EZB verlangt Aktionsplan gegen KI-Cyberrisiken bis 31. Oktober 2026

Phil Hansen
Phil HansenKI-Experte & AI Engineer
7 min read
EZB verlangt Aktionsplan gegen KI-Cyberrisiken bis 31. Oktober 2026

Das Wichtigste in 30 Sekunden

  • Neues Aufsichtsschreiben: Die EZB-Bankenaufsicht hat am 7. Juli 2026 alle bedeutenden Institute angeschrieben (SSM-2026-0301): KI-Modelle entdecken Schwachstellen und erzeugen funktionsfähige Exploits in bislang unbekanntem Tempo.
  • Harte Frist: Bis zum 31. Oktober 2026 muss jedes bedeutende Institut einen konkreten Aktionsplan bei seinem Joint Supervisory Team (JST) einreichen, mit Maßnahmen, Ressourcen, Verantwortlichkeiten und Zeitplänen.
  • Kein neues Regelwerk: Die EZB betont ausdrücklich: Es gelten keine neuen Regeln. DORA bleibt der verbindliche Rahmen, KI verschärft nur Tempo und Skalierung bekannter Risiken.
  • Entlastung im Gegenzug: Als Entlastung verschiebt die EZB die jährliche Abgabe des IT Risk Questionnaire von September 2026 auf Februar 2027.

Was ist passiert?

Mit Schreiben vom 7. Juli 2026 wendet sich Claudia Buch, Vorsitzende des Aufsichtsgremiums der EZB, direkt an die CEOs aller bedeutenden Institute im SSM. Der Anlass: Frontier-KI-Modelle verkürzen die Zeitspanne zwischen der Entdeckung einer Schwachstelle und ihrer Ausnutzung dramatisch. Das Schreiben (SSM-2026-0301) spricht von einer langfristigen Verschiebung der Bedrohungslage, nicht von einem vorübergehenden Phänomen.

Parallel veröffentlichte der Europäische Ausschuss für Systemrisiken (ESRB) eine Warnung vor systemischen Cyberrisiken durch Frontier-KI-Modelle, und CERT-EU hatte bereits zuvor analysiert, wie KI die Ökonomie der Schwachstellenforschung verändert. Die Botschaft der Aufsicht ist koordiniert und eindeutig: Die Verteidiger müssen jetzt nachziehen.

Die Frist: Aktionsplan bis 31. Oktober 2026

Kernstück des Schreibens ist die Aufforderung, ohne Verzögerung einen umfassenden Aktionsplan zu erstellen und bis zum 31. Oktober 2026 beim zuständigen JST einzureichen. Der Plan muss auf der bestehenden Cyber-Risikostrategie aufbauen und drei Dinge liefern: konkrete Maßnahmen mit Zeitplänen, klare Rollen und Verantwortlichkeiten sowie die dafür notwendigen Ressourcen.

Die EZB wird die eingereichten Pläne horizontal analysieren, Trends und Schwachpunkte identifizieren und die Ergebnisse an die Institute zurückspielen. Wer offene Feststellungen aus früheren Vor-Ort-Prüfungen, Targeted Reviews oder dem Cyber-Resilienz-Stresstest 2024 hat, sollte diese prioritär abarbeiten, ungelöste Altlasten werden unter der neuen Bedrohungslage ausdrücklich als zunehmend kritisch eingestuft.

Die sechs Fokusfelder des Aktionsplans

1. Angriffsflächen priorisiert schützen

Vollständige Inventarisierung aller IKT-Assets, einschließlich Drittsoftware und Open-Source-Komponenten. Internetzugängliche und extern exponierte Systeme, Cloud-Umgebungen und VPN-Verbindungen zu Dritten müssen minimiert und kontinuierlich überwacht werden; Perimeter-Technologien haben Vorrang bei der Härtung.

2. Schwachstellen- und Patch-Management skalieren

Priorisiertes Schwachstellen-Scanning, Vorbereitung auf häufigere und umfangreichere Patch-Zyklen und IKT-Änderungsprozesse, die Notfall-Fixes schnell und risikobasiert erlauben. KI-basierte Werkzeuge sind zulässig, aber nur mit vorheriger Risikobewertung, Schutzmaßnahmen und menschlicher Aufsicht. Die Anforderungen müssen auch in Verträgen und SLAs mit IKT-Dienstleistern ankommen.

3. Monitoring, Detektion und KI-gestützte Abwehr

Verstärkte Überwachung von Anwendungs- und Zugriffslogs, Netzwerkverkehr und Kompromittierungsindikatoren, insbesondere bei internetzugänglichen Anwendungen, Cloud-Repositories und kritischen internen Systemen.

4. Governance, Budget, Schulung und Lieferkette

Leitungsorgane müssen prüfen, ob Budget, Personal, Tooling und Change-Kapazität für beschleunigtes Patching, Resilienz-Tests und KI-gestützte Abwehr ausreichen. Risikoappetit-Frameworks sind zu aktualisieren, inklusive Metriken und Toleranzschwellen. Institute bleiben für ausgelagerte IKT-Services voll verantwortlich; die Vorbereitung der Drittdienstleister auf beschleunigte Schwachstellen-Offenlegung gehört auf den Prüfstand.

5. Defense-in-Depth und Modernisierung

Die EZB formuliert eine klare Grundannahme: Perimeter-Verteidigung wird durchbrochen werden. Gefordert sind Segmentierung bis Mikro-Segmentierung, Zero-Trust-Prinzipien mit kontinuierlicher Verifikation von Nutzern, Geräten, APIs und Service-Accounts, starke Basiskontrollen (Least Privilege, MFA, lückenloses Logging), und die Ablösung oder besondere Absicherung von Legacy- und End-of-Life-Systemen.

6. Response, Recovery und Informationsaustausch

Regelmäßig getestete Krisenmanagement-, Backup-, Failover- und Wiederherstellungsprozesse nach DORA-Anforderungen. Übungen sollen explizit Hochgeschwindigkeits-Szenarien abdecken: breite Kompromittierung über Zero-Days, Ransomware, destruktive Angriffe, Ausfall von Lieferketten oder Cloud-Diensten.

Was hat das mit DORA zu tun?

Alles. Das Schreiben verweist durchgängig auf die Anforderungen der Verordnung (EU) 2022/2554, der Aktionsplan ist im Kern ein beschleunigtes DORA-Programm unter verschärften Annahmen. Wer sein IKT-Risikomanagement, Informationsregister und Resilienz-Testing sauber aufgestellt hat, erfüllt die EZB-Erwartungen weitgehend aus dem Bestand. Wer Lücken hat, bekommt jetzt eine harte Deadline. Wie die BaFin KI-Systeme bereits unter DORA einordnet, haben wir in unserem Beitrag zur BaFin-Orientierungshilfe analysiert.

Ausblick: Post-Quanten-Kryptografie

Das Schreiben endet mit einer Ankündigung: Die EZB wird sich in einem separaten Brief den Risiken des Quantencomputings für heutige Verschlüsselungsverfahren widmen. Die Migration zu Post-Quanten-Kryptografie brauche einen langen Atem, müsse aber jetzt beginnen. Institute sollten das Thema bereits in ihre strategische IT-Investitionsplanung aufnehmen.

Wie ADVISORI unterstützt

Wir haben die sechs EZB-Fokusfelder in ein kompaktes Gap-Assessment übersetzt: In zwei bis drei Wochen wissen Sie, wo Ihr Institut steht, welche offenen DORA-Feststellungen unter die neuen Prioritäten fallen und wie Ihr JST-Aktionsplan aufgebaut sein muss. Unsere Berater haben BaFin- und §44-Prüfungen auf beiden Seiten des Tisches erlebt, vom Informationsregister bis zum TLPT. Mehr zu unserem Ansatz finden Sie auf unserer Seite zur DORA Compliance und unseren dedizierten Seite zum EZB-Aktionsplan.

Sprechen Sie uns an, bevor die Frist näher rückt: Ein Aktionsplan, der im September beginnt, ist im Oktober kein Plan mehr, sondern eine Entschuldigung.

Hat ihnen der Beitrag gefallen? Teilen Sie es mit:
Phil Hansen

Phil Hansen

KI-Experte & AI Engineer , ADVISORI FTC GmbH

Über den Autor

Philip Hansen ist ausgewiesener KI-Experte und Berater für digitale Transformation. Mit tiefgreifender Erfahrung in Künstlicher Intelligenz als AI Engineer, Datenanalyse und IT-Strategie begleitet er Unternehmen bei der Entwicklung und Implementierung innovativer KI-Lösungen. Philip verbindet technisches Leading Edge Know-how mit strategischem Weitblick und sorgt so für nachhaltigen Geschäftserfolg im Zeitalter der Digitalisierung.

Künstliche Intelligenz Datenanalyse & Data Science Digitale Transformation IT-Strategie Automatisierung Prozessoptimierung

DORA in 12 Wochen — vom IKT-Register bis zum TLPT

Wir strukturieren Ihre DORA-Implementation in einem 30-minütigen Strategiegespräch und liefern Gap-Analyse + Roadmap.

30 Minuten • Unverbindlich • Sofort verfügbar

Lesenswert

Vertiefen Sie Ihr Wissen mit ausgewählten Artikeln aus der gleichen Themenwelt.

Bereit, Ihr Wissen in Aktion umzusetzen?

Dieser Beitrag hat Ihnen Denkanstöße gegeben. Lassen Sie uns gemeinsam den nächsten Schritt gehen und entdecken, wie unsere Expertise im Bereich DORA Compliance Ihr Projekt zum Erfolg führen kann.

Unverbindlich informieren & Potenziale entdecken.

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten