Im Sommer 2025 kündigte die Neobank N26 eine bedeutende Veränderung in ihrer Führungsebene an: Chief Risk Officer Carina Kozole wird das Unternehmen verlassen. Ihre Nachfolge übernimmt Jochen Klöpper, der zuvor bei der Santander Consumer Bank tätig war.

Solche Wechsel in Schlüsselpositionen des Risikomanagements werfen Fragen auf – nicht nur mit Blick auf die betroffene Organisation selbst, sondern auch im Hinblick auf strukturelle Anforderungen an Governance, Risk & Compliance (GRC) in schnell wachsenden und stark regulierten Unternehmen.

In diesem Beitrag analysieren wir die Entwicklungen bei N26 aus einer systemischen Perspektive, zeigen typische Herausforderungen für digitale Finanzdienstleister auf und erläutern, wie integrierte GRC-Systeme dazu beitragen können, personelle und prozessuale Risiken besser zu steuern.

Was ist bei N26 passiert?

Carina Kozole war erst seit Ende 2023 als Chief Risk Officer bei N26 tätig. In dieser Zeit hatte sie die Verantwortung für zentrale Funktionen im Risikomanagement und in der Compliance. Laut Medienberichten verlässt sie das Unternehmen 2025, ihr Nachfolger Jochen Klöpper bringt langjährige Erfahrung aus dem klassischen Bankenumfeld mit.

Der Führungswechsel erfolgt in einer Phase, in der N26 – wie viele Neobanken – verstärkt unter regulatorischer Beobachtung steht. Themen wie Geldwäscheprävention, IT-Sicherheit, Kreditvergabeprozesse und interne Kontrollsysteme sind von hoher Relevanz – nicht nur aus rechtlicher Sicht, sondern auch für Reputation und Geschäftsentwicklung.

Herausforderungen in stark wachsenden Organisationen

Insbesondere in wachstumsstarken FinTechs wie N26 zeigen sich drei typische Spannungsfelder:

1. Skalierung vor Struktur

Wachstum in digitalen Geschäftsmodellen ist oft technologie- und produktgetrieben. Governance- und Compliance-Strukturen geraten dabei leicht ins Hintertreffen – insbesondere wenn Personalengpässe, hohe Kundenzahlen und neue Märkte gleichzeitig zu bewältigen sind.

2. Komplexität der Regulatorik

Digitale Banken bewegen sich im Spannungsfeld zwischen klassischer Bankenaufsicht, Technologie-Risiken und grenzüberschreitender Regulierung. Ohne ein integriertes System zur Steuerung von regulatorischen Anforderungen können selbst gut aufgestellte Teams schnell überlastet sein.

3. Abhängigkeit von Schlüsselpersonen

In vielen Organisationen hängt das Funktionieren des Risikomanagements stark von einzelnen Führungskräften ab. Fehlen systemgestützte Prozesse und dokumentierte Arbeitsweisen, können personelle Wechsel zu Know-how-Verlust und Reibungsverlusten führen.

Die Rolle von GRC-Systemen in solchen Situationen

Ein modernes GRC-System ist weit mehr als ein Compliance-Tool. Es verbindet strategische Governance mit operativer Risikosteuerung und regulatorischer Umsetzung – in einer integrierten, dokumentierten und nachvollziehbaren Form.

Konkret bedeutet das:

1. Institutionalisierung von Risikomanagement

Statt Risikoanalysen und Maßnahmenlisten in Excel-Dateien zu führen, bildet ein GRC-System alle Risikokategorien, Zuständigkeiten, Bewertungen und Gegenmaßnahmen systematisch ab – revisionssicher und rollenbasiert.

2. Regulatorische Anforderungen zentral steuern

GRC-Software kann regulatorische Anforderungen (z. B. MaRisk, EBA-Guidelines, DSGVO) hinterlegen, Verantwortlichkeiten zuweisen und Umsetzungsstände automatisch überwachen – inklusive Eskalationen bei Fristüberschreitungen.

3. Business Continuity und Rollenabsicherung

Bei Personalwechseln wie im Fall N26 lässt sich durch ein GRC-System sofort nachvollziehen, welche regulatorischen Pflichten und Risiken in der Verantwortung der CRO-Funktion lagen – inklusive Audit-Trail und offener Maßnahmen. So entsteht Transparenz und Kontinuität.

4. Kultur und Governance sichtbar machen

Ein GRC-System kann auch qualitative Elemente erfassen: Reifegrade von Prozessen, Ergebnisse aus Mitarbeiterbefragungen zur Risikokultur, Eskalationsfrequenz oder Wirksamkeit von Schulungen. So entsteht ein vollständigeres Bild der gelebten Governance im Unternehmen.

Lessons Learned: Was Unternehmen aus dem Fall N26 mitnehmen sollten

• Führungspersonen sind wichtig – Systeme sind unverzichtbar. Der Abgang einer CRO darf nicht zu Kontrolllücken führen. GRC-Systeme sichern Wissen, Pflichten und Prozesse institutionell ab.
• Regulatorik ist kein Einmalprojekt. Gerade digitale Banken sollten aufsichtsrechtliche Anforderungen systematisch überwachen – in allen Bereichen von Geldwäsche bis Datenschutz.
• Governance braucht Kultur – und Strukturen. Vertrauen in Organisationen entsteht nicht nur durch Personen, sondern durch nachvollziehbare Prozesse, geteilte Verantwortung und strukturierte Risikoüberwachung.
• GRC-Software ist ein strategisches Steuerungsinstrument. Richtig implementiert, trägt sie nicht nur zur Einhaltung von Vorschriften bei, sondern stärkt auch das Vertrauen von Investoren, Partnern und Aufsichtsbehörden.

Fazit

Der Führungswechsel bei N26 zeigt beispielhaft, wie sensibel und komplex das Zusammenspiel von Person, Prozess und regulatorischem Umfeld in digitalen Unternehmen ist. Die Antwort liegt nicht in Misstrauen gegenüber Technologie – sondern in einer proaktiven, integrierten und systemgestützten Governance-Strategie.

GRC-Systeme helfen dabei, Governance, Risikomanagement und Compliance nicht als isolierte Pflichten, sondern als integrierte Führungsaufgabe zu verstehen – und damit auch in Zeiten des Wandels handlungsfähig und regelkonform zu bleiben.

Danke für die Klarstellung – hier ist ein präzises FAQ (Frequently Asked Questions) zum Artikelthema, SEO-optimiert und inhaltlich abgestimmt:

---

FAQ – Häufig gestellte Fragen zum Thema CRO-Wechsel und GRC

Was bedeutet CRO?
CRO steht für Chief Risk Officer. Diese Person trägt die Gesamtverantwortung für das Risikomanagement eines Unternehmens – insbesondere für die systematische Erkennung, Bewertung und Steuerung von Risiken.

Warum ist ein CRO-Wechsel in Banken besonders relevant?
Banken unterliegen strengen aufsichtsrechtlichen Vorgaben. Ein Wechsel in der CRO-Position kann regulatorische Aufmerksamkeit erzeugen und auf strukturelle oder strategische Anpassungen im Risikomanagement hinweisen.

Was ist bei N26 passiert?
Die bisherige CRO, Carina Kozole, verlässt N26. Ihre Nachfolge übernimmt Jochen Klöpper, der zuvor bei der Santander Consumer Bank tätig war. Der Wechsel findet vor dem Hintergrund wachsender regulatorischer Anforderungen statt.

Was ist ein GRC-System?
Ein GRC-System ist eine integrierte Softwarelösung zur Steuerung von Governance (Unternehmensführung), Risk (Risikomanagement) und Compliance (Regelkonformität). Es verbindet strategische Steuerung mit operativer Umsetzung.

Wie hilft GRC-Software bei personellen Wechseln?
Sie dokumentiert Verantwortlichkeiten, Maßnahmen, regulatorische Pflichten und Prozesshistorien systematisch. Das minimiert Übergabeverluste und sorgt für Kontinuität bei kritischen Rollen wie dem CRO.

Ist GRC nur für große Unternehmen oder Banken relevant?
Nein. Auch mittelständische Unternehmen und Organisationen in regulierten Sektoren (z. B. Energie, Gesundheit, IT) profitieren von einem systematischen GRC-Ansatz – besonders bei schnellem Wachstum oder komplexer Regulierung.

Was sind die Vorteile eines GRC-Systems?

• Übersicht über alle Risiken und Maßnahmen
• Frühwarnsysteme bei Regelverstößen oder Fristversäumnissen
• Nachvollziehbarkeit für Revision, Aufsicht und Management
• Kontinuität in Krisen oder bei Personalwechseln
• Verbesserung von Governance und Compliance-Kultur

Die Anforderungen an Unternehmen, ihre Widerstandsfähigkeit gegen Störungen sicherzustellen, wachsen rapide. Klassische Business-Continuity-Konzepte reichen im Jahr 2025 nicht mehr aus, um den vielfältigen regulatorischen und operativen Risiken gerecht zu werden. Der Begriff Operational Resilience rückt ins Zentrum moderner GRC-Strategien. Doch was bedeutet er genau? Und wie kann ein GRC-System helfen, die Resilienz eines Unternehmens systematisch zu stärken?

Was ist Operational Resilience?

Operational Resilience bezeichnet die Fähigkeit eines Unternehmens, kritische Geschäftsprozesse auch bei gravierenden Störungen aufrechtzuerhalten oder rasch wiederherzustellen. Dabei geht es nicht mehr nur um IT-Ausfälle oder Naturkatastrophen, sondern auch um:

• Cyberangriffe
• Ausfall von Drittanbietern
• Geopolitische Krisen
• Lieferkettenunterbrechungen
• Regulatorische Schocks

Im Unterschied zum klassischen Business Continuity Management (BCM) steht bei Operational Resilience nicht nur die Wiederherstellung im Fokus, sondern auch Prävention, Testbarkeit und nachhaltige Anpassungsfähigkeit.

Relevante Regulierungen: DORA, NIS2 & mehr

Besonders im Finanz- und IT-Sektor entstehen neue Pflichten:

• EU DORA (Digital Operational Resilience Act): seit Januar 2025 in Kraft, betrifft Banken, Versicherer, Zahlungsdienste und IT-Dienstleister
• NIS2: Weitreichende Anforderungen an Cybersicherheit und Meldepflichten
• ISO 22301: Internationaler Standard für Business Continuity
• BAIT, VAIT, KAIT: Aufsichtsanforderungen der BaFin an IT-Systeme

Diese Vorgaben verlangen eine institutionalisierte Widerstandsfähigkeit, die laufend geprüft, dokumentiert und verbessert wird.

Was muss ein Unternehmen konkret tun?

1. Kritische Geschäftsprozesse identifizieren
   • Welche Prozesse sind für das Überleben des Unternehmens essentiell?
2. Szenarien und Toleranzschwellen definieren
   • Wie lange darf ein Prozess ausfallen, bevor es kritisch wird?
3. Risiken und Abhängigkeiten erfassen
   • Insbesondere bei Drittanbietern, IT-Diensten und Lieferketten
4. Widerstandsfähigkeit testen und üben
   • Simulationen, Penetrationstests, Krisenstabsübungen
5. Maßnahmen dokumentieren und in GRC-System integrieren
   • Wiederanlaufpläne, Kommunikationsstrategien, Eskalationsprozesse

Rolle von GRC-Systemen

Ein leistungsfähiges GRC-System ist das Fundament für eine resiliente Organisation. Es bietet:

• zentrales Risikoregister mit Abbildung operativer Risiken
• Verknüpfung von Prozessen, Assets und Dienstleistern
• Maßnahmen-Tracking und Eskalationspfade
• Audit-Trail für interne und externe Prüfungen
• Berichtswesen für Aufsichtsbehörden, Stakeholder und Management

Fazit: Operational Resilience ist das neue BCM

Unternehmen müssen im Jahr 2025 weit über klassische Notfallpläne hinausdenken. Operational Resilience bedeutet: vorbereitet sein, schnell reagieren können und aus jeder Krise lernen. Wer heute in belastbare Strukturen und ein integriertes GRC-System investiert, sichert nicht nur die Einhaltung regulatorischer Vorgaben, sondern auch das Vertrauen von Kunden, Investoren und der Öffentlichkeit.

---

FAQ: Operational Resilience & GRC

Was ist der Unterschied zwischen Business Continuity und Operational Resilience?

BCM fokussiert sich auf Wiederanlaufpläne. Operational Resilience geht weiter und umfasst auch Prävention, Tests und das Management komplexer Abhängigkeiten.

Welche Unternehmen sind von DORA betroffen?

Alle Finanzunternehmen und IT-Dienstleister im Geltungsbereich der EU, z. B. Banken, Versicherungen, FinTechs, Cloud-Anbieter.

Ist Operational Resilience nur für regulierte Unternehmen relevant?

Nein. Auch Mittelständler und Industrieunternehmen profitieren von resilienten Strukturen angesichts globaler Unsicherheiten.

Welche Rolle spielen Drittanbieter?

Eine zentrale! Resilienz umfasst immer auch die Liefer- und Dienstleisterkette. DORA schreibt z. B. eine strenge Überwachung kritischer IT-Dienste vor.

Wie kann ein GRC-Tool konkret helfen?

Durch zentrale Risikoerfassung, Maßnahmensteuerung, Szenarien-Tests und revisionssichere Dokumentation aller Resilienzkomponenten.

Die neue EU-Richtlinie NIS2 (Network and Information Security Directive 2) bringt erhebliche Anforderungen für Unternehmen in der EU mit sich. Ziel ist es, die Cybersicherheit in kritischen und wichtigen Sektoren flächendeckend zu verbessern. Doch was bedeutet das konkret für das Governance-, Risk- und Compliance-Management (GRC) in Ihrem Unternehmen?

Was ist NIS2?

Die NIS2-Richtlinie ersetzt die bisherige NIS-Richtlinie und weitet den Geltungsbereich erheblich aus. Sie betrifft nicht mehr nur kritische Infrastrukturen, sondern auch viele mittlere und große Unternehmen in Bereichen wie:

• Energie, Verkehr, Gesundheit, Trinkwasser
• IT-Dienstleistungen, digitale Infrastruktur
• Öffentliche Verwaltung, Weltraum, Forschung

Neue Anforderungen:

• Risikomanagement für Cyber- und Informationssicherheit
• Incident-Reporting innerhalb von 24 Stunden
• Unternehmensweite Sicherheitsstrategie
• Verantwortung auf Leitungsebene
• Verpflichtung zu Audits und Nachweisen

Was bedeutet NIS2 für Ihr GRC-System?

Ein modernes GRC-System ist der Schlüssel zur Einhaltung der neuen Anforderungen. Nur mit einem systematischen Ansatz lassen sich Risiken, Kontrollen, Meldepflichten und Verantwortlichkeiten dokumentieren und effizient steuern.

Konkret heißt das:

• Risikomanagement: Integration von IT- und Cyberrisiken in das zentrale Risikoregister
• Compliance-Monitoring: Überwachung von Pflichten und Fristen gemäß NIS2
• Maßnahmenmanagement: Zuweisung und Verfolgung von Schutz- und Reaktionsmaßnahmen
• Audit-Trail & Dokumentation: Lückenlose Nachvollziehbarkeit für Prüfungen

Sofortmaßnahmen zur Vorbereitung auf NIS2

1. Klärung der Betroffenheit: Ist Ihr Unternehmen direkt oder indirekt von NIS2 betroffen?
2. Gap-Analyse durchführen: Welche Lücken bestehen in Ihrer aktuellen Sicherheits- und GRC-Struktur?
3. Verantwortlichkeiten definieren: Wer ist für Cybersicherheit und Meldungen zuständig?
4. GRC-System aufrüsten: Besteht die Möglichkeit zur Integration von NIS2-Anforderungen?
5. Schulungen und Sensibilisierung: Management und Schlüsselpersonen vorbereiten

Fazit: Jetzt handeln lohnt sich

NIS2 bringt nicht nur neue regulatorische Pflichten, sondern bietet auch die Chance, Cyber-Resilienz strategisch zu verankern. Unternehmen, die bereits ein leistungsfähiges GRC-System einsetzen oder dieses jetzt aufrüsten, schaffen sich einen echten Wettbewerbsvorteil. Wichtig ist: Warten Sie nicht auf nationale Umsetzungsfristen – die Zeit zur Vorbereitung ist jetzt.

---

FAQ zu NIS2 und GRC

Ab wann gilt NIS2?

Die EU-Richtlinie ist seit Januar 2023 in Kraft. Die nationale Umsetzung muss bis Oktober 2024 erfolgen. Da die Prüfung aber 2025 beginnt sollten sich Unternehmen vorbereiten.

Welche Unternehmen sind betroffen?

Alle mittleren und großen Unternehmen in bestimmten kritischen und wichtigen Sektoren. Dazu zählen u. a. IT, Energie, Gesundheitswesen, Verkehr und digitale Dienste.

Was passiert bei Verstoß gegen NIS2?

Es drohen empfindliche Geldbußen und Reputationsschäden. Die Haftung kann auch die Geschäftsleitung betreffen.

Wie hilft ein GRC-System konkret bei NIS2?

Es ermöglicht die strukturierte Erfassung und Steuerung von Risiken, Maßnahmen, Meldepflichten und Compliance-Anforderungen in einem integrierten System.

Wie unterscheidet sich NIS2 von ISO 27001?

NIS2 ist eine gesetzliche Vorgabe, ISO 27001 ein freiwilliger Standard. Beide ergänzen sich aber ideal: Ein ISMS nach ISO 27001 kann viele NIS2-Vorgaben bereits abdecken.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) modernisiert ihre Instrumente der Finanzmarktüberwachung. Dabei setzt sie verstärkt auf Künstliche Intelligenz (KI), um Risiken schneller zu erkennen, Marktmanipulation aufzudecken und aufsichtsrechtliche Prozesse zu automatisieren. In diesem Blogbeitrag zeigen wir, wie genau die BaFin KI einsetzt, welche Vorteile das bringt und was Unternehmen und Verbraucher davon haben.

KI in der Marktüberwachung: Algorithmen gegen Insiderhandel

Ein zentrales Einsatzfeld der BaFin für KI ist die Erkennung verdächtiger Handelsmuster. Mit Hilfe von Machine Learning analysiert die BaFin riesige Mengen an Handelsdaten, um Marktmanipulation und Insiderhandel schneller aufzudecken. Dabei geht es um Muster, die für menschliche Analysten schwer erkennbar sind, aber statistisch signifikant auf Missbrauch hindeuten.

Automatisierte Analyse von Unternehmensdaten

Ein weiteres Anwendungsfeld ist die Analyse von Jahresabschlüssen, Ad-hoc-Mitteilungen und Berichten. Hier setzt die BaFin auf Natural Language Processing (NLP), um automatisiert Risiken, Unregelmäßigkeiten oder Auffälligkeiten in Unternehmensdaten zu identifizieren. Das beschleunigt die Prüfung von Bilanzen und hilft, frühzeitig Fehlentwicklungen zu erkennen.

KI in der Bankenaufsicht: Risikobewertung und Frühwarnsysteme

Auch in der aufsichtsrechtlichen Bewertung von Banken und Versicherungen kommt KI zum Einsatz. KI-gestützte Frühwarnsysteme analysieren Kennzahlen, Kapitalstrukturen und Marktbewegungen, um Risiken frühzeitig zu identifizieren. So kann die BaFin im Krisenfall schneller eingreifen und potenzielle Schieflagen abwenden.

Geldwäscheprävention durch KI

Die BaFin nutzt KI ebenfalls zur Bekämpfung von Geldwäsche. Durch die Analyse von Transaktionsmustern lassen sich verdächtige Aktivitäten automatisiert erkennen und melden. Besonders im Zusammenspiel mit Finanzinstituten verbessert dies die Effizienz und Treffgenauigkeit der Präventionssysteme.

SupTech: Technologischer Wandel der Aufsicht

Unter dem Begriff SupTech (Supervisory Technology) treibt die BaFin die Digitalisierung ihrer Aufsichtsfunktionen insgesamt voran. KI ist dabei ein zentrales Werkzeug, um Datenmengen strukturiert auszuwerten, Prozesse zu automatisieren und Entscheidungen datenbasiert zu treffen.

Fazit: Effizientere Aufsicht durch intelligente Systeme

Der Einsatz von KI durch die BaFin markiert einen entscheidenden Schritt in Richtung moderne, datengetriebene Finanzaufsicht. Für Unternehmen bedeutet das mehr Transparenz und schnellere Prozesse, für Verbraucher mehr Sicherheit vor Marktmanipulation und Finanzkriminalität. Gleichzeitig zeigt sich: Auch die Aufsichtsbehörden müssen in der digitalen Welt mitwachsen, um ihrer Aufgabe gerecht zu werden.

---

FAQ: Häufige Fragen zum KI-Einsatz bei der BaFin

Was ist das Ziel der BaFin beim Einsatz von KI?

Die BaFin will Risiken früher erkennen, Marktmissbrauch schneller aufdecken und ihre Aufsicht effizienter gestalten.

Welche Technologien kommen konkret zum Einsatz?

Hauptsächlich Machine Learning, Natural Language Processing (NLP) und Datenanalytik.

Ist der Einsatz von KI rechtlich geregelt?

Ja, die BaFin muss sich bei allen Maßnahmen an geltendes Recht halten, insbesondere an Datenschutz und Verwaltungsverfahrensrecht.

Wie profitieren Finanzunternehmen?

Durch klarere Risikoindikatoren, schnellere Kommunikation mit der Aufsicht und frühzeitige Hinweise auf Probleme.

Welche Rolle spielt SupTech?

SupTech bezeichnet die technologische Weiterentwicklung der Aufsichtsarbeit. KI ist dabei ein zentrales Werkzeug.

Der Cyber Resilience Act revolutioniert GRC und Cybersicherheit

In einer zunehmend digitalen Welt sind Cyberangriffe längst nicht mehr die Ausnahme, sondern die Regel. Mit dem EU Cyber Resilience Act (CRA) setzt die Europäische Union einen neuen globalen Standard für die Sicherheit von digitalen Produkten und Software. Unternehmen stehen damit vor der Herausforderung, Cybersicherheit tief in ihre Governance-, Risiko- und Compliance-Strukturen (GRC) zu integrieren.

Dieser Artikel zeigt, was der CRA bedeutet, welche Pflichten auf Unternehmen zukommen und wie du mit einer smarten, AI-gestützten Compliance-Strategie nicht nur Risiken minimierst, sondern auch Wettbewerbsvorteile sicherst.

1. Was ist der EU Cyber Resilience Act (CRA)

Der Cyber Resilience Act ist das erste EU-weite Gesetz, das verpflichtende Cybersicherheitsanforderungen für alle „digitalen Produkte“ vorschreibt – von Software über vernetzte Geräte bis hin zu IoT-Anwendungen. Ziel ist es, Sicherheitslücken systematisch zu reduzieren und die europäische Wirtschaft widerstandsfähiger gegen Cyberbedrohungen zu machen.

Kernpunkte des CRA:

• Pflicht zur Cybersicherheit by Design & by Default
• Kontinuierliches Schwachstellenmanagement über den gesamten Produktlebenszyklus
• Meldepflichten bei Sicherheitsvorfällen innerhalb von 24 Stunden
• Konformitätsbewertungsverfahren für Hochrisiko-Produkte
• Strenge Vorgaben für Open-Source-Software in kommerziellen Produkten

Der CRA ergänzt bestehende Regelwerke wie die NIS2-Directive und das Lieferkettengesetz – und schafft erstmals eine klare Verbindung zwischen Produktverantwortung und IT-Sicherheit.

2. Die Auswirkungen auf Governance, Risk & Compliance (GRC)

Der CRA verschiebt die Verantwortung für Cybersicherheit deutlich: Es geht nicht mehr nur um IT-Abteilungen – vielmehr wird Cybersicherheit zur Chefsache und integraler Bestandteil von GRC.

Governance:

• Einführung von Cybersecurity-Policies auf Vorstandsebene
• Klare Verantwortlichkeiten für Sicherheitsprozesse und Produktüberwachung

Risk Management:

• Systematische Identifikation von Cyber-Risiken entlang der gesamten Wertschöpfungskette
• Bewertung von Drittanbieter-Software und Lieferantenabhängigkeiten

Compliance:

• Aufbau von Compliance-Frameworks, die technische Sicherheitsanforderungen abbilden
• Dokumentation aller Massnahmen zur Erfüllung der CRA-Vorgaben
• Vorbereitung auf mögliche Audits und Bussgelder bei Nichteinhaltung

Unternehmen, die jetzt nicht handeln, riskieren nicht nur finanzielle Strafen, sondern auch massiven Reputationsverlust.

3. Mit GRC Software – Compliance den CRA effizient umsetzen

Die Anforderungen des CRA sind komplex – doch moderne Technologien bieten Lösungen. Software kann helfen, GRC-Prozesse effizienter, präziser und resilienter zu gestalten.

So unterstützt Software die CRA-Compliance:

• Automatisiertes Schwachstellenmanagement:
  GRC Tools erkennen Sicherheitslücken in Echtzeit und priorisieren automatisch Gegenmassnahmen.
• Predictive Risk Analytics:
  Durch Machine Learning werden zukünftige Cyber-Bedrohungen prognostiziert und Risikostrategien angepasst.
• Dokumentation & Reporting:
  Natural Language Processing (NLP) generiert automatisierte Compliance-Berichte und unterstützt bei der Einhaltung von Meldepflichten.
• Supply Chain Monitoring:
  AI überwacht Drittanbieter-Software kontinuierlich auf bekannte Schwachstellen (z. B. CVE-Datenbanken).

Vorteil: Unternehmen, die ihre GRC-Strategie anpassen, erfüllen nicht nur die gesetzlichen Vorgaben schneller, sondern schaffen eine agile Sicherheitskultur, die proaktiv statt reaktiv agiert.

4. Best Practices für eine erfolgreiche CRA-Implementierung

1. Frühzeitige Gap-Analyse:
   Wo entsprechen bestehende Prozesse bereits den CRA-Anforderungen? Wo besteht Handlungsbedarf?
2. Interdisziplinäre Teams aufbauen:
   Compliance, IT, Produktentwicklung und Rechtsabteilung müssen eng zusammenarbeiten.
3. Technologie nutzen:
   Investition in AI-gestützte GRC-Tools zur Automatisierung und Effizienzsteigerung.
4. Mitarbeiter sensibilisieren:
   Cybersicherheit ist ein kulturelles Thema – regelmässige Schulungen sind Pflicht.
5. Synergien mit bestehenden Regularien nutzen:
   Abstimmung mit NIS2-, DSGVO- und Lieferketten-Compliance spart Ressourcen.

Fazit: Cyber-Resilienz als Wettbewerbsvorteil begreifen

Der EU Cyber Resilience Act markiert den Beginn einer neuen Ära: Cybersicherheit wird zur festen Säule von Governance, Risk & Compliance. Unternehmen, die jetzt strategisch handeln und auf moderne, AI-gestützte Lösungen setzen, verwandeln regulatorische Pflichten in Chancen – für mehr Vertrauen, Sicherheit und Marktvorsprung.

FAQ zum EU Cyber Resilience Act (CRA)

Was ist der EU Cyber Resilience Act (CRA)?
Der CRA ist ein EU-weites Gesetz, das verpflichtende Cybersicherheitsanforderungen für alle digitalen Produkte und Software einführt, um die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen.

Wen betrifft der CRA?
Alle Unternehmen, die digitale Produkte oder Software in der EU vertreiben oder nutzen – vom Start-up bis zum Grosskonzern, inklusive Hersteller, Händler und Importeure.

Welche Pflichten entstehen durch den CRA?
Unternehmen müssen Sicherheitsmassnahmen „by Design“ implementieren, kontinuierliches Schwachstellenmanagement betreiben und Sicherheitsvorfälle melden.

Wie kann GRC Software bei der Einhaltung des CRA helfen?
GRC Tools automatisieren Schwachstellenmanagement, verbessern Risikoanalysen und erleichtern die Erfüllung von Dokumentations- und Meldepflichten.

Welche Strafen drohen bei Verstössen?
Es drohen Bussgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Daten sind kein rivalisierendes Gut. Sie können viele Male konsumiert werden, ohne dass man befürchten muss, dass das Angebot schwindet. Das Datenvolumen wächst unaufhörlich. Schätzungen zufolge wurden im Jahr 2018 33 Zettabyte an Daten generiert, und es wird erwartet, dass es im Jahr 2025 rund 175 Zettabyte erreichen wird. Es handelt sich um ein unterausgenutztes und ungenutztes Potenzial. Untersuchungen zeigen, dass 80 % der Industriedaten nie genutzt werden. Mit dem Ziel, eine robuste und faire datengesteuerte Wirtschaft zu stärken und die digitale Transformation bis 2030 zu steuern, hat die EU-Kommission am 23. Februar 2022 harmonisierte Regeln für den fairen Zugang zu und die faire Nutzung von Daten vorgeschlagen, die als Data Act bekannt sind. Diese Regeln sollen sicherstellen, dass von Geräten des Internets der Dinge (IoT) generierte Daten fair zwischen den relevanten Akteuren genutzt und verteilt werden, und gleichzeitig klarstellen, wer aus Daten Wert schöpfen kann und unter welchen Bedingungen. Indem sie Anreize für die verschiedenen an der Datenerstellung und -speicherung beteiligten Akteure schafft, rechnet die EU damit, bis 2028 ein zusätzliches BIP von 270 Milliarden Euro zu schaffen.

Das vorgeschlagene Datenschutzgesetz

1. Bestimmungen, die es den Benutzern vernetzter Geräte ermöglichen, auf die von ihnen generierten Daten zuzugreifen, die meist einseitig von den Herstellern gesammelt werden, und diese Daten mit Dritten zu teilen, um Aftermarket- und/oder andere datengesteuerte innovative Dienste bereitzustellen. Dies wird es den Herstellern ermöglichen, in die Generierung hochwertiger Daten zu investieren und entsprechende Anreize für die Übertragung zu beanspruchen, was offensichtlich die Verwendung geteilter Daten in direktem Wettbewerb mit ihrem Produkt ausschließt.
2. Maßnahmen, die es KMU ermöglichen, ihre Verhandlungsmacht neu auszubalancieren, indem sie daran gehindert werden, vertragliche Ungleichgewichte in Datenaustauschverträgen zu missbrauchen. KMU sind bei Datenaustauschverträgen und/oder vorvertraglichen Verhandlungen über Datenaustauschverträge oft auf der schwächeren Seite. Die Kommission hat in diesem Zusammenhang versprochen, faire Datenaustauschverträge auszuarbeiten und auszuhandeln, um Komplikationen zu beseitigen und solchen Unternehmen zu helfen.
3. Bestimmungen, die es öffentlichen Stellen ermöglichen, auf Daten zuzugreifen und diese zu verwenden, die von privaten Stellen gespeichert werden. Dies wird öffentlichen Stellen dabei helfen, Daten zu beschaffen, die für außergewöhnliche Umstände wie Überschwemmungen, Waldbrände und Pandemien erforderlich sind, bei denen es manchmal vorkommen kann, dass die Daten anderweitig nicht verfügbar sind.
4. Bestimmungen, die es den Kunden ermöglichen, effektiv zwischen verschiedenen Anbietern von Cloud-Datenverarbeitungsdiensten zu wechseln, und die den Kunden auch den notwendigen Schutz vor einer unrechtmäßigen Datenübertragung bieten.

Das Datengesetz wird es Verbrauchern und Unternehmen ermöglichen, auf die Daten ihrer Geräte zuzugreifen, um sie für Aftermarket- und Mehrwertdienste wie die vorausschauende Wartung zu nutzen. Dies wird Verbrauchern wie Landwirten, Fluggesellschaften oder Bauunternehmen eine große Hilfe sein, bessere Entscheidungen für den Kauf hochwertigerer oder nachhaltigerer Produkte und Dienstleistungen zu treffen, insbesondere um zu den Zielen des Green Deal beizutragen. Durch diese Gesetzgebung werden Unternehmen und Industrieunternehmen dazu angeregt, mehr Daten zur Verfügung zu haben und so von einem wettbewerbsorientierten Datenmarkt profitieren zu können.

Der Aftermarket-Service ist einer der wichtigsten Punkte des Gesetzes. Dank dieses Gesetzes können Aftermarket-Dienstleister personalisiertere Dienste anbieten und auf gleicher Augenhöhe mit anderen Herstellern oder Dienstanbietern konkurrieren, die gleichwertige Dienste anbieten. Dieses Gesetz wird zweifellos viele wirtschaftliche Möglichkeiten für Verbraucher, Unternehmen, öffentliche und private Einrichtungen schaffen.

Was das bedeutet

Thierry Breton, Kommissar für den Binnenmarkt, erklärte:

„Dies ist ein wichtiger Schritt zur Erschließung einer Fülle industrieller Daten in Europa, von denen Unternehmen, Verbraucher, öffentliche Dienste und die Gesellschaft als Ganzes profitieren. Bisher wird nur ein kleiner Teil der industriellen Daten genutzt, und das Potenzial für Wachstum und Innovation ist enorm. Das Datengesetz wird sicherstellen, dass industrielle Daten unter vollständiger Einhaltung der europäischen Vorschriften geteilt, gespeichert und verarbeitet werden. Es wird den Grundstein für eine starke, innovative und souveräne europäische digitale Wirtschaft bilden.“

DSGVO und die Sicht der EU auf den Datenschutz

Mit der Verabschiedung der EU-Datenschutz-Grundverordnung (DSGVO) hat der Schutz personenbezogener Daten für Institutionen, die in der Europäischen Union (EU) und darüber hinaus tätig sind, an Bedeutung gewonnen. Globale Technologieunternehmen wie Meta Platforms Inc. (Meta), Google und Microsoft sind in dieser Hinsicht verstärkter Prüfung ausgesetzt. Meta und die EU sind kürzlich in einen diplomatischen Streit über Datenschutzfragen verwickelt, die EU-Bürger betreffen. Meta hat gedroht, Facebook und Instagram aus der EU zurückzuziehen, wenn die Datenübertragungen in die USA nicht fortgesetzt werden können, da derzeit Verhandlungen über die Ersetzung des ungültig gewordenen transatlantischen Datenübertragungspakts laufen.

Es wäre zwar falsch zu behaupten, dass der Schutz personenbezogener Daten vor der Verabschiedung der EU-Datenschutz-Grundverordnung (DSGVO) nicht im Vordergrund stand; doch seit dem Inkrafttreten der DSGVO ist das Thema Datenschutz für Institutionen, deren Aktivitäten die Speicherung und/oder Weitergabe personenbezogener Daten in der Europäischen Union (EU) und anderswo beinhalten, von zentraler Bedeutung. Insbesondere für große globale Technologieunternehmen wie Meta Platforms Inc. (Meta), Google, Microsoft usw. ist es ein vorrangiges Anliegen.

Meta und die EU haben sich in jüngster Zeit einen diplomatischen Streit über den Datenschutz von EU-Bürgern geliefert. Sowohl Meta als auch die EU scheinen in ihrem Ansatz sehr kriegerisch zu sein, was in der Tat keine gute Sache für die Beziehungen zwischen den USA und der EU insgesamt und natürlich für die Millionen von Facebook- und Instagram-Nutzern in der EU ist.

META und die US-amerikanische Sicht auf den Datenschutz

Meta hat damit gedroht, Facebook und Instagram aus der EU abzuziehen, wenn sie nicht weiterhin die Daten von EU-Nutzern in die USA übermitteln können, während zwischen den Regulierungsbehörden Verhandlungen über einen Ersatz für den transatlantischen Datentransferpakt laufen, der im Juli 2020 vom Gerichtshof der Europäischen Union (EuGH) in einem als „Schrems II“ bekannten Fall für ungültig erklärt wurde. Der Fall wurde von dem österreichischen Datenschutzanwalt Max Schrems angestrengt, der sich darüber beschwerte, dass die Vertragsklauseln von Facebook zu den Daten den Europäern keinen ausreichenden Schutz vor staatlichen Inspektionen und Überwachungen in den USA bieten. Der EuGH hat kategorisch festgestellt, dass es unmöglich ist, einen angemessenen Schutz der Daten von EU-Bürgern bei ihrer Einreise in die USA zu gewährleisten. Nach Ansicht einiger Experten und renommierter Journalisten wird eine solche Entscheidung erhebliche Auswirkungen auf US-Unternehmen und den US-Kongress haben, da sie die Angemessenheit des Datenschutzes in den Vereinigten Staaten in Frage stellt.

In seinem am 3. Februar 2022 veröffentlichten Jahresbericht erklärte Meta: „Wenn kein neuer Rahmen für den transatlantischen Datentransfer verabschiedet wird und wir uns nicht weiterhin auf SCCs (Standardvertragsklauseln) oder andere alternative Mittel für den Datentransfer von Europa in die Vereinigten Staaten verlassen können, werden wir wahrscheinlich eine Reihe unserer wichtigsten Produkte und Dienstleistungen, darunter Facebook und Instagram, in Europa nicht anbieten können, was unser Geschäft, unsere Finanzlage und unser Betriebsergebnis erheblich und nachteilig beeinflussen würde.“

Ein Sprecher von Meta erklärte jedoch in einer per E-Mail versandten Stellungnahme: „Wir haben absolut nicht den Wunsch und auch keine Pläne, uns aus Europa zurückzuziehen. Die schlichte Realität ist jedoch, dass Meta und viele andere Unternehmen, Organisationen und Dienste auf den Datentransfer zwischen der EU und den USA angewiesen sind, um globale Dienste anbieten zu können.“

Widersprüchliche Ansichten

Auch von den EU-Partnern kommen die Reaktionen mit der gleichen Kampfeslust. Der französische Finanzminister Bruno Le Maire sagte, dass „die digitalen Giganten verstehen müssen, dass der europäische Kontinent Widerstand leisten und seine Souveränität bekräftigen wird.“

Ein deutscher Minister sagte: „Das Leben ohne Facebook und Twitter war fantastisch.“

Ein europäischer Gesetzgeber sagte: „Meta kann die EU nicht einfach erpressen, damit sie ihre Datenschutzstandards aufgibt.“ Als Gegenargument kann man allerdings anführen, dass die US-amerikanischen Datenschutzstandards nicht mit denen der EU vereinbar sind. Aber ehrlich gesagt werden solche Gesprächsrunden für beide Seiten vorteilhafte Ergebnisse bringen.

Im Anschluss an diese Scharmützel-Erklärungen beider Seiten musste Meta Anfang des Monats im New Yorker Handel bereits einen Kursverlust von bis zu 4,5 Prozent hinnehmen.

Ein Sprecher der Europäischen Kommission gab eine bescheidene Erklärung ab: „Nur eine Vereinbarung, die die Anforderungen des EU-Gerichtshofs in vollem Umfang erfüllt, kann die Stabilität und Rechtssicherheit bieten, die die Beteiligten auf beiden Seiten des Atlantiks erwarten.“ Es stellt sich daher die Frage, ob der Ball nun beim EuGH liegt.

Abschließende Gedanken

In einem anderen Zusammenhang: Während beide Seiten aggressive Aussagen zur Schließung von Facebook und Instagram in der EU machen, berücksichtigen sie dabei die Millionen von Facebook- und Instagram-Nutzern in der EU, für die die Nutzung dieser sozialen Medien im Wesentlichen zu einem untrennbaren Teil ihres Lebensstils, ihrer Ausbildung, ihrer Arbeit und ihrer beruflichen Aktivitäten geworden ist? Während wir uns voll und ganz auf die rechtlichen Aspekte des Schutzes personenbezogener Daten konzentrieren und das zu Recht, verschließen wir dabei nicht bewusst oder unbewusst den Blick vor den Rechten des Einzelnen, persönliche Entscheidungen zu treffen? Soweit wir heute wissen, ist das letzte Wort noch nicht gesprochen.