werden nicht länger vor den Folgen digitaler Governance-Versäumnisse geschützt sein.

6. Formalisierung der Rolle des Digital Compliance Officer (DCO)

Dies ist keine Theorie mehr. Brüssel signalisiert bereits ; durch den AI Act, NIS2, CRA, DORA und bevorstehende Leitliniendokumente ;, dass Organisationen eine regulationsübergreifende Governance-Funktion benötigen werden.

Warum ein DCO obligatorisch wird (zunächst implizit, später explizit):

  • KI-Governance erfordert eine klare Verantwortlichkeit
  • DORA erfordert IKT-Risikoaufsicht und Lieferanten-Governance
  • NIS2 erfordert Verantwortlichkeit der Führungsebene und funktionsübergreifende Koordination
  • GDPR schreibt bereits einen DPO vor ; der DCO ist dessen Weiterentwicklung für breitere digitale Risiken
  • CRA erfordert die Koordination von Produkt-, Cyber- und Lieferantenkontrolle

Erwartete Aufgaben:

  • Überwachung der AI Act-Compliance
  • Koordination von NIS2 + DORA + GDPR + CRA
  • Cloud-Aufsicht im Rahmen von EUCS
  • Betrieb einheitlicher Risiko- und Kontrollrahmen
  • Aufbau regulatorisch abgestimmter digitaler Governance-Modelle
  • Sicherstellung der Nachweisbereitschaft gegenüber Aufsichtsbehörden
  • Direkte Berichterstattung an den Board bzw. an Führungsgremien

Auswirkung:

Bis 2026–2027 wird der DCO so selbstverständlich sein wie der DPO nach dem GDPR. Dies wird die strategisch bedeutsamste GRC-Rolle des nächsten Jahrzehnts sein.

7. Die nächste Phase: Vereinheitlichung der digitalen EU-Regulierung (2027–2030)

Mehrere interne EU-Dokumente und Arbeitsgruppen treiben die Schaffung eines einheitlichen, integrierten digitalen Governance-Rahmens zur Verringerung der Fragmentierung voran.

Dies könnte folgende Regelwerke konsolidieren:

  • GDPR
  • NIS2
  • DORA
  • AI Act
  • Data Act
  • CRA
  • Digital Services Act
  • Digital Markets Act
  • eIDAS 2.0

Was das einheitliche Modell einführen wird:

  • Eine einheitliche Taxonomie für digitale Risiken
  • Ein harmonisiertes Vorfallsmeldungsmodell
  • Einen Kontrollrahmen für mehrere Gesetze
  • Regulationsübergreifende Audits
  • Kooperation gemeinsamer Aufsichtsbehörden
  • Eine gesamteuropäische digitale Aufsichtsstruktur

Auswirkung:

Compliance will evolve from “documents for auditors”kontinuierlicher digitaler Governance für Aufsichtsbehörden.

Das ist die Richtung, in die Brüssel steuert.

Abschließender Gedanke

Brüssel baut das weltweit erste vollständige digitale Governance-Ökosystem auf ; das Daten, KI, Cloud, Cybersicherheit, Resilienz und Produktsicherheit abdeckt.

Die nächste Welle ist nicht abstrakt. Sie ist konkret, gesetzlich verankert und bis 2025–2027 durchsetzbar.

Die Organisationen, die überleben (und gedeihen) werden, sind jene, die:

  • jetzt einheitliche Governance einführen
  • die operativen Auswirkungen jeder Verordnung verstehen
  • Cloud-Strategien frühzeitig neu gestalten
  • KI-Verantwortlichkeitsstrukturen vorbereiten
  • einen Digital Compliance Officer benennen
  • kontinuierliche Compliance aufbauen, keine jährlichen Audits

Europas digitale Zukunft ist reguliert ; intelligent, entschlossen und dauerhaft.

Die Frage lautet nicht mehr “Is more coming?” Sondern: “Are you preparing for it before it arrives?”

Wenn Sie eine praxisorientierte, regulatorisch abgestimmte Roadmap für AI Act, Data Act, CRA, NIS2, DORA, EUCS und die Etablierung des Digital Compliance Officer suchen, genau das vermitteln wir im Cyber Academy European Digital Governance Program. Nehmen Sie an der nächsten Session teil und bleiben Sie der nächsten Welle aus Brüssel einen Schritt voraus.

Möchten Sie die nächste Feldnotiz in Ihrem Posteingang?

Der GRC Brief Newsletter. Fünf Links und eine kurze Einschätzung, jeden Montag um 8 Uhr MEZ. Drei Minuten Lesezeit.