Die regulatorische Kollision 2026: NIS2, DORA und der EU AI Act gleichzeitig bewältigen
Compliance & Regulation

Die regulatorische Kollision 2026: NIS2, DORA und der EU AI Act gleichzeitig bewältigen

Admin User
·
May 21, 2026
·
14 min read

Drei Verordnungen, ein sehr stressiges Jahr

Wenn Sie derzeit als CISO, DSB oder Compliance-Beauftragter in Luxemburg tätig sind, wirkt Ihr Kalender für das zweite Halbjahr 2026 einschüchternd. Drei der folgenreichsten EU-Regelwerke einer Generation fordern gleichzeitig Aufmerksamkeit:

  • NIS2 — Die Durchsetzung nimmt in allen EU-Mitgliedstaaten Fahrt auf, und die ersten Verwaltungsmaßnahmen werden erwartet, sobald die nationalen Behörden ihren Aufsichtsapparat aufgebaut haben. Bußgelder können EUR 10 Millionen oder 2 % des globalen Jahresumsatzes erreichen, und die Unternehmensleitung kann nun persönlich für systemisches Fehlverhalten haftbar gemacht werden.
  • DORA — Die vollständige Durchsetzung gilt seit dem 17. Januar 2025. Die aufsichtliche Prüfung Luxemburger Finanzunternehmen verschärft sich 2026. Branchenumfragen zeigen durchgängig, dass ein erheblicher Teil der Institute die IKT-Risikomanagementanforderungen noch nicht vollständig erfüllt, und noch weniger verfügen über ein ausgereiftes Programm zur Prüfung der digitalen operationellen Resilienz.
  • EU AI Act — Die vollständige Anwendung beginnt am 2. August 2026. Hochrisiko-KI-Systeme unterliegen strengen Anforderungen an Data Governance, Transparenz und Prüfung. Verstöße können mit Bußgeldern von bis zu 7 % des globalen Jahresumsatzes geahndet werden.

Keine dieser Fristen kann aufgeschoben werden. Keine der Sanktionen ist theoretischer Natur. Und Organisationen, die jedes Regelwerk als separaten Workstream behandeln, werden erhebliche Ressourcen verschwenden, indem sie Aufwand doppeln, der über alle drei Bereiche hinweg stark überlappt.

Dieser Artikel bietet Ihnen einen praxisnahen Rahmen für den Umgang mit dieser Kollision: wo Sie zuerst ansetzen sollten, welche Anforderungen die Regelwerke teilen und wie Sie ein Compliance-Programm aufbauen, das alle drei Verordnungen adressiert, ohne Ihr Budget zu verdreifachen.

Die Einsätze: Was Nicht-Compliance wirklich kostet

Bevor wir die Priorisierung besprechen, hilft ein konkreter Blick auf die Risikoexposition. Hier ist, was jede Verordnung für ein mittelgroßes Luxemburger Unternehmen auf dem Spiel stellt.

NIS2

Die NIS2-Richtlinie gilt für Organisationen in wesentlichen und wichtigen Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung und weitere. In Luxemburg setzen die national zuständigen Behörden (ILR für Telekommunikation und digitale Infrastruktur, CSSF für Finanzmarktunternehmen) die Vorschriften aktiv durch.

Die Eckzahlen:

  • Wesentliche Einrichtungen: Bis zu EUR 10 Millionen oder 2 % des globalen Jahresumsatzes, je nachdem, welcher Betrag höher ist.
  • Wichtige Einrichtungen: Bis zu EUR 7 Millionen oder 1,4 % des globalen Jahresumsatzes.
  • Persönliche Haftung: Leitungsorgane können bei anhaltender Nicht-Compliance vorübergehend von der Ausübung von Leitungsfunktionen ausgeschlossen werden.

Dort, wo Behörden ihre Durchsetzungsschwerpunkte signalisiert haben, sind die wiederkehrenden Themen Versäumnisse bei der Vorfallsmeldung — Organisationen, die erhebliche Sicherheitsvorfälle erleiden und die Behörden nicht innerhalb des 24-Stunden-Frühwarnfensters benachrichtigen — sowie Governance-Defizite: kein dokumentiertes Risikomanagement-Framework, keine auf Vorstandsebene zugewiesene Sicherheitsverantwortung.

DORA

DORA gilt für von der CSSF beaufsichtigte Finanzunternehmen: Banken, Wertpapierfirmen, Versicherungsunternehmen, Zahlungsinstitute, Anbieter von Krypto-Asset-Dienstleistungen und Verwaltungsgesellschaften, unter anderem. Es schafft auch verbindliche Pflichten für IKT-Drittanbieter, die diese Unternehmen bedienen.

Die Compliance-Landschaft ein Jahr nach der vollständigen Durchsetzung ist uneinheitlich. Die am häufigsten genannten Lücken im gesamten Sektor:

  • IKT-Drittanbieter-Risikomanagement: Viele Unternehmen haben kein vollständiges Register ihrer IKT-Dienstleister erstellt, kein Konzentrationsrisiko bewertet und keine Vertragsklauseln eingeführt, die den Mindestanforderungen von DORA entsprechen. Dies gehört zu den größten Lücken über alle Sektoren hinweg.
  • Prüfung der digitalen operationellen Resilienz: Ein großer Teil der Unternehmen hat noch kein strukturiertes Testprogramm implementiert. Threat-Led Penetration Testing (TLPT), das für bedeutende Unternehmen vorgeschrieben ist, befindet sich bei vielen noch in einem frühen Stadium.
  • Klassifizierung und Meldung IKT-bezogener Vorfälle: Viele Unternehmen haben nicht definiert, was gemäß DORA einen „schwerwiegenden IKT-Vorfall" darstellt, geschweige denn die Meldeworkflows eingerichtet, um die CSSF innerhalb der vorgeschriebenen Fristen zu benachrichtigen.

Über direkte Bußgelder hinaus sind die Reputations- und Betriebsfolgen eines schwerwiegenden Vorfalls während der Nicht-Compliance erheblich. Angriffe auf europäische Organisationen in den vergangenen Jahren haben wiederholt gezeigt, dass lokale Unternehmen nicht immun gegen die Bedrohungen sind, die DORA einzudämmen sucht.

EU AI Act

Die vollständige Anwendung am 2. August 2026 bedeutet, dass alle bereits im Einsatz befindlichen Hochrisiko-KI-Systeme compliant sein müssen. Zu Hochrisiko-Systemen zählen solche, die in kritischer Infrastruktur, bei Beschäftigungsentscheidungen, in der Kreditbewertung, bei der biometrischen Identifizierung und in der Strafverfolgung eingesetzt werden. Die meisten großen Luxemburger Finanzinstitute betreiben mindestens ein KI-System, das diese Kriterien erfüllt.

Die Pflichten sind umfangreich:

  • Konformitätsbewertungen und CE-Kennzeichnung für erfasste Systeme
  • Detaillierte technische Dokumentation und Protokollierungspflichten
  • Mechanismen zur menschlichen Aufsicht
  • Data-Governance-Anforderungen für Trainings- und Validierungsdaten
  • Meldepflichten bei Vorfällen, die sich mit DORA und NIS2 überschneiden

Bußgelder von bis zu 7 % des globalen Umsatzes für verbotene KI-Anwendungen und 3 % für die Übermittlung unrichtiger Informationen an Aufsichtsbehörden machen den AI Act potenziell zur teuersten Einzelverletzung der drei Regelwerke.

Die Überlappungskarte: Wo ein Programm alle drei bedient

Die gute Nachricht — und es gibt echte gute Nachrichten — ist, dass NIS2, DORA und der AI Act erhebliche gemeinsame Grundlagen teilen. Ein gut konzipiertes Compliance-Programm kann alle drei effizienter adressieren als drei separate Workstreams. Hier sind die wertvollsten Überschneidungen.

1. IKT-Risikomanagement-Framework

Alle drei Verordnungen verlangen ein dokumentiertes, vom Vorstand genehmigtes IKT-Risikomanagement-Framework. Die Struktur unterscheidet sich in der Gewichtung, nicht aber im Kern:

  • NIS2 verlangt Risikomanagementmaßnahmen für Netzwerksicherheit, Zugangskontrolle, Kryptografie, Lieferkettensicherheit und Vorfallsbehandlung.
  • DORA Artikel 5–16 legen ein detailliertes IKT-Risikomanagement-Framework mit expliziten Anforderungen an Governance, Risikoidentifikation, Schutz, Erkennung, Reaktion und Wiederherstellung fest.
  • Der AI Act verlangt Risikomanagementsysteme für Hochrisiko-KI, einschließlich kontinuierlicher Risikobewertung und -minderung.

Ein einziges, umfassendes IKT-Risikomanagement-Framework — aufgebaut nach dem detaillierteren Maßstab von DORA — erfüllt die Risikomanagementpflichten aller drei Regelwerke. Bauen Sie keine drei separaten Frameworks. Bauen Sie eines und ordnen Sie die regulierungsspezifischen Anforderungen als Zusatzschichten zu.

Wir empfehlen, ISO 27001 oder NIST CSF 2.0 als strukturelles Rückgrat zu verankern und die regulierungsspezifischen Anforderungen dann als Overlays auf das Framework abzubilden. Dies sichert das Programm auch gegen künftige Regelwerke ab (EU Cybersecurity Act, CRA und eIDAS 2.0 verwenden alle ähnliche Frameworks).

2. Drittanbieter- und Lieferkettenrisiko

Das Drittanbieterrisiko ist der Bereich, in dem die meisten Organisationen am weitesten zurückliegen und wo das Risiko am akutesten ist. Lieferkettenkompromittierungen haben wiederholt gezeigt, dass die Sicherheitslage einer Organisation nur so stark ist wie die ihrer Anbieter — was das Drittanbieterrisiko zu einem Vorstandsthema macht, nicht zu einer IT-Fußnote.

  • DORA: Verlangt ein vollständiges Register der IKT-Drittanbieter, Risikobewertungen für jeden und Vertragsklauseln einschließlich Prüfrechten, Exit-Strategien und Offenlegung von Unterauftragnehmern.
  • NIS2: Verlangt von Organisationen, die Sicherheit in Lieferketten zu managen, einschließlich der Sicherheitspraktiken direkter Lieferanten und Dienstleister.
  • AI Act: Verlangt die Dokumentation der Datenprovenienz und von Drittanbieter-Modellkomponenten, die in Hochrisiko-KI-Systemen verwendet werden.

Ein einheitliches Third-Party Risk Management (TPRM)-Programm — mit Lieferanteninventar, standardisierten Bewertungsfragebögen und vertraglichen Standards — adressiert alle drei gleichzeitig. Beginnen Sie mit Ihren 20 wichtigsten IKT-Anbietern nach Ausgaben und Kritikalität. Bauen Sie von dort aus aus.

3. Erkennung, Klassifizierung und Meldung von Vorfällen

Jede Verordnung schreibt Vorfallsmeldungen vor, und jede verwendet leicht unterschiedliche Schwellenwerte und Fristen. Die Überschneidung ist groß genug, dass ein einziger Incident-Management-Prozess — mit einer Zuordnungsschicht, die identifiziert, welche Verordnung(en) für einen bestimmten Vorfall gelten — sowohl erreichbar als auch ratsam ist.

Verordnung Erstmeldung Vollständiger Bericht Behörde
NIS2 24 Stunden (Frühwarnung) 72 Stunden (Vorfallsmeldung), 30 Tage (Abschlussbericht) ILR / Sektorbehörde
DORA 4 Stunden (Erstmeldung bei schwerwiegenden Vorfällen) 72 Stunden (Zwischenbericht), 30 Tage (Abschlussbericht) CSSF
AI Act Meldung schwerwiegender Vorfälle: unverzüglich Durch Durchführungsrechtsakte geregelt Nationale Marktüberwachungsbehörde

Die praktische Konsequenz: Ihr Incident-Response-Team muss zum Zeitpunkt der Erkennung wissen, welche Verordnungen durch die Vorfallsart ausgelöst werden. Klassifizierungstaxonomien — die Vorfallstypen regulatorischen Pflichten zuordnen — sollten in Ihre Incident-Response-Playbooks eingebettet sein, nicht unter dem Druck eines aktiven Vorfalls ad hoc erarbeitet werden.

4. Governance und Verantwortlichkeit auf Vorstandsebene

Alle drei Verordnungen legen die Verantwortung explizit auf Vorstands- oder Geschäftsleitungsebene. NIS2 erlaubt die persönliche Sanktionierung von Leitungsorganen. DORA verlangt, dass Leitungsorgane das IKT-Risikomanagement definieren, genehmigen und beaufsichtigen. Der AI Act verlangt eine hochrangige menschliche Aufsicht über Entscheidungen von Hochrisiko-KI-Systemen.

Dies ist ein struktureller Wandel gegenüber früheren Frameworks, bei denen Cybersicherheit vollständig an die IT-Abteilung delegiert werden konnte. Vorstände benötigen: einen namentlich benannten Verantwortlichen für Cybersicherheit und digitale Resilienz; regelmäßige Berichte über die Risikolage und Vorfälle; dokumentierte Nachweise der Aufsicht (Vorstandsprotokolle, Berichte des Prüfungsausschusses); sowie Schulungen zu den für die Organisation geltenden regulatorischen Pflichten.

5. Prüfung und Assurance

Sowohl DORA als auch NIS2 verlangen von Organisationen, ihre Sicherheitskontrollen zu testen — nicht nur zu behaupten. DORA schreibt ein strukturiertes Programm vor, das Schwachstellenbewertungen, szenariobasierte Tests und TLPT für bedeutende Unternehmen umfasst. NIS2 erwartet von Organisationen, die Wirksamkeit ihrer Sicherheitsmaßnahmen regelmäßig zu überprüfen.

Ein einheitlicher Testkalender — mit Schwachstellenbewertungen, Penetrationstests und Tabletop-Übungen — erfüllt beide Frameworks und bietet echte Sicherheit statt bloßer Checkbox-Compliance. Für DORA-bedeutende Unternehmen sollte die TLPT-Vorbereitung jetzt beginnen: Die Vorlaufzeit für ein TLPT-Engagement (Suche nach einem akkreditierten Bedrohungsanalyseanbieter, Scoping, Durchführung und Erstellung des Abschlussberichts) beträgt typischerweise 9–12 Monate.

Ein praxisnaher Priorisierungsrahmen

Da die meisten Organisationen nicht alles gleichzeitig angehen können, empfehlen wir folgende Priorisierung. Der Rahmen basiert auf regulatorischer Dringlichkeit, Bußgeldexposition und Implementierungsvorlaufzeit.

Sofortige Priorität — Jetzt handeln

  1. Governance-Verantwortlichkeit zuweisen. Benennen Sie den verantwortlichen Vorstand. Setzen Sie Cybersicherheit und digitale Resilienz auf die Vorstandsagenda. Dokumentieren Sie es. Dies ist die einzelne Maßnahme, die am wahrscheinlichsten sofort die persönliche Haftungsexposition reduziert.
  2. Workflows für Vorfallsmeldungen einrichten. Definieren Sie, was gemäß jeder anwendbaren Verordnung einen meldepflichtigen Vorfall darstellt. Bauen Sie die interne Benachrichtigungskette auf. Testen Sie sie mit einer Tabletop-Übung. Sie können es sich nicht leisten, Prozesslücken erst bei einem tatsächlichen Vorfall zu entdecken.
  3. DORA IKT-Drittanbieterinventar vervollständigen. Wenn Sie ein von der CSSF beaufsichtigtes Institut sind, sollte Ihr IKT-Drittanbieterregister bereits existieren. Falls nicht, beginnen Sie diese Woche damit. Das IKT-Drittanbieterregister gehört zu den Punkten, die Aufsichtsbehörden am wahrscheinlichsten prüfen werden.
  4. KI-Systeme inventarisieren. Identifizieren Sie vor dem 2. August alle im Einsatz befindlichen KI-Systeme in der gesamten Organisation. Klassifizieren Sie jedes nach den Risikokategorien des AI Act. Hochrisiko-Systeme benötigen Konformitätsbewertungsarbeiten, die nicht in wenigen Tagen abgeschlossen werden können.

Kurzfristig — Innerhalb von 90 Tagen

  1. Formelle Gap-Analyse gegenüber allen drei Verordnungen durchführen. Ordnen Sie Ihre aktuellen Kontrollen den Anforderungen von NIS2, DORA und dem AI Act zu. Identifizieren Sie die Lücken mit dem höchsten Risiko. Priorisieren Sie die Behebung nach Bußgeldexposition und Wahrscheinlichkeit der Prüferaufmerksamkeit.
  2. IKT-Risikomanagement-Framework aufbauen oder aktualisieren. Verwenden Sie DORA Artikel 5–16 als Vorlage. Ordnen Sie die Anforderungen von NIS2 und AI Act derselben Struktur zu.
  3. Drittanbieterrisiko-Behebung einleiten. Beginnen Sie mit Ihren 20 wichtigsten Anbietern. Versenden Sie Risikobewertungsfragebögen. Identifizieren Sie Verträge ohne die erforderlichen Klauseln. Verhandeln Sie nach oder akzeptieren Sie dokumentierte Risiken, wo kurzfristige Nachverhandlungen nicht möglich sind.
  4. Schwachstellenbewertung beauftragen. Verstehen Sie Ihre tatsächliche Sicherheitslage, bevor Aufsichtsbehörden sie prüfen. Ergebnisse einer internen Bewertung sind behebbar; Ergebnisse einer CSSF-Prüfung erzeugen Durchsetzungsmaßnahmen.

Mittelfristig — 3 bis 12 Monate

  1. Kontinuierliches Monitoring implementieren. Erkennungsfähigkeiten, Sicherheitsereignisprotokollierung und Bedrohungsintelligenz-Feeds — die unter allen drei Frameworks erforderlich sind — benötigen Zeit für Deployment und Tuning.
  2. Strukturiertes Testprogramm aufbauen. Planen Sie Penetrationstests, Schwachstellenbewertungen und Tabletop-Übungen in einem regelmäßigen Zyklus. DORA-bedeutende Unternehmen sollten mit dem TLPT-Scoping beginnen.
  3. AI-Act-Konformitätsarbeiten abschließen. Hochrisiko-KI-Systeme benötigen Dokumentation, Protokollierung, Mechanismen zur menschlichen Aufsicht und möglicherweise Drittparteienbewertung vor dem 2. August.
  4. Mitarbeiter schulen. Awareness-Schulungen werden von NIS2 und DORA explizit gefordert. Gezielte Schulungen für IT- und Sicherheitspersonal zu den technischen Pflichten jeder Verordnung sind sowohl eine Compliance-Anforderung als auch eine praktische Notwendigkeit.

Die Ransomware-Realität hinter alledem

Regulatorische Compliance ist nicht der einzige Treiber. Die Bedrohungslandschaft, auf die diese Verordnungen reagieren, ist real und unmittelbar.

Ransomware-Aktivitäten gegen europäische Organisationen steigen weiterhin von Jahr zu Jahr, und Luxemburg ist nicht ausgenommen. Double Extortion (gleichzeitige Verschlüsselung und Datenexfiltration) ist inzwischen das Standard-Angriffsmuster, was bedeutet, dass ein erfolgreicher Ransomware-Angriff typischerweise gleichzeitig einen DORA-Meldepflichtvorfall und — in den meisten Fällen — eine DSGVO-Datenpannen-Meldung auslöst.

Die am stärksten exponierten Organisationen sind nicht zwangsläufig die größten. Branchenforschung dokumentiert durchgängig eine anhaltende Bereitschaftslücke zwischen Großunternehmen und KMU: Kleinere Organisationen haben ihre Sicherheitslage weit seltener als Reaktion auf eskalierende Bedrohungen angepasst. In Luxemburgs Wirtschaft — die stark auf mittelgroße Finanz-, Rechts-, Fondsadministrations- und Professional-Services-Unternehmen setzt — ist diese Lücke ein materielles systemisches Risiko.

Die praktische Konsequenz: Compliance-Programminvestitionen und Sicherheitsinvestitionen sind dieselbe Investition. Ein gut implementiertes DORA/NIS2-Programm verbessert Ihre tatsächliche Sicherheitslage, nicht nur Ihren regulatorischen Status.

Wie KI-gestützte Angriffe die Kalkulation verändern

Der Zeitpunkt des EU AI Act ist kein Zufall. Bedrohungsakteure setzen KI bereits in großem Maßstab ein. Ein wachsender Anteil von Sicherheitsexperten identifiziert KI-gesteuerte Angriffe als einen der am schnellsten wachsenden Bedrohungsvektoren. Die operativen Auswirkungen sind konkret:

  • Hyper-personalisiertes Phishing: Generative KI produziert zielspezifische Köder, die von legitimen Kommunikationen nicht zu unterscheiden sind. Business Email Compromise (BEC), bereits eine bedeutende Betrugskategorie in Europa, wird schneller und überzeugender.
  • Automatisierte Schwachstellenentdeckung: KI-Systeme können Ziele kontinuierlich scannen und sondieren und ausnutzbare Schwachstellen schneller identifizieren, als menschliche Verteidiger sie beheben können.
  • Adaptive Umgehung: Angreifer nutzen KI, um Malware-Signaturen und -Verhaltensweisen in Echtzeit zu modifizieren, wodurch die Wirksamkeit signaturbasierter Erkennung verringert wird.
  • KI-unterstützte Code-Schwachstellen: Entwickler, die KI-generierten Code ohne angemessene Prüfung einsetzen, führen eine neue Klasse von Software-Lieferketten-Schwachstellen ein — besonders relevant für Organisationen, die eigene Entwicklungen betreiben oder KI-Coding-Assistenten in Produktionsworkflows einsetzen.

Für Luxemburger Organisationen bedeutet dies, dass die durch NIS2 und DORA geforderten Sicherheitsbewusstseinstrainings nun explizit KI-gestütztes Social Engineering abdecken müssen — nicht nur traditionelles Phishing. Sicherheitsteams benötigen Tools und Techniken, die KI-gestützte Angriffe erkennen können. Und Governance-Frameworks müssen KI-bezogene Risiken auf beiden Seiten berücksichtigen: die KI-Systeme, die Sie betreiben, und die KI-Systeme, die gegen Sie eingesetzt werden.

Die Kosten des Abwartens

Angesichts einer überwältigenden Compliance-Last besteht die Versuchung, abzuwarten: zu beobachten, wie Aufsichtsbehörden mit der ersten Welle von Durchsetzungsmaßnahmen umgehen, zu beurteilen, ob die Strafen so schwerwiegend sind wie angedroht, und zu hoffen, dass die thematischen Prüfungen die eigene Organisation in diesem Zyklus nicht erreichen.

Dies ist eine rational erscheinende kurzfristige Kalkulation mit schlechtem langfristigen Erwartungswert. Hier ist der Grund:

  • Das CSSF-Prüfungsrisiko steigt. Die aufsichtliche Prüfung der DORA-Compliance wird voraussichtlich bis 2026 zunehmen. Organisationen, die bei einer Prüfung als nicht compliant eingestuft werden, sehen sich typischerweise deutlich schlechteren Ergebnissen gegenüber als jene, die Lücken proaktiv selbst gemeldet und mit der Behebung begonnen haben.
  • Die Vorfallswahrscheinlichkeit ist hoch. Bei weiter steigenden Ransomware-Aktivitäten ist für jede Luxemburger Organisation die Frage nicht ob, sondern wann ein Vorfall eintreten wird. Nicht-Compliance zum Zeitpunkt eines Vorfalls ist dramatisch kostspieliger als präventive Behebung.
  • Die AI-Act-Frist ist fix. Der 2. August rückt nicht. Hochrisiko-KI-Systeme, die nach diesem Datum ohne Konformitätsdokumentation betrieben werden, befinden sich ab dem ersten Tag in Verletzung. Die Vorlaufzeit für Bewertungsarbeiten wird in Monaten gemessen, nicht in Wochen.
  • Vorteile für Frühmover existieren. Organisationen, die Gap-Analysen und Behebungsarbeiten jetzt abschließen, haben Zugang zu Beratern, Tools und Testkapazitäten, die knapper werden, wenn sich die August-Frist nähert und die TLPT-Nachfrage steigt.

Wie wir helfen können

ObsidianCorps arbeitet mit Luxemburger Organisationen in allen drei regulatorischen Frameworks. Unser Ansatz ist bewusst integriert — wir verkaufen keine separaten NIS2-Pakete, DORA-Pakete und AI-Act-Pakete. Wir bauen Compliance-Programme, die alle anwendbaren Anforderungen durch einen einzigen koordinierten Einsatz adressieren, Doppelarbeit minimieren und die Investition in Kontrollen maximieren, die das Risiko tatsächlich reduzieren.

Unser typisches Engagement für eine Organisation, die mit der regulatorischen Kollision 2026 konfrontiert ist, beginnt mit einer strukturierten Gap-Analyse: Abbildung Ihrer aktuellen Kontrollen auf die Anforderungen jeder anwendbaren Verordnung, Bewertung von Lücken nach Schweregrad und Behebungsaufwand sowie Erstellung einer priorisierten Roadmap. Von dort aus unterstützen wir die Implementierung: Aktualisierung von Governance-Frameworks, Durchführung von Penetrationstests und Tabletop-Übungen, Aufbau von Drittanbieter-Risikoprogrammen und Bereitstellung der technischen Nachweisdokumentation, die CSSF und andere Aufsichtsbehörden erwarten.

Für Organisationen mit KI-Systemen im Anwendungsbereich des AI Act bieten wir KI-Governance-Bewertungen an, die Ihren KI-Einsatz den Risikokategorien der Verordnung zuordnen, den erforderlichen Konformitätsaufwand identifizieren und die Dokumentation erstellen, die zum Nachweis der Compliance erforderlich ist.

Wir sind ein auf Luxemburg spezialisiertes Team, das aus Praktikern besteht, die diese Programme geleitet, die Tests durchgeführt und Organisationen durch regulatorische Prüfungen begleitet haben. Wir kennen den lokalen Kontext — CSSF-Prüfungserwartungen, die Bedrohungsintelligenz von CIRCL, die spezifischen Herausforderungen der Luxemburger Finanz- und Fondsadministrationssektoren — und arbeiten direkt mit den Personen, die für die Umsetzung verantwortlich sind.

Wenn Sie auf das zweite Halbjahr 2026 blicken und sich fragen, wo Sie anfangen sollen, oder wenn Sie sich bereits in einer Gap-Analyse befinden und externe Expertise benötigen, um spezifische Kompetenzlücken zu schließen, freuen wir uns auf das Gespräch.

Kontaktieren Sie uns, um zu besprechen, wo Ihre Organisation steht und wie ein praxisnahes Compliance-Programm für Ihre spezifische Situation aussehen würde. Das erste Gespräch ist immer direkt, ehrlich und unverbindlich.

NIS2 DORA EU AI Act Luxemburg Compliance CSSF Cybersicherheit 2026 regulatorisch IKT-Risiko Drittanbieterrisiko KI-Governance
A

Admin User

Author

Explore Our Services

Case Studies

Related Posts

ISO 27001-Zertifizierung in Luxemburg: Ein Praxisleitfaden für KMU
Compliance & Regulation

ISO 27001-Zertifizierung in Luxemburg: Ein Praxisleitfaden für KMU

Ein praxisorientierter, schrittweiser Leitfaden zur ISO/IEC 27001-Zertifizierung für luxemburgische KMU. Behandelt werden die Anforderungen an ein ISMS, die vier Kontrollbereiche des Annex A, der Zertifizierungsweg von der Lückenanalyse bis zu den Überwachungsaudits, realistische Aufwands- und Zeitplanerwartungen sowie die häufigsten Fehler, die es zu vermeiden gilt.

Admin User · vor 3 Wochen
15 min read
Read more about ISO 27001-Zertifizierung in Luxemburg: Ein Praxisleitfaden für KMU
DORA-Compliance für luxemburgische Finanzunternehmen: Was Sicherheitsteams wissen müssen
Compliance & Regulation

DORA-Compliance für luxemburgische Finanzunternehmen: Was Sicherheitsteams wissen müssen

Ein detaillierter Leitfaden zum Digital Operational Resilience Act (DORA) für luxemburgische Finanzunternehmen. Behandelt ICT-Risikomanagement, Vorfallsmeldung, Tests zur digitalen Resilienz, Drittanbieter-Risikomanagement und praktische Umsetzungsschritte.

Admin User · vor 3 Monaten
9 min read
Read more about DORA-Compliance für luxemburgische Finanzunternehmen: Was Sicherheitsteams wissen müssen

KONTAKT

Kontaktieren Sie uns

Bei Obsidiancorps verbinden wir innovative Technologie mit bewährten Sicherheitspraktiken, um maßgeschneiderte Lösungen zu schaffen, die Ihr Unternehmen schützen und voranbringen. Kontaktieren Sie uns und lassen Sie uns gemeinsam eine sicherere Zukunft gestalten.

Telefonnummer

+352 691 165 856

E-Mail-Adresse

info [at] obsidiancorps.com

Standort

Differdange, Luxembourg

Wir antworten in der Regel innerhalb von 24 Stunden

Senden Sie uns eine Nachricht

Wir freuen uns, von Ihnen zu hören! Füllen Sie das folgende Formular aus und unser Team wird sich so schnell wie möglich bei Ihnen melden.

captcha