EEnexus Tech & AI Brief

Top Signal — NIS2-Regis­­trie­rung star­tet: BSI-Por­­tal offen
Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) hat am 6. Janu­ar 2026 das Regis­trie­rungs­por­tal für die NIS2-Direk­­ti­­ve frei­ge­schal­tet. Betrof­fe­ne Unter­neh­men müs­sen sich inner­halb von drei Mona­ten (bis Ende April 2026) regis­trie­ren und erheb­li­che Sicher­heits­vor­fäl­le inner­halb von 24 Stun­den mel­den.
War­um es wich­tig ist: Nicht­re­gis­trie­rung führt zu Auf­sicht, Haf­tungs­ri­si­ken und mög­li­chen Buß­gel­dern bis 10 Mil­lio­nen Euro oder 2 % des Jah­res­um­sat­zes.
Source: privacyworld.blog

Com­pli­ance & Regu­la­ti­on
EU AI Act: KMU-Com­­pli­­an­ce ab Febru­ar 2025 ver­bind­lich
Der EU AI Act ist seit 2. Febru­ar 2025 in Kraft. KMU müs­sen ihre KI-Sys­­te­­me nach Risi­koklas­sen (mini­mal, gering, hoch, ver­bo­ten) ein­stu­fen und ent­spre­chen­de Doku­­men­­ta­­ti­ons- und Audit-Anfor­­de­run­­gen erfül­len. Die voll­stän­di­ge Com­­pli­­an­ce-Frist endet im August 2026.
War­um es wich­tig ist: Feh­ler­haf­te Ein­stu­fung kann zu Mil­­lio­­nen-Buß­­­gel­­dern füh­ren; frü­he Klas­si­fi­zie­rung sichert Rechts­si­cher­heit und För­der­zu­gang.
Next step: KI-Sys­­te­­me inven­ta­ri­sie­ren, Risi­koklas­se prü­fen und Doku­men­ta­ti­on auf­bau­en.
Source: fibu-magazin.de

Cyber­se­cu­ri­ty & Resi­li­ence
D‑Link-Rou­­ter: Kri­ti­sche Sicher­heits­lü­cke aktiv aus­ge­nutzt
Alte D‑Link DSL-Rou­­ter (CVE-2026–0625) mit Sicher­heits­lü­cke wer­den aktiv ange­grif­fen. Betrof­fen sind End-of-Life-Model­­le seit 2020. Angrei­fer kön­nen remo­te Code aus­füh­ren und DNS hija­cken.
War­um es wich­tig ist: Gerä­te sind unpatch­bar und müs­sen sofort ersetzt wer­den, um Net­z­­werk-Kom­­pro­­mi­t­­tie­rung zu ver­hin­dern.
Next step: Alte D‑Link-Rou­­ter inven­ta­ri­sie­ren und aus­tau­schen oder vom Inter­­net-Zugang iso­lie­ren.
Source: fieldeffect.com

Cloud & Data
EU Data Act: Daten­sou­ve­rä­ni­tät und Cloud-Swi­t­ching erzwun­gen
Die EU Data Act (seit 11. Janu­ar 2025 voll­stän­dig gül­tig) erzwingt Daten­sou­ve­rä­ni­tät und unter­sagt pro­prie­tä­re Sperr­me­cha­nis­men. Pro­vi­der müs­sen kos­ten­lo­se Daten­por­ta­bi­li­tät und offe­ne Schnitt­stel­len (S3-kom­­pa­­ti­­bel) anbie­ten. Unter­neh­men müs­sen Daten­spei­che­rung außer­halb der EU neu bewer­ten.
War­um es wich­tig ist: Extra­ter­ri­to­ria­le Zugrif­fe (z. B. US Cloud Act) gefähr­den Daten­schutz; dezen­tra­le, euro­päi­sche Infra­struk­tur wird zum Com­­pli­­an­ce-Stan­­dard.
Next step: Cloud-Ver­­­trä­­ge auf Data-Act-Kon­­­for­­mi­­tät prü­fen; Migra­ti­on zu EU-Anbie­­tern eva­lu­ie­ren.
Source: impossiblecloud.com

Eco­sys­tems & Open Inno­va­ti­on
Lon­g­­tail-Abhän­­gi­g­kei­­ten: 98 % der Sup­p­­ly-Chain-Risi­ken
Ana­ly­se zeigt: 98 % der Sicher­heits­lü­cken in Open-Source-Stacks sit­zen in der „Long­tail” — wenig sicht­ba­re, ver­nach­läs­sig­te Abhän­gig­kei­ten. Nur 2 % der Anfäl­lig­keit betref­fen die 20 Top-Pro­­jek­­te. Sup­p­­ly-Chain-Angrif­­fe wach­sen um Fak­tor 3 pro Jahr.
War­um es wich­tig ist: Klas­si­sche SBOM-Ansä­t­­ze erfas­sen nicht das tat­säch­li­che Risi­ko; Brei­te Patch-Ope­ra­­tio­na­­li­­sie­rung wird stra­te­gisch kri­tisch.
Next step: Open-Source-Inven­­tar erwei­tern; Abhän­gig­kei­ten der Long­tail zen­tra­li­siert über­wa­chen und patchen.
Source: thehackernews.com

Exe­cu­ti­ve Assess­ment
• NIS2-Frist läuft: Regis­trie­rung und Risi­­ko­­ma­­na­ge­­ment-Maß­­nah­­men bis April ein­pla­nen.
• AI-Act & Data-Act: Früh­zei­ti­ge Audits und Ver­­­trags-Updates sen­ken Buß­gel­der und sichern Markt­fä­hig­keit.
• D‑Link & Long­tail: Alt-Har­d­­wa­re sofort erset­zen und Sup­p­­ly-Chain-Über­­­wa­chung aus­bau­en.

Archiv: Tech & AI Brief — EEnexus