Regierungen weltweit verschärfen die Regeln für Unternehmen, und die Fristen rücken näher.
Australien und Großbritannien ziehen die Zügel an
Das Australian Cyber Security Centre hat am 12. Juli 2026 eine öffentliche Konsultation zur Weiterentwicklung seines „Essential Eight“-Rahmenwerks abgeschlossen. Die geplanten Updates sollen die Vorgaben enger an das nationale Informationssicherheitshandbuch anbinden – mit dem Ziel, einheitliche Standards für Unternehmens-IT zu schaffen.
Noch einen Schritt weiter geht Großbritannien: Ab dem 13. Juli 2026 tritt dort das „Critical Third Parties“-Regime in Kraft. Damit unterziehen die Behörden die systemrelevanten Dienste großer Technologiekonzerne wie AWS, Google Cloud, Microsoft und Oracle einer strengen Aufsicht. Zwar bleiben die einzelnen Unternehmen für ihre eigenen Drittanbieter-Verträge verantwortlich, doch meldepflichtige Vorfälle müssen künftig innerhalb von 24 Stunden gemeldet werden. Bereits am 7. Juli hatte das Vereinigte Königreich den „Cyber Resilience Pledge“ gestartet, der die Cybersicherheit zur Chefsache macht und risikobasierte Bewertungen entlang der gesamten Lieferkette vorschreibt.
EU setzt auf Sicherheit von der Stange
In Europa steht der Cyber Resilience Act (CRA) im Mittelpunkt. Die Verordnung (EU) 2024/2847 schreibt vor, dass vernetzte Produkte von Grund auf sicher sein müssen. Die vollständige Compliance ist erst für Ende 2027 vorgeschrieben, doch für deutsche Unternehmen tickt die Uhr bereits jetzt: Ab dem 11. September 2026 greifen spezifische Meldepflichten für ausgenutzte Sicherheitslücken. Betroffene Firmen müssen eine Erstmeldung innerhalb von 24 Stunden abgeben, einen detaillierten Bericht nach 72 Stunden und eine Abschlussmeldung nach 14 Tagen. Bei Verstößen drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes. Branchenkreisen zufolge sind bislang nur 13 Prozent der deutschen Unternehmen vollständig über diese Anforderungen informiert.
Parallel dazu treibt die EU den AI Act voran: Ab dem 2. August 2026 gelten Transparenzpflichten für Hochrisiko-KI-Systeme. Anbieter müssen Risikobewertungen durchführen, Entwicklungsprozesse dokumentieren und Vorfälle melden. Der Branchenverband CCIA Europe begrüßt zwar den Fokus der EU-Kommission auf technische Sicherheitsstandards, warnt jedoch vor protektionistischen Kriterien, die bestimmte internationale Anbieter ausschließen könnten.
Ab dem 11. September 2026 greifen die Meldepflichten des Cyber Resilience Act – mit Bußgeldern bis zu 15 Millionen Euro. Dieser kostenlose Report liefert Ihnen eine Compliance-Checkliste, einen Notfallplan für die 24h-Meldepflicht und ein Schritt-für-Schritt-Audit. Jetzt CRA-Compliance-Report anfordern
Vietnam und die USA: Neue Gesetze in Kraft
In Vietnam ist das Cybersecurity Law 2025 seit dem 1. Juli 2026 in Kraft. Es verbietet strikt den Einsatz von KI zur Erstellung von Falschinformationen oder zur Anstiftung von Unruhen. Die Strafen für die Verbreitung falscher Nachrichten in sozialen Medien liegen zwischen 20 und 70 Millionen Vietnamesischen Dong (umgerechnet etwa 750 bis 2.600 Euro). Das Gesetz zielt darauf ab, den Schutz personenbezogener Daten zu stärken und Cyberkriminalität zu bekämpfen.
In den Vereinigten Staaten hat ein Anfang Juni erlassenes Weißes-Haus-Exekutivdekret die bundesstaatliche Aufsicht über fortgeschrittene Künstliche Intelligenz ausgeweitet. Es richtet eine KI-Cybersicherheits-Koordinierungsstelle ein und priorisiert die Strafverfolgung von KI-gestützter Cyberkriminalität. Auf Bundesstaatenebene ist New York der erste Staat, der Cybersicherheitsvorgaben für öffentliche Wassersysteme mit mehr als 3.300 versorgten Personen vorschreibt. Die spezifischen Anforderungen an Betriebstechnologie treten am 1. Januar 2027 in Kraft.
Industrieanlagen und kritische Infrastrukturen im Visier
Während nur 13% der deutschen Firmen über die CRA-Anforderungen informiert sind, tickt die Uhr: Ab September müssen Sicherheitslücken innerhalb von 24 Stunden gemeldet werden. Unser Report zeigt Ihnen, wie Sie die Fristen einhalten und Bußgelder vermeiden. 24h-Meldeplan jetzt sichern
Der Trend zu verbindlichen Standards erfasst zunehmend auch die Betriebstechnologie (OT) und das industrielle Internet der Dinge (IIoT). Die NIS2-Richtlinie verpflichtet Führungsetagen zur aktiven Überwachung des Cybersicherheitsrisikomanagements. Standards wie ISA/IEC 62443 für Netzwerksegmentierung und NIST SP 800-82 für Systemverfügbarkeit werden zum Maßstab für Compliance-Strategien.
In Regionen mit noch im Aufbau befindlichen Regelwerken, etwa im Irak, ebnen sektorspezifische Vorschriften von Zentralbanken und Telekommunikationskommissionen den Weg für ein geplantes nationales Cybersicherheitsgesetz. Zu den erwarteten Vorgaben gehören 72-stündige Meldefristen für Vorfälle, Datenlokalisierungspflichten sowie die Einführung von Multi-Faktor-Authentifizierung und Angriffserkennungssystemen.

