Diese Woche stehen insbesondere Datenschutzdurchsetzung, KI-Governance und Resilienzanforderungen im Fokus. Der EDPB startet eine koordinierte Durchsetzungsmaßnahme zu Transparenzpflichten, während europäische Institutionen ihre Positionen zur Weiterentwicklung der KI-Regulierung weiter konkretisieren. Parallel bringen neue gesetzliche Vorgaben – insbesondere das KRITIS-Dachgesetz – zusätzliche Anforderungen an die physische Resilienz kritischer Infrastrukturen.
Auch im Finanz- und Außenwirtschaftsbereich zeigen sich operative Anpassungen: von neuen technischen Standards und Validierungsregeln über datenbasierte Aufsicht bis hin zu erweiterten Möglichkeiten in der Exportkontrolle durch die Neubekanntgabe der Allgemeinen Genehmigung 48.
Inhaltsverzeichnis
- 1. EDPB: Coordinated Enforcement Action 2026 zu Transparenzpflichten
- 2. EDPB/EDPS: Gemeinsame Stellungnahme zu Cybersecurity Act 2 und Änderungen der NIS-2-Richtlinie
- 3. EBA: Anpassung technischer Standards zu Fristen im Zulassungsprozess
- 4. ESMA: Ausnahme für Directors & Officers bei bestimmten Emittenten bestätigt
- 5. BSI: Neue Ansätze zur Cybersicherheit durch Sensorik
- 6. EDPS: Rolle im AI Act – Leitlinien für vertrauenswürdige KI in Behörden
- 7. BfDI: KI-Reallabor für Datenschutz und Innovation abgeschlossen
- 8. EBA: Aktualisierte Validierungsregeln für Meldewesen
- 9. KRITIS-Dachgesetz: Neue Pflichten zur physischen Resilienz kritischer Anlagen
- 10. AMLA: Datenerhebung zur Weiterentwicklung von Risikoanalysen
- 11. EU: Neue Sanktionsmaßnahmen gegen Cyberakteure
- 12. Rat der EU: Vereinfachung der KI-Regeln (AI Act)
- 13. BAFA: Neubekanntgabe der Allgemeinen Genehmigung Nr. 48
- Die wichtigsten Compliance-Meldungen jetzt jede Woche kostenlos erhalten
1. EDPB: Coordinated Enforcement Action 2026 zu Transparenzpflichten
Anwendbar für: Datenschutz, Compliance, Plattformbetreiber, datenverarbeitende Unternehmen
Relevante Maßnahmen:
- Transparenzinformationen und Datenschutzhinweise auf Vollständigkeit und Verständlichkeit prüfen.
- Informationspflichten entlang der gesamten Datenverarbeitung konsistent umsetzen.
- Dokumentation und Nachweise für Aufsichtsanfragen vorbereiten.
2. EDPB/EDPS: Gemeinsame Stellungnahme zu Cybersecurity Act 2 und Änderungen der NIS-2-Richtlinie
Anwendbar für: IT-Security, Datenschutz, KRITIS, Compliance, digitale Dienste
Relevante Maßnahmen:
- Schnittstellen zwischen Cybersecurity- und Datenschutzanforderungen (insbesondere NIS2) überprüfen und konsistent ausgestalten.
- Auswirkungen geplanter Änderungen auf Meldepflichten, Sicherheitsmaßnahmen und Governance analysieren.
- Prozesse für Sicherheitsvorfälle und Datenverarbeitung enger verzahnen (Incident Response & Datenschutz).
3. EBA: Anpassung technischer Standards zu Fristen im Zulassungsprozess
Anwendbar für: Banken, Zahlungsinstitute, Zulassungsmanagement, Compliance
Relevante Maßnahmen:
- Zulassungsprozesse und Timelines an verkürzte Fristen anpassen.
- interne Abstimmungs- und Dokumentationsprozesse beschleunigen.
- Ressourcenplanung für regulatorische Anträge überprüfen.
4. ESMA: Ausnahme für Directors & Officers bei bestimmten Emittenten bestätigt
Anwendbar für: Emittenten, Corporate Governance, Compliance, Kapitalmarkt
Relevante Maßnahmen:
- Relevanz der Ausnahme für eigene Unternehmensstruktur prüfen.
- Insider- und Meldepflichtprozesse entsprechend anpassen.
- Governance- und Dokumentationspflichten aktualisieren.
5. BSI: Neue Ansätze zur Cybersicherheit durch Sensorik
Anwendbar für: IT-Security, KRITIS, SOC, Risiko- und Sicherheitsmanagement
Relevante Maßnahmen:
- Möglichkeiten zur früheren Angriffserkennung (z. B. durch erweiterte Monitoring-Ansätze) prüfen und bestehende Detection-Strategien weiterentwickeln.
- Security Operations (SOC) und Incident Detection im Hinblick auf neue Angriffsmuster stärken.
- Relevanz neuer Technologien für die eigene Cyber-Resilienz-Strategie bewerten und in Roadmaps berücksichtigen.
6. EDPS: Rolle im AI Act – Leitlinien für vertrauenswürdige KI in Behörden
Anwendbar für: Öffentliche Stellen, KI-Governance, Datenschutz, IT
Relevante Maßnahmen:
- KI-Governance an Anforderungen des AI Act ausrichten.
- Risikobewertung und Kontrolle von KI-Systemen stärken.
- Transparenz- und Rechenschaftspflichten implementieren.
7. BfDI: KI-Reallabor für Datenschutz und Innovation abgeschlossen
Anwendbar für: KI-Entwicklung, Datenschutz, Innovationsteams, Compliance
Relevante Maßnahmen:
- KI-Projekte frühzeitig datenschutzrechtlich begleiten.
- Testumgebungen für datenschutzkonforme KI entwickeln.
- Austausch mit Aufsichtsbehörden in Innovationsprojekten nutzen.
8. EBA: Aktualisierte Validierungsregeln für Meldewesen
Anwendbar für: Meldewesen, Finance, Risk, IT
Relevante Maßnahmen:
- Reporting-Systeme an neue Validierungsregeln anpassen.
- Datenqualität und Konsistenzprüfungen stärken.
- Abstimmprozesse zwischen Fachbereichen optimieren.
9. KRITIS-Dachgesetz: Neue Pflichten zur physischen Resilienz kritischer Anlagen
Anwendbar für: Betreiber kritischer Anlagen (u. a. Energie, Transport, Finanzwesen, IT/Telekommunikation, Gesundheit, Wasser)
Relevante Maßnahmen:
- Prüfen, ob eigene Systeme/Services als kritische Anlage eingestuft werden
- Bestehende BCM-, Sicherheits- und Notfallkonzepte mit den neuen Anforderungen abgleichen
- Aufbau eines integrierten Resilienz- und Meldeprozesses (inkl. 24h-Frist!)
- Verantwortlichkeiten auf Managementebene klar zuweisen
10. AMLA: Datenerhebung zur Weiterentwicklung von Risikoanalysen
Anwendbar für: Finanzinstitute, AML, Risiko, Compliance
Relevante Maßnahmen:
- Datenbereitstellung und Reportingprozesse überprüfen.
- Risikoanalysemodelle an europäische Anforderungen angleichen.
- Governance für AML-Daten stärken.
11. EU: Neue Sanktionsmaßnahmen gegen Cyberakteure
Anwendbar für: Compliance, Sanktionsscreening, IT-Security, Third-Party Risk Management, Finanzinstitute
Relevante Maßnahmen:
- Sanktionslisten und Screeningprozesse um neu gelistete Personen und Organisationen im Cyberkontext aktualisieren.
- Geschäftsbeziehungen und Transaktionen auf mögliche Bezüge zu gelisteten Cyberakteuren prüfen.
- Third-Party- und Lieferkettenrisiken im Hinblick auf Cyberbedrohungen und sanktionierte Akteure neu bewerten.
12. Rat der EU: Vereinfachung der KI-Regeln (AI Act)
Anwendbar für: KI-Anbieter, Plattformen, Compliance, Legal
Relevante Maßnahmen:
- KI-Compliance-Programme auf mögliche Vereinfachungen prüfen.
- Anforderungen für Hochrisiko-KI evaluieren.
- Gesetzgebungsprozess eng verfolgen.
13. BAFA: Neubekanntgabe der Allgemeinen Genehmigung Nr. 48
Anwendbar für: Exportkontrolle, Außenwirtschaft, Compliance, Unternehmen mit Dual-Use- und Rüstungsgüterbezug
Relevante Maßnahmen:
- Exportvorgänge systematisch darauf prüfen, ob Standardisierungen durch AGG 48 genutzt werden können, um Einzelgenehmigungen zu reduzieren.
- Kontrollmechanismen für genehmigungsfreie bzw. pauschal genehmigte Exporte (inkl. Länder- und Güterprüfung) schärfen.
- Schnittstellen zwischen Exportkontrolle, Vertrieb und Logistik anpassen, um AGG-Nutzung konsistent und auditfähig umzusetzen.
Die wichtigsten Compliance-Meldungen jetzt jede Woche kostenlos erhalten
Bereits viele Compliance-Beauftragte nutzen unseren kostenlosen Service und erhalten die wichtigsten Neuigkeiten aus den Bereichen Compliance, Geldwäscheprävention, Datenschutz und IT-Sicherheit. Wir geben wöchentlich einen Überblick über die wichtigsten Meldungen und ordnen diese ein.
Möchten Sie täglich auf dem aktuellen Stand sein?
Mit unserer Legal Risk Monitoring Software erhalten Sie Zugriff auf alle Meldungen und können diese nach Relevanz, Art und Bereich filtern. Sie können Zusammenfassungen erstellen und herunterladen. Sprechen Sie uns an.
Kontaktieren Sie uns für ein kostenfreies Erstberatungsgespräch.
Wir wünschen Ihnen eine erfolgreiche Woche.
Ihr Team von Riscreen