Jede Aufsicht sagt heute im Kern dasselbe, nur in anderen Worten: Beweisen Sie, dass Ihr Unternehmen widerstandsfähig ist, die Kontrolle behält und schnell reagieren kann. Ab 2026 wird daraus kein Foliensatz mehr, sondern harte Aufsicht.

Dieser Artikel beleuchtet die wichtigsten regulatorischen Änderungen 2026 für Finanz- und Professional-Services-Unternehmen in den USA, im Vereinigten Königreich und in der DACH-Region - und was das für Ihre Strategie rund um Identität, Zugriff und Prüfungen bedeutet.

Management-Zusammenfassung

Die EU-Verordnung über die digitale operationelle Resilienz (DORA) gilt seit dem 17. Januar 2025 für alle betroffenen Finanzunternehmen, und 2026 beginnt die Aufsicht damit, zu testen, wie wirksam Ihre Kontrollen tatsächlich sind - nicht nur, ob Sie ein Programmfeld abhaken.

Ab dem 11. September 2026 verpflichtet der EU Cyber Resilience Act (CRA) Hersteller digitaler Produkte zur Meldung von Schwachstellen und Sicherheitsvorfällen, während die meisten Pflichten des EU AI Act ab dem 2. August 2026 greifen - und damit unmittelbar Änderungen in KI-, Software- und Identitätskontrollen im Finanzsektor erzwingen.

Gleichzeitig gilt: Die geänderte New Yorker Cybersicherheitsverordnung (23 NYCRR Part 500) bringt alle Anforderungen der Second Amendment bis zum 1. November 2025 in Kraft, die Zertifizierung für 2025 ist am 15. April 2026 fällig; und in der Schweiz und im Vereinigten Königreich verlangen die Aufseher ab 2026 die vollständige Umsetzung neuer Regime zur operationellen Resilienz.

Aufseher erwarten heute nahezu in Echtzeit belastbare Antworten auf: "Wer hat worauf Zugriff, auf welcher Grundlage, und wie schnell können Sie das ändern?" Identity Governance ist damit eine zentrale Frontlinienkontrolle - kein nachgelagerter Gedankenpunkt mehr.

2026: von der Regelsetzung zur Durchsetzung

Zwischen 2020 und 2024 wurden neue Regeln geschrieben. 2025 und 2026 stehen im Zeichen der echten Durchsetzung.

Zentrale Meilensteine 2026 für Finanz- und Professional-Services-Unternehmen:

  • DORA wechselt von Vorbereitung zu strenger Aufsicht: EU-Behörden beginnen, kritische externe IKT-Dienstleister zu überwachen und IKT-Resilienz in zentrale Risikoprozesse (SREP) zu integrieren.
  • Die Meldepflichten des CRA für Vorfälle und Schwachstellen bei Anbietern digitaler Produkte gelten ab dem 11. September 2026.
  • Die Kernpflichten des EU AI Act werden ab dem 2. August 2026 durchsetzbar; weitere Hochrisiko-Vorgaben folgen 2027.
  • Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) und das novellierte BSI-Gesetz treten am 6. Dezember 2025 in Kraft. Betroffene Organisationen müssen sich bis 6. Januar 2026 über ein neues Portal beim BSI registrieren und die Registrierung zeitnah abschließen.
  • Das österreichische NISG 2026 weitet ab dem 1. Oktober 2026 die Anforderungen an Risikomanagement und Vorfallsmeldung auf rund 4.000 mittelgroße Unternehmen in 18 Sektoren aus, darunter Finanz- und Professional-Services.
  • Die FINMA erwartet von Schweizer Banken ab dem 1. Januar 2026 die vollständige Einhaltung des Rundschreibens 2023/1 zu operationellen Risiken und Resilienz, einschließlich verstärkter IKT- und Cyberrisiko-Steuerung.

Die Bedrohungslage rechtfertigt diese Verschärfung mehr als deutlich. Der Verizon Data Breach Investigations Report 2025 führt jede fünfte Verletzung auf gestohlene Zugangsdaten zurück; bei Webanwendungsangriffen stehen gestohlene Logins hinter 88 % der Vorfälle. IBM beziffert die durchschnittlichen globalen Kosten einer Verletzung 2024 auf 4,88 Millionen US-Dollar - den stärksten Anstieg gegenüber dem Vorjahr seit der Pandemie.

Aufseher lesen dieselben Schlagzeilen wie Sie. Ihre Antwort darauf: laufende, belegbare Kontrollen - statt jährlichem Abhaken von Checklisten.

EU & DACH: DORA, NIS2, CRA, AI Act - Identität als Baustein der operationellen Resilienz

DORA: Identität und Drittzugriffe als aufsichtsrechtliches Risiko

DORA geht weit über bessere Vorfallmeldungen hinaus. Die Verordnung verankert IKT-Governance, Drittparteirisiken und Tests im gleichen aufsichtsrechtlichen Rahmen wie Eigenkapital und Liquidität.

Für Finanz- und Professional-Services-Unternehmen in der EU und der DACH-Region bedeutet das:

  • Eine einzige, aktuelle Bestandsübersicht aller IKT-Dienste - einschließlich SaaS, Betriebs- und Steuerungstechnik (OT/ICS) und Nischenwerkzeuge -, nicht nur der Kernbankensysteme.
  • Einheitliche Zugriffsrichtlinien für interne Systeme wie auch ausgelagerte Services.
  • Nachweis, dass Sie identitätsbezogene Vorfälle (Diebstahl von Zugangsdaten, Missbrauch von Berechtigungen) erkennen, eindämmen und im Rahmen von Resilienztests bewältigen können.

Manuelle Checklisten für Eintritte, Wechsel und Austritte oder Prüfungen in Tabellenkalkulationen kommen hier nicht mehr mit. Wenn Aufseher fragen, wie eine "wesentliche Geschäftsleistung" durch Zugriffsfehler gestört werden könnte, brauchen Sie mehr als ein Richtliniendokument im PDF-Format.

NIS2 & NISG 2026: Verantwortung auf Vorstandsebene in Deutschland und Österreich

Die NIS2-Umsetzung und das überarbeitete BSI-Gesetz machen Identitäts- und Zugriffskontrolle zur Aufgabe auf Vorstandsebene für Tausende deutscher Organisationen.

  • Über 30.000 Unternehmen in Deutschland fallen unter NIS2, darunter zentrale Finanz- und Professional-Services-Unternehmen.
  • Die Leitungsebene muss Kontrollen, Vorfallreaktion, Schulungen und Sicherheit in der Lieferkette nachweisen - alles basierend auf einem klaren Verständnis der Zugriffe über alle Systeme hinweg.
  • Anfang 2026: Pflicht zur Registrierung beim BSI und Nutzung des neuen Portals für Vorfallmeldungen durch betroffene deutsche Unternehmen.

Das österreichische NISG 2026 etabliert eine nationale Cybersicherheitsbehörde. Ab dem 1. Oktober 2026 müssen betroffene Unternehmen dokumentierte Risikomanagement- und Vorfallsprozesse betreiben und die Geschäftsleitung zu ihren Pflichten schulen.

Für IT und Compliance heißt das: keine verwaisten Konten mehr, kein "die Personalabteilung hat vergessen, sie zu deaktivieren", kein ungeregelter Administratorzugriff für Lieferanten.

CRA & EU AI Act: Software, KI und neue Arten von Identitäten

Der CRA und der AI Act bauen auf DORA und NIS2 auf - sie definieren, wie echte Sicherheit und Governance für Software und KI aussehen.

  • Artikel 14 des CRA verlangt von Herstellern digitaler Produkte, aktive Schwachstellen und schwerwiegende Sicherheitsvorfälle ab dem 11. September 2026 zügig zu erkennen und zu melden.
  • Die einheitliche Meldeplattform (ENISA) sorgt ab demselben Zeitpunkt für den erwarteten nahezu Echtzeit-Blick auf Vorfälle.

Für Finanzinstitute, die Produkte oder Plattformen entwickeln, ist die Schnittstelle zur Identität offensichtlich:

  1. Sie müssen belegen können, welche Identitäten - Mitarbeitende, Dienstleister, Bots, automatisierte Build- und Deployment-Prozesse - Code ausrollen oder verändern dürfen.
  2. Sie müssen nachvollziehen können, welche Komponentenversion zu welchem Zeitpunkt welchen Nutzenden ausgesetzt war, wenn ein Vorfall eintritt.

Der EU AI Act ergänzt weitere Pflichten. Hochrisiko-Anwendungen im Finanzbereich - Bonitätsprüfungen, Betrugserkennung, automatisierte Risikoanalysen - unterliegen ab August 2026 neuen Anforderungen an Daten-Governance, Transparenz und Protokollierung.

Ihre KI-Agenten und Modelle werden damit zu "erstklassigen Identitäten". Sie benötigen ein vollständiges Lebenszyklusmanagement, Zugriffskontrollen und unveränderliche Prüfspuren - statt intransparenten Blackboxen.

Vereinigtes Königreich: operationelle Resilienz, kritische Drittparteien und das Gesetz zu Cyber-Sicherheit & Resilienz

Das Vereinigte Königreich verfolgt einen eigenen Ansatz zur Resilienz - keinen DORA-Klon.

  • Bereits geltende Vorgaben der Prudential Regulation Authority (PRA) und der Financial Conduct Authority (FCA) zu operationeller Resilienz und Auslagerungen, ergänzt um neue Leitlinien (November 2024) zur Beaufsichtigung von Drittanbietern für wichtige Dienstleistungen. Unternehmen müssen Klumpenrisiken steuern, Szenarien schwerer Störungen testen und Governance über Drittzugriffe und Datenflüsse sicherstellen.
  • Das kommende Gesetz zu Cyber-Sicherheit und Resilienz (Ende 2025) ist die größte Reform des britischen Cyberrechts seit einem Jahrzehnt - mit einer Modernisierung von NIS und neuen Pflichten für Betreiber essentieller Dienste und digitale Dienstleister.

Verwaltungsräte im Vereinigten Königreich müssen nun zeigen, wie Praktiken rund um Identität, Zugriff und Drittparteien unmittelbar zu Kundenschutz und Finanzstabilität beitragen. Technologie allein reicht nicht.

USA: meldelastige Regulierung trifft bundesstaatliche Cyberregeln

US-Aufsichtsbehörden setzen stärker auf Offenlegung und Verantwortlichkeit als auf detaillierte technische Vorgaben - doch am Ende muss Ihre Kontrolllandschaft auf dasselbe Ziel hinauslaufen.

  • Die Regeln der SEC aus 2023 verpflichten börsennotierte Unternehmen, wesentliche Cybervorfälle innerhalb von vier Werktagen offenzulegen und das Management von Cyberrisiken, die Strategie und die Governance im Jahresbericht zu beschreiben. Bis 2026 müssen Verwaltungsräte, Sicherheitsverantwortliche und Prüfungsausschüsse diese Antworten parat haben, bevor - nicht während - ein Vorfall eintritt.
  • Die Second Amendment der New Yorker Finanzaufsicht (NYDFS Part 500): bis 1. November 2025 stufenweise Einführung verschärfter Vorgaben zu Mehrfaktorauthentifizierung, Asset-Management und Governance. Die jährliche Zertifizierung für 2025 ist am 15. April 2026 fällig. Die NYDFS wechselt von Aufklärung zu konsequenter Durchsetzung.

US-Aufsichtsbehörden nähern sich ihren Pendants in EU und UK in einem Punkt deutlich an: Wenn Sie nicht nachweisen können, wie Zugriffe gewährt, überprüft und entzogen werden, können Sie kein "angemessenes" Management von Cyberrisiken belegen.

Was das praktisch bedeutet: vier Identitäts-Erwartungen für 2026

Über alle Regime hinweg wiederholen sich vier Kernanforderungen:

1. Laufende statt periodische Governance

Jährliche Zugriffsüberprüfungen passen nicht zu Angriffen rund um die Uhr. Aufseher erwarten heute, dass Sie:

  • verdächtige Zugriffe oder Berechtigungsänderungen schnell erkennen,
  • Überprüfungen "just in time" auslösen, wenn sich Risiken verändern (Rollenwechsel, Verlängerung von Dienstleisterverträgen, neue KI-Agenten),
  • aktuelle, nachvollziehbare Nachweise auf Abruf liefern - statt kurz vor der Prüfung in Hektik zu verfallen.

2. Vollständige Abdeckung - nicht nur die SCIM-freundlichen 20 %

Die meisten Organisationen betreiben einen bunten Mix aus Anwendungen mit Einmalanmeldung, zahlreichen SaaS-Lösungen, lokalen Systemen und OT sowie externen Portalen. DORA, NIS2 und die NYDFS erlauben es nicht, die schwer integrierbaren 80 % zu ignorieren.

Das bedeutet:

  • On- und Offboarding müssen für alle Anwendungen möglichst berührungslos funktionieren - auch ohne SCIM oder Programmierschnittstellen.
  • Dienstleistende, Offshore-Teams, Bots und KI-Agenten müssen im gleichen Lebenszyklus wie Mitarbeitende geführt werden.

3. Fein granulierte Kontrolle und Funktionstrennung - über Gruppen hinaus

Prüfende Stellen wollen Antworten zur Funktionstrennung (Segregation of Duties, SoD) und zu Hochrisiko-Zugriffen. "Sie sind in der Finanzgruppe" genügt nicht.

Sie benötigen:

  • Transparenz auf Ebene einzelner Berechtigungen (zum Beispiel: wer darf Überweisungen über dem Schwellenwert freigeben, wer hat Zugriff auf bestimmte Datenräume),
  • Arbeitsabläufe, die Konflikte bei der Funktionstrennung vor der Vergabe von Rechten blockieren oder markieren.

4. Unveränderliche, nachvollziehbare Prüfungsnachweise

Die maßgeblichen Regime (DORA, NIS2, CRA, AI Act, NYDFS, SEC) fordern im Kern eines: Beweis, wer was unter welcher Richtlinie zu welchem Zeitpunkt genehmigt hat - gestützt auf Protokolle, die nicht manipulierbar sind.

Manuelle Tabellen und verstreute Logdateien erreichen dieses Niveau in der Breite nicht.

Wo schlanke Identity Governance hingehört (und wie Iden auf 2026 blickt)

Eine Lösung für Einmalanmeldung wie Okta oder Entra und ein System für Sicherheitsinformations- und Ereignismanagement zu betreiben, reicht nicht mehr aus. 2026 wird diese Lücke gefährlich.

Moderne Identity Governance sollte:

  • Lebenszyklus-Entscheidungen über Ihren gesamten Technologiestapel hinweg automatisieren. Nicht nur für SCIM-fähige Anwendungen, sondern auch für Notion, Slack, Figma, GitHub, DocuSign, NetSuite, externe Portale sowie Alt- und OT-Systeme.
  • Richtliniengesteuerte, agentengestützte Arbeitsabläufe betreiben. KI-gestützte, weitgehend autonome Abläufe, die Bereitstellungen, Entzüge, Zugriffsüberprüfungen und Beweissammlung in Echtzeit steuern - statt reiner Durchwink-Genehmigungen.
  • Fein granulierte, nachvollziehbare Kontrolle liefern. Zugriffe auf Ebene von Kanälen, Repositorien, Projekten und Einzelberechtigungen, verknüpft mit Geschäftsrollen und Regeln zur Funktionstrennung.
  • Unveränderliche Prüfprotokolle führen. Banktaugliche Protokolle ermöglichen sofortige, belastbare Antworten auf die Frage von Prüfenden: "Wer hatte wann warum worauf Zugriff?" - ohne wochenlange Auswertungen in Tabellen.

Iden schließt genau diese Lücke für moderne, stark SaaS-geprägte Finanz- und Professional-Services-Teams. Iden verbindet sich mit jeder Anwendung (ob über SCIM, Programmierschnittstelle oder ohne beides), einschließlich Nischen-SaaS und Alt- bzw. OT-Systemen, und automatisiert den gesamten Identitätslebenszyklus - Onboarding, Änderungen, Offboarding und Zugriffsüberprüfungen - mit richtliniengesteuerten, intelligenten Arbeitsabläufen.

Umfassende Abdeckung und granulare Steuerung - ohne teure Großprojekterweiterungen ("keine SCIM-Steuer") - ermöglichen schlanken Teams laufende Governance in Regulierungsgeschwindigkeit, ohne die IAM-Abteilung aufzublähen.

Tatsächliche Effekte: Iden-Kundinnen und -Kunden verzeichnen rund 80 % weniger Zugriffstickets, sparen über 120 Stunden pro Quartal bei Zugriffsüberprüfungen und reduzieren ihre SaaS-Ausgaben um bis zu 30 % durch Rückgewinnung ungenutzter Lizenzen und das Vermeiden von SCIM-Aufschlägen. Für schlanke IT-Teams, die sich auf SOC 2, ISO 27001, DORA oder NIS2 vorbereiten, ist das der Unterschied zwischen einer überstandenen Prüfungssaison und dem Untergehen in ihr.

Überblick: Regulierungen 2026 und ihre Erwartungen an Identität

Regulierung / Regime Region / Geltung Meilenstein 2026 Auswirkungen auf Identität & Zugriff
DORA Finanzunternehmen in der EU Erstes volles Anwendungsjahr und Aufsicht über IKT-Drittparteien Einheitliche Zugriffskontrollen und Vorfallreaktion über interne und ausgelagerte IKT hinweg; Identitätsdaten speisen Resilienztests.
NIS2 / NIS2UmsuCG Deutschland BSI-Registrierung, Cyberpflichten auf Vorstandsebene Anfang 2026 Leitung persönlich verantwortlich für risikobasierten Zugriff, Lieferantenzugriffe, Vorfallmeldungen.
NISG 2026 Österreich Pflichten gelten ab 1. Oktober 2026 Erfordert robuste Prozesse für Identität, Zugriff und Vorfälle über alle betroffenen Dienste hinweg.
CRA EU (digitale Produkte) Schwachstellen- und Vorfallmeldungen ab 11. September 2026 Nachvollziehbare, rollenbasierte Zugriffe auf Entwicklung, Build und Deployment; schneller Entzug kompromittierter Identitäten.
EU AI Act EU (einschließlich Finanzsektor) Hauptpflichten gelten ab 2. August 2026 Hochrisiko-KI mit Protokollierung und nachvollziehbaren Entscheidungen; KI-Agenten als gesteuerte Identitäten.
Gesetz zu Cyber-Sicherheit & Resilienz + OpRes-Vorgaben Vereinigtes Königreich 2026: Gesetzgebungsverfahren, Aufsicht über kritische Drittparteien, PRA/FCA-Updates Verwaltungsräte müssen zeigen, dass Identität, Zugriff und Drittparteienkontrollen Resilienz und Kundenschutz tragen.
SEC-Regeln zu Cyber-Offenlegung Börsennotierte US-Unternehmen 2026: gereifte Erwartungshaltung Formalisierte Governance, Nachweis aktiver, von der Leitung überwachter Identitätskontrollen.
NYDFS Part 500 (Second Amendment) In New York regulierte Finanzunternehmen Alle Anforderungen gültig ab 1. November 2025; Zertifizierung am 15. April 2026 Verschärfte Vorgaben zu Mehrfaktorauthentifizierung, Inventar und Governance; manuelles Offboarding/verwaiste Konten kaum noch vertretbar.
FINMA-Rundschreiben 2023/1 Schweizer Banken Einhaltung erwartet ab 1. Januar 2026 Operationelles Risiko und Resilienz umfassen nun Cyberrisiken - Identität ist Teil des Kergrisikos.

Häufig gestellte Fragen

Wie priorisiere ich die Änderungen 2026, wenn wir ein mittelgroßes Haus und keine globale Großbank sind?

Beginnen Sie mit den Regimen, die Sie eindeutig betreffen:

  • EU/DACH: DORA + NIS2/NISG 2026 + CRA/AI Act, wenn Sie Software und KI entwickeln oder stark nutzen.
  • Vereinigtes Königreich: Vorgaben von PRA/FCA zu operationeller Resilienz und Auslagerungen plus das Gesetz zu Cyber-Sicherheit & Resilienz.
  • USA: SEC-Regeln zu Cyber-Offenlegung (falls börsennotiert) sowie NYDFS Part 500, wenn Sie in New York reguliert sind.

Ordnen Sie die Anforderungen vier Kontrollbereichen zu: vollständiges Anwendungs- und Identitätsinventar, Automatisierung des Lebenszyklus, granulare Zugriffs- und Richtliniensteuerung, prüfsichere Protokolle. Wenn eine Maßnahme keinem dieser Bereiche erkennbar dient, stellen Sie ihren Nutzen infrage.

Wie überlappen sich DORA und NIS2 für Finanz- und Professional-Services-Unternehmen in der DACH-Region?

DORA ist sektorspezifisch - der Fokus liegt auf Finanzunternehmen und ihren IKT-Dienstleistern. NIS2 ist breiter angelegt - es umfasst alle wesentlichen und wichtigen Einrichtungen, darunter Teile des Finanz- und Professional-Services-Sektors.

Sie überschneiden sich bei:

  • Verantwortung der Leitungsebene für Cyber- und operationelle Resilienz,
  • Management von IKT- und Drittparteirisiken,
  • zeitnaher Meldung von Vorfällen.

Bauen Sie einen integrierten Ansatz für Identität und Zugriff, der beide Fragenkataloge beantwortet. Getrennte Technologiestapel für unterschiedliche Regime lohnen sich nicht.

Spielt der EU AI Act eine Rolle, wenn wir nur KI-Werkzeuge von Drittanbietern nutzen (zum Beispiel große Sprachmodelle) und keine eigenen Modelle entwickeln?

Ja - wenn KI in regulierte Prozesse eingebettet ist (Bonitätsprüfungen, Betrugsprüfungen, Geeignetheitsprüfungen). Selbst wenn das Modell von einem Dritten geliefert wird, können Sie als "Hochrisiko-Anwender" eingestuft werden. Sie benötigen dann:

  • ein Inventar Ihrer KI-Systeme und Einsatzszenarien,
  • Kontrolle über Datenzugriffe,
  • Protokolle zu Eingaben, Ausgaben und zentralen Entscheidungen.

Behandeln Sie KI-Agenten wie privilegierte Identitäten: steuern Sie Zugriffe, überwachen Sie das Verhalten und seien Sie in der Lage, Berechtigungen schnell zu entziehen.

Welche Art von Nachweisen zu Zugriffsüberprüfungen erwarten Prüfende im Jahr 2026?

Über SOC 2, ISO 27001, DORA, NIS2 und NYDFS hinweg gilt als belastbarer Nachweis:

  • klarer Umfang: welche Systeme, Personengruppen, Berechtigungen wurden geprüft,
  • Dokumentation, wer was wann bestätigt hat und mit welchem Ergebnis,
  • Nachweis der Folgemaßnahmen - zum Beispiel entziehene oder angepasste Zugriffe.

Wer noch mit Tabellen und E-Mails arbeitet, wird Mühe haben, zu belegen, dass Überprüfungen mehr waren als "Durchwinken". Automatisierte, richtliniengesteuerte Reviews mit unveränderlichen Protokollen sind der neue Mindeststandard.

Welche Rolle spielt eine Identity-Governance-Plattform wie Iden neben Einmalanmeldung und Sicherheitsmonitoring?

Kurz gefasst:

  • Einmalanmeldung (Okta, Entra): authentifiziert und vermittelt Anmeldungen.
  • Sicherheitsinformations- und Ereignismanagement sowie erweiterte Erkennungs- und Reaktionssysteme: überwachen Bedrohungen im laufenden Betrieb.
  • Identity Governance: entscheidet, wer Zugriff haben soll, hält dies mit den Richtlinien im Einklang und macht es für Prüfende nachweisbar.

Iden dockt an Einmalanmeldung und Personalinformationssystem an und automatisiert dann Bereitstellungen, Entzüge, Überprüfungen und Prüfungen über jede Anwendung hinweg - auch dort, wo Einmalanmeldung nicht hinkommt - und erfüllt damit die Compliance-Anforderungen 2026, ohne zusätzliche Stellen oder SCIM-Aufschläge erforderlich zu machen.