EU-Cybersicherheits-Update Frühjahr 2026: Was sich geändert hat und wie Sie sich vorbereiten

Einleitung

Am 24. März 2026 verschafften sich Angreifer Zugang zu den AWS-Cloud-Konten der Europäischen Kommission und entwendeten über 350 GB an Daten, bevor sie blockiert wurden.

Die Erpressergruppe ShinyHunters übernahm die Verantwortung. Die Kommission bestätigte den Vorfall am 30. März — damit handelt es sich um die gravierendste Kompromittierung einer EU-Institution in diesem Jahr und ein präzises Beispiel für die Bedrohungslage, in der vier bedeutende EU-Cybersicherheitsverordnungen nun gleichzeitig durchgesetzt werden.

Das Frühjahr 2026 markiert eine Konvergenz: Die NIS2-Änderungen und der CSA2-Vorschlag vom 20. Januar, die aktive DORA-Durchsetzung durch nationale Aufsichtsbehörden und die sich schnell nähernde CRA-Meldepflicht am 11. September.

Die EU verhängte am 16. März auch ihre ersten Cyber-Sanktionen des Jahres gegen chinesische und iranische Bedrohungsakteure. Dies sind keine Hintergrundereignisse — sie bilden den Durchsetzungskontext, den jede IT-Führungskraft und jeder Compliance-Beauftragte jetzt verstehen muss.

Wichtigste Erkenntnisse

• Datenpanne bei der Europäischen Kommission bestätigt: Am 30. März 2026 stahl ShinyHunters über 350 GB aus ihren AWS-Cloud-Konten, darunter Datenbanken, Verträge und E-Mail-Server-Dumps.
• Erste EU-Cyber-Sanktionen 2026: Am 16. März verhängte der EU-Rat restriktive Maßnahmen gegen drei Unternehmen — Integrity Technology Group, Anxun Information Technology (China) und Emennet Pasargad (Iran) — sowie zwei Einzelpersonen.
• NIS2- und CSA2-Änderungen vorgeschlagen: Am 20. Januar 2026 legte die Europäische Kommission Änderungen vor, die Zuständigkeit, Anwendungsbereich und Zertifizierungspflichten in beiden Rahmenwerken präzisieren.
• CRA-Meldepflicht rückt näher: Die obligatorischen Meldepflichten für Schwachstellen und Vorfälle gemäß dem Cyber Resilience Act beginnen am 11. September 2026.
• DORA-Durchsetzung ist aktiv: Vollständig anwendbar seit dem 17. Januar 2025, wobei die BaFin und andere nationale Aufsichtsbehörden im gesamten Jahr 2026 Prüfungen durchführen.

Der Bedrohungskontext, der diese Änderungen erforderlich machte

Die regulatorische Beschleunigung der EU im Frühjahr 2026 ist eine direkte Reaktion auf einen dokumentierten Anstieg von Angriffen auf europäische Institutionen und kritische Infrastrukturen. Die Datenpanne bei der Europäischen Kommission, die ersten EU-Cyber-Sanktionen des Jahres 2026 und das statistische Bild von ENISA und unabhängigen Incident-Respondern weisen alle in dieselbe Richtung: Die Bedrohung ist real, gezielt und andauernd.

Die Datenpanne bei der Europäischen Kommission (März 2026)

Der Angriff vom 24. März auf die AWS-gehostete Europa.eu-Plattform der Kommission ist das deutlichste aktuelle Beispiel für Cloud-Supply-Chain-Risiken. ShinyHunters — dieselbe Erpressergruppe hinter mehreren hochkarätigen Datendiebstahl-Kampagnen — behauptete, über 350 GB an Daten entwendet zu haben: E-Mail-Server-Dumps, Datenbanken, vertrauliche Dokumente und Verträge.

Ein 90-GB-Archiv erschien auf ihrer Darkweb-Leak-Seite. Die internen Systeme der Kommission waren nicht betroffen, aber der Vorfall legte eine strukturelle Schwachstelle offen: öffentlich zugängliche Cloud-Infrastruktur, die ohne die Zugangskontrollen und Credential-Hygiene betrieben wurde, die NIS2 und DORA vorschreiben sollen.

„Erste Erkenntnisse unserer laufenden Untersuchung deuten darauf hin, dass Daten von diesen Websites entwendet wurden. Die internen Systeme der Kommission waren von dem Cyberangriff nicht betroffen." — Pressemitteilung der Europäischen Kommission, 27. März 2026

Dies war die zweite Datenpanne der Kommission im Jahr 2026. Ein Vorfall im Februar hatte bereits die Mobile-Device-Management-Plattform kompromittiert, die zur Verwaltung der Mitarbeitergeräte verwendet wird. Zwei bedeutende Datenpannen in zwei Monaten bei einer einzigen Institution sind kein Zufall — sie spiegeln eine anhaltende, gezielte Angriffskampagne wider.

EU-Cyber-Sanktionen — 16. März 2026

Am 16. März 2026 verhängte der EU-Rat restriktive Maßnahmen gegen drei Unternehmen und zwei Einzelpersonen im Rahmen des EU-Cyber-Diplomatie-Instrumentariums — die ersten EU-Cyber-Sanktionen des Jahres.

Die sanktionierten Parteien:

• Integrity Technology Group (China): Lieferte Produkte, die zur Kompromittierung von über 65.000 Geräten in sechs EU-Mitgliedstaaten zwischen 2022 und 2023 verwendet wurden.
• Anxun Information Technology (China): Erbrachte Hacking-Dienstleistungen gegen kritische EU-Infrastrukturen. Zwei Mitgründer wurden individuell sanktioniert.
• Emennet Pasargad (Iran): Kompromittierte eine französische Abonnentendatenbank, manipulierte Werbetafeln während der Olympischen Spiele 2024 in Paris zur Verbreitung von Desinformation und kompromittierte einen schwedischen SMS-Dienst.

Alle gelisteten Unternehmen unterliegen Vermögenssperren. Die beiden Einzelpersonen unterliegen zusätzlich Reiseverboten. Das EU-Cyber-Sanktionsregime umfasst nun insgesamt 19 Einzelpersonen und 7 Unternehmen.

Der statistische Hintergrund

Laut dem Bericht ENISA Threat Landscape 2025 machten DDoS-Angriffe 77 % aller erfassten EU-Cybervorfälle aus, hauptsächlich getrieben von Hacktivistengruppen. Ransomware bleibt die operativ schädlichste Bedrohung: 81,1 % der Cybercrime-Vorfälle gegen EU-Organisationen betrafen Ransomware.

Die öffentliche Verwaltung war der am häufigsten angegriffene Sektor und repräsentierte 38 % aller Vorfälle. Staatlich unterstützte Gruppen intensivierten langfristige Spionagekampagnen gegen Telekommunikation, Logistik und Fertigung.

Das Bild der Incident-Responder vor Ort ist ebenso eindeutig. Der Eye Security Incident Report 2026 — basierend auf 630 Untersuchungen in den Benelux-Ländern und Deutschland — ergab, dass 70 % aller Fälle Business Email Compromise (BEC) waren. Noch aufschlussreicher: 62 % der klassifizierten Fälle seit Januar 2025 beinhalteten MFA-Umgehung. Angreifer brechen keine Verschlüsselung — sie stehlen oder umgehen Anmeldedaten. Das ist genau der Angriffsvektor, den NIS2, DORA und die DSGVO-Durchsetzung schließen sollen.

Die Datenpanne bei der Europäischen Kommission folgte einem gut dokumentierten Muster: kompromittierte Cloud-Anmeldedaten, kein Audit-Trail, keine Zugriffsgrenzen. Passwork bietet IT-Teams einen strukturierten Tresor mit rollenbasierter Zugriffskontrolle, granularen Berechtigungen und einem vollständigen Aktivitätsprotokoll — genau die Kontrollen, die NIS2 und DORA ausdrücklich fordern. Passwork kostenlos testen

NIS2-Änderungen: Was sich am 20. Januar 2026 geändert hat

Am 20. Januar 2026 schlug die Europäische Kommission Änderungen zu NIS2 vor, die sich auf Rechtssicherheit, vereinfachte Compliance und präzisierte Zuständigkeitsregeln konzentrieren. Der Vorschlag enthielt auch einen überarbeiteten Cybersecurity Act (CSA2), der das Mandat der ENISA erweitert und auf eine verpflichtende Cybersicherheitszertifizierung für Produkte und Dienste hinarbeitet, die in kritischen Sektoren eingesetzt werden.

Die drei praktischen Änderungen in NIS2

Die Änderungen adressieren drei Problemfelder, die im ersten Jahr der Umsetzung in den Mitgliedstaaten aufgetreten sind:

1. Klarheit bei der Zuständigkeit. Die Änderungen legen fest, welcher Mitgliedstaat die Aufsichtsbefugnis über grenzüberschreitend tätige Unternehmen hat — eine wesentliche Quelle der Compliance-Unsicherheit für multinationale Organisationen, die gleichzeitig in mehreren EU-Rechtsordnungen operieren.
2. Ransomware-Datenerfassung. Der Vorschlag standardisiert die Erfassung von Ransomware-bezogenen Vorfallsdaten in allen Mitgliedstaaten und ermöglicht so einen konsistenteren Austausch von Bedrohungsinformationen auf EU-Ebene.
3. Präzisierung des Anwendungsbereichs. Eine neue Kategorie „kleine mittelständische Unternehmen" passt die Schwellenwerte an, die bestimmen, ob Organisationen unter die Klassifizierung als wesentliche oder wichtige Einrichtung gemäß NIS2 fallen.

CSA2: Die bedeutendere strukturelle Veränderung

Die CSA2-Revision erweitert sowohl den sachlichen als auch den persönlichen Anwendungsbereich des EU-Cybersicherheitsrahmens. Die entscheidende Änderung: Die Zertifizierung für IKT-Produkte und -Dienste, die in kritischen Sektoren eingesetzt werden, wird von freiwillig auf verpflichtend umgestellt. Organisationen, die sich auf die aktuellen freiwilligen ENISA-Zertifizierungssysteme verlassen haben, müssen ihre Produktportfolios und Lieferantenverträge neu bewerten, sobald CSA2 verabschiedet wird — erwartet Ende 2026 oder 2027.

Deutschland: NIS2-Umsetzung ist bereits in Kraft

Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) trat am 6. Dezember 2025 in Kraft. Die BSI-Registrierungsfrist war der 6. März 2026. Ungefähr 30.000 Unternehmen in Deutschland fallen unter NIS2. Eine Umfrage von nis2-check.de ergab, dass 80 % der betroffenen Unternehmen ihre Pflichten nicht kannten (ADVISORI, Februar 2026). Das Gesetz führt mit §38 NIS2UmsuCG eine persönliche Haftung der Geschäftsleitung ein — ein Novum im deutschen Cybersicherheitsrecht.

NIS2-Meldepflichten bei Vorfällen

DORA: Durchsetzung beginnt 2026

DORA (Verordnung EU 2022/2554) ist seit dem 17. Januar 2025 unmittelbar anwendbar. Es ist kein nationales Umsetzungsgesetz erforderlich und keine Verschiebung möglich. Im Jahr 2026 führen nationale Aufsichtsbehörden, darunter die deutsche BaFin, aktive Prüfungen bei Finanzinstituten und deren IKT-Drittanbietern durch.

Für wen DORA gilt

DORA gilt für den gesamten Finanzsektor: Kreditinstitute, Versicherungsunternehmen, Wertpapierfirmen, Zahlungsdienstleister, Krypto-Asset-Dienstleister und — entscheidend — die IKT-Drittanbieter, die kritische Dienstleistungen für diese Unternehmen erbringen.

Ein Cloud-Anbieter, der Kernbanksysteme hostet, fällt ebenso unter DORA wie die Bank selbst. Die Reichweite der Verordnung erstreckt sich weit über traditionelle Finanzdienstleistungen hinaus.

Die fünf Compliance-Säulen

DORA organisiert seine Anforderungen in fünf Bereichen: IKT-Risikomanagement, Vorfallsmeldung, Tests der digitalen operationalen Resilienz, Drittanbieter-Risikomanagement und Informationsaustausch.

Die anspruchsvollste Anforderung ist das Threat-Led Penetration Testing (TLPT) — verpflichtend für systemrelevante Institute. TLPT erfordert spezialisierte Red Teams, die reale Angriffsszenarien auf Basis aktueller Bedrohungsinformationen simulieren, nicht generische Penetrationstest-Methoden.

Compliance-Lücken bleiben erheblich

Obwohl DORA seit über einem Jahr in Kraft ist, bleibt die Bereitschaft im Sektor unvollständig. Eine Veeam-Umfrage ergab, dass 96 % der EMEA-Finanzorganisationen glauben, ihre Resilienz verbessern zu müssen, um die DORA-Anforderungen zu erfüllen.

Eine Computerwoche-Umfrage ergab, dass 44 % der betroffenen Unternehmen erhebliche Umsetzungsprobleme melden. Spezifische Lücken: 24 % haben keinen DORA-Umsetzungsverantwortlichen benannt, und 23 % haben keine Tests der digitalen operationalen Resilienz durchgeführt.

Diese Zahlen bedeuten, dass BaFin-Prüfer auf Organisationen treffen, die grundlegende Bereitschaftsschritte nicht abgeschlossen haben — mit Durchsetzungskonsequenzen, die den Lizenzentzug einschließen, nicht nur Bußgelder.

Cyber Resilience Act: Die Frist im September 2026

Der Cyber Resilience Act trat am 10. Dezember 2024 in Kraft. Ab dem 11. September 2026 müssen Hersteller und Importeure digitaler Produkte aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle innerhalb von 24 Stunden an ENISA melden. Die vollständigen CRA-Anforderungen — einschließlich der Security-by-Design-Pflichten — gelten ab dem 11. Dezember 2027.

Was der Meilenstein September 2026 umfasst

Am 11. September treten zwei spezifische Pflichten in Kraft:

• Schwachstellenmeldung: Hersteller müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden nach Kenntnisnahme an ENISA melden.
• Vorfallsmeldung: Schwerwiegende Vorfälle mit Auswirkungen auf die Sicherheit digitaler Produkte müssen ebenfalls innerhalb von 24 Stunden an ENISA gemeldet werden.

Die vollständigen CRA-Anforderungen — Security by Design, Software Bill of Materials (SBOM), kontinuierliches Schwachstellenmanagement und CE-Kennzeichnung für digitale Produkte — gelten ab Dezember 2027. Organisationen, die bis Mitte 2026 nicht mit der Vorbereitung begonnen haben, werden Schwierigkeiten haben, diese Frist einzuhalten. Die maximale CRA-Geldstrafe beträgt 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

NIS2 vs. DORA vs. CRA vs. CSA2: Welche Verordnung gilt für Sie?

Das Lex-specialis-Prinzip bedeutet, dass sektorspezifische Verordnungen Vorrang vor allgemeinen haben. Finanzunternehmen, die DORA unterliegen, sind von bestimmten NIS2-Pflichten befreit, wenn DORA gleichwertige oder strengere Anforderungen stellt. Alle vier Verordnungen können sich bei großen Organisationen überschneiden, die sektorübergreifend tätig sind — ein Cloud-Anbieter, der Finanzinstitute bedient und gleichzeitig IoT-Hardware herstellt, kann Pflichten aus allen vier Verordnungen gleichzeitig unterliegen.

Verordnungsvergleich

Entscheidungsmatrix: Gilt diese Verordnung für Sie?

DORA verlangt dokumentierte Zugangskontrollen und Audit-Trails für alle privilegierten IKT-Konten. Passworks sichere Freigabe von Anmeldedaten und Aktivitätsprotokollierung bieten Compliance-Teams die Nachweisspur, nach der Prüfer fragen.

Praktische Compliance-Checkliste für Frühjahr/Sommer 2026

Da 62 % der EU-Cybervorfälle im Jahr 2025 MFA-Umgehung beinhalteten und 70 % als Business Email Compromise klassifiziert wurden, sind die dringendsten technischen Maßnahmen identitätsbezogen: MFA überall durchsetzen, privilegierten Zugang prüfen und die Exposition von Drittanbieter-Anmeldedaten bewerten. Regulatorische Compliance und operative Sicherheit weisen auf dieselben Kontrollen hin.

Sofortmaßnahmen (April – Juni 2026)

1. BSI-Registrierung abschließen (Deutschland), falls noch nicht erfolgt. Kontaktieren Sie das BSI umgehend und dokumentieren Sie den Versuch — auch wenn die Frist vom 6. März verstrichen ist, ist der Nachweis eines gutgläubigen Bemühens in Durchsetzungsverfahren relevant.
2. Eine NIS2-Auswirkungsanalyse durchführen. Ermitteln Sie, ob Ihre Organisation und ihre Tochtergesellschaften, Joint Ventures und kritischen Lieferanten unter die NIS2-Klassifizierung als wesentliche oder wichtige Einrichtung fallen.
3. Einen 24/72-Stunden-Vorfallsmeldeprozess etablieren. Weisen Sie klare Verantwortlichkeiten zu, erstellen Sie Meldevorlagen und testen Sie den Eskalationspfad vollständig, bevor ein Vorfall Sie zwingt, ihn zu nutzen.
4. MFA für alle Fernzugriffe und privilegierten Konten durchsetzen. Angesichts der Tatsache, dass 62 % der klassifizierten EU-Vorfälle MFA-Umgehung beinhalteten (Eye Security, 2026), ist dies die einzelne Maßnahme mit dem höchsten Return on Investment.
5. IKT-Drittanbieter prüfen. DORA verlangt vertragliche Sicherheitsverpflichtungen für alle kritischen IKT-Lieferanten. NIS2 verlangt Sicherheitsbewertungen der Lieferkette. Beide Verordnungen fordern dokumentierte Nachweise der Drittanbieter-Überwachung.
6. Eine Richtlinie für sicheres Credential-Management implementieren. Zentralisieren Sie das Passwort-Management für privilegierte Konten, um den Credential-Diebstahl-Vektor zu verhindern, der bei der ShinyHunters-Datenpanne genutzt wurde. Unverwaltete geteilte Anmeldedaten bleiben der häufigste Einstiegspunkt bei BEC- und Cloud-Konto-Kompromittierungsfällen.

Mittelfristige Maßnahmen (Juli – September 2026)

1. Auf die CRA-Meldepflichten vorbereiten (ab 11. September 2026). Etablieren Sie einen Prozess zur Schwachstellenoffenlegung, benennen Sie einen Ansprechpartner für ENISA-Meldungen und bestätigen Sie, dass Ihr Produktinventar genau widerspiegelt, welche Artikel als „digitale Produkte mit digitalen Elementen" qualifizieren.
2. Einen DORA-Resilienztest durchführen. Führen Sie mindestens eine Tabletop-Übung durch. Systemrelevante Institute müssen ein vollständiges TLPT mit einem qualifizierten Red Team planen, das auf Basis aktueller Bedrohungsinformationen arbeitet.
3. Mit der CSA2-Zertifizierungsbewertung beginnen. Identifizieren Sie, welche Produkte oder Dienstleistungen eine verpflichtende EU-Cybersicherheitszertifizierung gemäß CSA2 erfordern werden, und beauftragen Sie frühzeitig eine notifizierte Stelle — Zertifizierungszeiträume sind lang.
4. DSGVO-Compliance überprüfen. Der französische Conseil d'État bestätigte am 4. März 2026 eine DSGVO-Geldstrafe von 40 Millionen Euro gegen Criteo. Die Gesamtsumme der DSGVO-Bußgelder seit 2018 übersteigt nun 7,1 Milliarden Euro, wobei allein 2025 1,2 Milliarden Euro verhängt wurden (Kiteworks, März 2026). Die Datenschutzdurchsetzung befindet sich auf Höchstniveau — behandeln Sie sie als parallele Spur, nicht als separates Programm.

Fazit

Bedrohungs- und Regulierungskontext konvergieren. Das EU-Cybersicherheitsumfeld im Frühjahr 2026 ist durch gleichzeitige Verschärfung der Regulierung und Eskalation von Angriffen gekennzeichnet. Die Datenpanne bei der Europäischen Kommission und die ersten EU-Cyber-Sanktionen des Jahres sind keine isolierten Ereignisse — sie sind der Durchsetzungskontext für NIS2, DORA, CRA und CSA2.

Identitätssicherheit hat unmittelbare Priorität. Der Diebstahl von Anmeldedaten durch Cloud-Konto-Kompromittierung ist genau das, was die NIS2-Anforderung „angemessener technischer Maßnahmen" verhindern soll. Da 62 % der EU-Vorfälle im Jahr 2025 MFA-Umgehung beinhalteten, sind die Durchsetzung von MFA, die Prüfung privilegierter Zugriffe und die Zentralisierung des Credential-Managements grundlegende Kontrollen — solche, die gleichzeitig das Risiko einer Datenpanne reduzieren und die Anforderungen von NIS2, DORA und DSGVO erfüllen.

Die Fristen sind festgelegt. Die CRA-Meldepflicht am 11. September 2026 liegt sechs Monate entfernt. DORA-Prüfungen laufen. Die NIS2-Registrierung in Deutschland endete am 6. März. Organisationen, die Compliance als Dokumentationsübung statt als Sicherheitsverbesserungsprogramm behandeln, sind sowohl regulatorischen Strafen als auch operativen Risiken ausgesetzt.

Die gemeinsame Annahme in allen vier Rahmenwerken: Organisationen führen dokumentierte, prüfbare Kontrollen darüber, wer auf welche Anmeldedaten zugreift, wann und warum. Das ist der Ausgangspunkt für jedes ernsthafte Compliance-Programm — und die Baseline, an der Regulierungsbehörden prüfen werden.

Passwork ist ein selbst gehosteter Unternehmens-Passwort-Manager mit rollenbasierter Zugriffskontrolle, detaillierten Aktivitätsprotokollen und Zero-Knowledge-Verschlüsselung — vollständig innerhalb Ihrer eigenen Infrastruktur bereitgestellt. Er adressiert die Credential-Management-Kontrollen, die NIS2, DORA und DSGVO verlangen, in einem einzigen, prüfbaren System. Passwork kostenlos in Ihrer Infrastruktur testen

FAQ: EU-Cybersicherheitsverordnungen im Frühjahr 2026

Was hat sich im EU-Cybersicherheitsrecht im Frühjahr 2026 geändert?

Die Europäische Kommission schlug am 20. Januar 2026 Änderungen zu NIS2 und einen neuen Cybersecurity Act (CSA2) vor. Die CRA-Meldepflichten beginnen am 11. September 2026. DORA wird seit Januar 2025 aktiv durchgesetzt. Die EU verhängte am 16. März auch ihre ersten Cyber-Sanktionen des Jahres 2026 gegen chinesische und iranische Bedrohungsakteure.

Was ist der Unterschied zwischen NIS2 und DORA?

NIS2 ist eine breit angelegte Richtlinie, die 18 Sektoren abdeckt und sich auf Cybersicherheits-Risikomanagement und Vorfallsmeldung konzentriert. DORA ist eine speziell für den Finanzsektor geltende Verordnung mit tiefergehenden Anforderungen an IKT-Risikomanagement, Resilienztests und Drittanbieter-Überwachung. Das Lex-specialis-Prinzip bedeutet, dass DORA für Finanzunternehmen Vorrang hat, wenn seine Anforderungen strenger sind als die entsprechenden NIS2-Pflichten.

Welche Strafen drohen bei NIS2-Nichteinhaltung im Jahr 2026?

Wesentlichen Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Wichtigen Einrichtungen drohen Bußgelder von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes. Das deutsche NIS2-Umsetzungsgesetz (§38 NIS2UmsuCG) führt zudem eine persönliche Haftung der Geschäftsleitung ein — ein Novum im deutschen Cybersicherheitsrecht.

Wann tritt der Cyber Resilience Act in Kraft?

Der CRA trat am 10. Dezember 2024 in Kraft. Die verpflichtenden Meldepflichten für Schwachstellen und Vorfälle beginnen am 11. September 2026. Die vollständigen Security-by-Design-Anforderungen und CE-Kennzeichnungspflichten gelten ab dem 11. Dezember 2027. Organisationen, die die Vorbereitung bis Ende 2026 verschieben, werden einen komprimierten Zeitrahmen für die Frist 2027 haben.

Wer wurde im März 2026 unter den EU-Cyber-Sanktionen sanktioniert?

Am 16. März 2026 sanktionierte der EU-Rat Integrity Technology Group und Anxun Information Technology (beide mit Sitz in China) sowie Emennet Pasargad (mit Sitz im Iran) zusammen mit zwei chinesischen Einzelpersonen. Die Sanktionen umfassen Vermögenssperren; die beiden Einzelpersonen unterliegen zusätzlich Reiseverboten. Das EU-Cyber-Sanktionsregime umfasst nun insgesamt 19 Einzelpersonen und 7 Unternehmen.

Was ist der EU Cybersecurity Act 2 (CSA2)?

CSA2 ist die vorgeschlagene Überarbeitung des EU Cybersecurity Act, angekündigt am 20. Januar 2026. Er erweitert das Mandat der ENISA und führt eine verpflichtende Cybersicherheitszertifizierung für IKT-Produkte und -Dienstleistungen ein, die in kritischen Sektoren eingesetzt werden — und ersetzt damit das aktuelle freiwillige Zertifizierungsrahmenwerk für diese Kategorien. Erwartete Verabschiedung: Ende 2026 oder 2027.

Gilt NIS2 oder DORA für Cloud-Anbieter?

Ein Cloud-Anbieter, der kritische Dienstleistungen für Finanzinstitute erbringt, fällt als IKT-Drittanbieter unter DORA. Wenn derselbe Anbieter auch in einem der 18 NIS2-Sektoren mit den entsprechenden Größenschwellenwerten tätig ist, gilt NIS2 unabhängig davon. Die beiden Verordnungen können — und tun dies häufig — gleichzeitig für dieselbe Organisation gelten.

Was geschah bei der Datenpanne der Europäischen Kommission 2026?

Am 24. März 2026 verschafften sich Angreifer Zugang zu den AWS-Cloud-Konten der Europäischen Kommission, die die Europa.eu-Plattform hosten. Die Erpressergruppe ShinyHunters übernahm die Verantwortung und behauptete, über 350 GB an Daten entwendet zu haben, darunter Datenbanken, Verträge und vertrauliche Dokumente. Die Kommission bestätigte die Datenpanne am 30. März 2026.

NIS2-Passwortanforderungen: Was europäische Unternehmen 2026 tun müssen

Credential-Lücken sind 2026 der häufigste Grund für NIS2-Audit-Mängel. Dieser Leitfaden behandelt die Passwortanforderungen gemäß Artikel 21, die Ausrichtung an NIST SP 800-63B, AD-Härtungsschritte und die Audit-Nachweise, nach denen Regulierungsbehörden zuerst fragen.

Passwork BlogAlex Muntyan

Passwort-Manager-Bereitstellungsmodelle: Cloud, Self-Hosted & Hybrid

Die Wahl, wo Sie Ihren Passwort-Manager betreiben, ist ebenso wichtig wie die Wahl, welchen Sie verwenden. Dieser Leitfaden schlüsselt Cloud-, Self-Hosted- und Hybrid-Bereitstellung auf — mit einer Compliance-Matrix für DSGVO, HIPAA und NIS2 sowie einem klaren Blick auf die Kompromisse jedes Modells.

Passwork BlogAlex Muntyan

Was ist ein Passkey? Leitfaden zur passwortlosen Authentifizierung

Ein Passkey ist ein phishing-resistentes Credential, das auf Ihrem Gerät gespeichert wird. Melden Sie sich mit einem biometrischen Tippen an — kein Passwort zum Merken oder Stehlen. Dieser Leitfaden behandelt die technischen Mechanismen, die Plattformeinrichtung, reale Leistungsdaten und was der Übergang für Unternehmensteams bedeutet.

Passwork BlogAlex Muntyan