Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Zwei Compliance-Horizonte: Was die 96%ige DORA-Nichterfüllung in der EU für den Golf bedeutet

Zwei Compliance-Horizonte: Was die 96%ige DORA-Nichterfüllung in der EU für den Golf bedeutet

von Marc ten Eikelder updated Juni 5, 2026 Regulatorische Compliance
Lesezeit: 7 Minuten

Die Statistik der Span Cyber Security Arena-Konferenz verdient Aufmerksamkeit über Europa hinaus. 96 Prozent der Finanzdienstleister in EMEA – einschließlich derjenigen mit Sitz oder Betrieb am Golf – berichten, dass ihre Datenresilienz die DORA-Anforderungen noch nicht erfüllt. Das ist der nahezu einhellige Standpunkt einer Branche, die massiv in Compliance-Infrastruktur investiert hat. Die hohe Fehlerquote liegt nicht an fehlenden Ressourcen, sondern an der Architektur.

Für Unternehmen im GCC mit europäischen Aktivitäten, EU-Kundendaten oder EU-Datensubjekten ist diese Statistik keine europäische Randnotiz. Sie ist ein operativer Statusbericht. DORA interessiert sich nicht dafür, wo ein IKT-Dienstleister registriert ist. Wer kritische oder wichtige IKT-Dienstleistungen für ein EU-reguliertes Finanzinstitut erbringt, unterliegt der Überprüfung der Compliance nach DORA.

Die Unternehmen, mit denen ich am Golf arbeite, stehen gleichzeitig unter Compliance-Druck aus zwei Richtungen. Die europäische Dreifach-Welle – NIS2, DORA und der EU AI Act – wirkt auf die europäischen Aktivitäten ein. Parallel dazu entwickeln sich die Datenschutzrahmen im GCC mit hoher Geschwindigkeit weiter.

Das Datenschutzgesetz der VAE, in Kraft seit September 2023, etabliert Zustimmungs- und Betroffenenrechte, die in vielen Punkten der DSGVO entsprechen. Das Datenschutzgesetz Saudi-Arabiens mit den 2024er Durchführungsbestimmungen schafft vergleichbare Pflichten für Unternehmen, die Daten saudischer Staatsbürger verarbeiten. Das Datenschutzgesetz Katars fügt eine dritte GCC-Jurisdiktion mit formalen Datenschutzanforderungen hinzu. Unternehmen mit Aktivitäten in mehreren GCC-Ländern stehen vor einer inländischen Multi-Framework-Compliance-Landschaft, die strukturell – wenn auch nicht im Detail – dem entspricht, was europäische Unternehmen mit NIS2, DORA und dem AI Act erleben.

Die Compliance-Mathematik ist nicht additiv. EU-Frameworks, GCC-Frameworks und branchenspezifische Anforderungen von Finanzaufsichtsbehörden wie SAMA, CBUAE und QCB erzeugen eine Compliance-Arbeitslast, die sich multipliziert statt addiert – insbesondere, wenn jedes Framework eigene Dokumentationsformate, eigene Prüfprotokolle und eigene Meldeverfahren für Vorfälle verlangt.

5 Wichtige Erkenntnisse

1. Die 96%-DORA-Fehlerquote ist kein europäischer Randaspekt – sie ist ein operativer Statusbericht für Golf-Unternehmen.

96 Prozent der Finanzdienstleister in EMEA berichten, dass ihre Datenresilienz die DORA-Anforderungen noch nicht erfüllt. Wer kritische IKT-Dienstleistungen für EU-regulierte Finanzinstitute erbringt – unabhängig vom Firmensitz – unterliegt der Compliance-Prüfung nach diesem Framework. Die Fehlerquote ist keine Ressourcenfrage, sondern eine Frage der Architektur.

2. Golf-Unternehmen stehen gleichzeitig unter Compliance-Druck aus zwei Richtungen.

Die europäische Dreifach-Welle – NIS2, DORA und der EU AI Act – wirkt auf die europäischen Aktivitäten ein. Die Datenschutzgesetze der VAE, Saudi-Arabiens und Katars entwickeln sich auf der inländischen Seite weiter. Die Compliance-Mathematik ist nicht additiv: EU-Frameworks, GCC-Frameworks und branchenspezifische Anforderungen der Finanzaufsicht erzeugen eine Arbeitslast, die sich multipliziert, nicht addiert.

3. Fragmentierte Prüfprotokoll-Infrastruktur scheitert an beiden Fronten gleichzeitig.

61 Prozent der Unternehmen haben fragmentierte Prüfprotokolle über mehrere Systeme verteilt. In einer Dual-Horizon-Umgebung bedeuten fragmentierte Protokolle, dass jeder Prüfzyklus denselben Aufwand zur Beweisrekonstruktion erfordert – gegen zwei verschiedene regulatorische Erwartungshaltungen, mit zwei unterschiedlichen Evidenzformaten. Ein DORA-Prüfer und ein Auditor nach saudischem PDPL verlangen dieselben zugrundeliegenden Nachweise, aber mit unterschiedlicher Begrifflichkeit.

4. Ein KI-Agent, der außerhalb seines vorgesehenen Rahmens agiert, ist ein Multi-Framework-Ereignis.

Zwei Drittel der Unternehmen vermuten, dass ihre KI-Agents bereits auf Daten außerhalb ihres vorgesehenen Rahmens zugegriffen haben. Für Golf-Unternehmen, die EU- und GCC-Jurisdiktionen abdecken, ist das gleichzeitig ein DORA-IKT-Vorfall, ein DSGVO-Datenschutzproblem, eine Meldepflicht nach VAE PDPL und potenziell ein Verstoß gegen den grenzüberschreitenden Datentransfer nach saudischem PDPL. KI-Governance ist kein Problem nur einer Jurisdiktion.

5. Die Architektur, die beiden Anforderungen gerecht wird, ist dieselbe Architektur.

Die von DORA, NIS2, dem EU AI Act und den GCC-Datenschutzgesetzen geforderten Kontrollen sind im Kern nicht unterschiedlich: Zugriffskontrollen, verschlüsselte Datenverarbeitung, Vorfallprotokollierung mit Zuordnung und Audit-Trails, die regulatorische Prüfungen bestehen. Implementieren Sie diese Kontrollen einmal – über alle Kanäle, über die sensible Daten laufen – und generieren Sie daraus die Nachweise, die jedes Framework verlangt.

Warum das aktuelle Evidenzmodell scheitert

Die Cisco Privacy Benchmark Study zeigt, dass Unternehmen heute im Schnitt 3.891 SaaS- und KI-Umgebungen betreiben. In diesen Umgebungen entstehen Zugriffsprotokolle, Vorfallberichte und Datentransferaufzeichnungen in Dutzenden Formaten und mit unterschiedlichen Attributionsstandards. Wenn ein DORA-Prüfer Nachweise zur Klassifizierung von IKT-Vorfällen verlangt oder eine saudische PDPL-Prüfung Nachweise zu grenzüberschreitenden Datentransfers und Einwilligungen fordert, benötigt die Beweisrekonstruktion – das Zusammenziehen von Protokollen aus E-Mail-Systemen, Filetransfer-Plattformen, Cloud-Speichern, MFT-Infrastruktur und KI-Interaktionslogs – regelmäßig Wochen an Arbeitszeit im Compliance-Team.

Der Kiteworks 2026 Data Security and Compliance Risk Forecast Report zeigt: 61 Prozent der Unternehmen haben fragmentierte Prüfprotokolle über mehrere Systeme verteilt. In einer Single-Framework-Compliance-Umgebung sind fragmentierte Protokolle ein handhabbares operatives Ärgernis. In einer Dual-Horizon-Compliance-Umgebung – EU- und GCC-Frameworks gleichzeitig – bedeuten fragmentierte Protokolle, dass jeder Prüfzyklus denselben Rekonstruktionsaufwand erfordert, gegen zwei verschiedene regulatorische Erwartungshaltungen, mit zwei unterschiedlichen Evidenzformaten.

Der Akeyless 2026 State of AI Agent Identity Security Report, basierend auf 400 IT- und Sicherheitsverantwortlichen, zeigt: Zwei Drittel der Unternehmen vermuten, dass ihre KI-Agents bereits auf Daten außerhalb ihres vorgesehenen Rahmens zugegriffen haben. Für Golf-Unternehmen, die KI in Operationen einsetzen, die EU- und GCC-Jurisdiktionen abdecken – mit unterschiedlichen Datenklassifizierungen, Einwilligungsstandards und Regeln für grenzüberschreitende Transfers – ist ein KI-Agent, der außerhalb seines vorgesehenen Rahmens agiert, nicht nur ein Sicherheitsvorfall. Es ist gleichzeitig ein DORA-IKT-Vorfall, ein DSGVO-Datenschutzproblem, eine Meldepflicht nach VAE PDPL und potenziell ein Verstoß gegen den grenzüberschreitenden Datentransfer nach saudischem PDPL.

Der EU AI Act bringt die dritte Dimension

Die Hochrisiko-Pflichten des EU AI Act treten im August 2026 in Kraft. Für Golf-Unternehmen, die KI-gestützte Dienstleistungen für EU-Kunden erbringen – etwa Risikobewertungen, automatisierte Dokumentenverarbeitung oder kundennahe KI-Systeme, die EU-Datensubjekte betreffen – sind die Anforderungen an Dokumentation, Risikomanagement und menschliche Kontrolle nicht optional. Die August-Frist bezieht sich auf die Auswirkungen des KI-Systems auf EU-Bürger, nicht auf den Hosting-Standort oder die Herkunft des Entwicklers.

Cybersecurity-Governance-Expertin Antonija Vojnović stellte auf der Span-Konferenz fest, dass das Bewusstsein für KI-Datenabflussrisiken durch Enterprise-KI-Tools weiterhin gering ist. Auch meine Arbeit mit Unternehmen im Golf und EMEA bestätigt das: Es gibt eine starke Bereitschaft zur KI-Nutzung, aber eine erhebliche Lücke zwischen diesem Willen und der notwendigen KI-Governance-Infrastruktur, um KI sicher über mehrere regulatorische Umgebungen hinweg einzusetzen.

Was die Architektur leisten muss

Die von DORA, NIS2, dem EU AI Act, VAE PDPL, Saudi PDPL und QCB-Datengovernance geforderten Kontrollen sind im Kern gleich: Zugriffskontrollen, verschlüsselte Datenverarbeitung, Vorfallprotokollierung mit Zuordnung, Audit-Trails für regulatorische Prüfungen und Überwachung von Drittanbietern. Die Frameworks unterscheiden sich in Begrifflichkeit und Durchsetzung. Die zugrundeliegenden technischen Kontrollen sind identisch.

Eine Compliance-Architektur, die Dual-Horizon-Compliance nachhaltig macht, setzt diese Kontrollen einmal um – über alle Kanäle, über die sensible Daten laufen, in allen Jurisdiktionen – und generiert daraus die Nachweise, die jedes Framework verlangt. Kein separates Compliance-Programm für DORA und ein weiteres für VAE PDPL. Eine gesteuerte Datenumgebung, die nachvollziehbare, manipulationssichere Protokolle für jeden Datenzugriff erstellt – formatiert für jede regulatorische Prüfung.

Das Kiteworks Private Data Network konsolidiert E-Mail, Filesharing, Managed File Transfer, SFTP, Web-Formulare, APIs und KI-Integrationen unter einer Richtlinien-Engine und einem zentralen Prüfprotokoll. Vorgefertigte Compliance-Dashboards für DSGVO, DORA und NIS2 generieren Framework-spezifische Nachweise aus denselben zugrundeliegenden Daten – eine Architektur, zwei Compliance-Horizonte, eine Evidenzbasis.

Die Unternehmen, die jetzt eine Compliance-Architektur aufbauen – unabhängig davon, welches regulatorische Frist am dringendsten ist – werden die DORA-Lücke schließen, den GCC-Prüfzyklus bestehen und die August-Frist des AI Act mit derselben Investition erfüllen. Unternehmen, die für jedes Framework ein separates Programm aufbauen, werden feststellen, dass die Compliance-Arbeitslast schneller wächst als die Kapazität des Teams.

Die 96%-DORA-Fehlerquote ist keine Warnung für europäische Unternehmen. Sie ist ein Maßstab für jedes Unternehmen mit Berührung zu EU-Regulierungsrahmen – und am Golf ist diese Berührung erheblich und wächst weiter.

Erfahren Sie mehr darüber, wie Sie DORA-Compliance nachweisen können – vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Ja. DORA gilt auf Basis der Funktion, die Sie für EU-regulierte Finanzinstitute übernehmen – nicht nach Firmensitz. Unterstützen Ihre Services kritische oder wichtige Funktionen eines EU-Finanzinstituts, unterliegt Ihre Compliance-Haltung der DORA-Prüfung – einschließlich IKT-Risikomanagement, Vorfallmeldung und Drittanbieter-Überwachung. 96 Prozent der Finanzunternehmen in EMEA erfüllen die DORA-Anforderungen an Datenresilienz noch nicht – der Aufbau von Compliance-Infrastruktur hat daher höchste Priorität.

Die zugrundeliegenden technischen Kontrollen beider Frameworks – Zugriffskontrollen, verschlüsselte Datenverarbeitung, Vorfallprotokollierung mit Zuordnung und manipulationssichere Audit-Trails – sind im Wesentlichen identisch. Eine einheitliche Datenbewegungsplattform, die diese Kontrollen einmal durchsetzt und Framework-spezifische Nachweise aus einer einzigen Implementierung generiert, erfüllt beide Anforderungen. Das Kiteworks Private Data Network liefert vorgefertigte Compliance-Dashboards für DSGVO, DORA und NIS2 aus denselben zugrundeliegenden Prüfprotokollen.

Ja. Der EU AI Act gilt, wenn KI-Ausgaben Auswirkungen auf EU-Bürger haben – unabhängig davon, wo das KI-System gehostet oder entwickelt wird. Golf-Unternehmen, die KI-gestützte Risikobewertungen, automatisierte Dokumentenverarbeitung oder kundennahe KI-Systeme für EU-Kunden bereitstellen, müssen die Anforderungen an Dokumentation, Risikomanagement und menschliche Kontrolle bis August 2026 erfüllen. Bei schwerwiegenden Verstößen können Bußgelder bis zu 7 Prozent des weltweiten Jahresumsatzes verhängt werden.

Die Ursache sind fragmentierte Protokolle – 61 Prozent der Unternehmen arbeiten mit Prüfprotokollen, die über E-Mail, Filetransfer, Managed File Transfer, Cloud-Speicher und KI-Interaktionssysteme verteilt sind. Eine einheitliche Kontrollinstanz, die alle sensiblen Datenbewegungen unter einer Richtlinien-Engine und einem Audit-Trail konsolidiert, eliminiert den Rekonstruktionsaufwand. Wenn DORA-, Saudi-PDPL- und VAE-PDPL-Prüfungen anstehen, liegen die Nachweise bereits vor – als Bericht, nicht als Forensik-Projekt.

Zwei Drittel der Unternehmen vermuten, dass ihre KI-Agents bereits auf Daten außerhalb ihres vorgesehenen Rahmens zugegriffen haben – ein einzelnes Ereignis, das gleichzeitig Pflichten nach DORA, DSGVO und GCC-Datenschutzgesetzen auslösen kann. Die Lösung ist KI-Governance auf Datenebene: Authentifizieren Sie jede Agenten-Anfrage, erzwingen Sie attributbasierte Zugriffskontrollen und protokollieren Sie jede Interaktion in einem manipulationssicheren Audit-Trail – unabhängig vom Modell oder der Jurisdiktion. Der Kiteworks Secure MCP Server und das AI Data Gateway setzen dieses Muster über alle Jurisdiktionen hinweg aus einer einzigen gesteuerten Infrastruktur um.

Weitere Ressourcen

  • Blogbeitrag Der Kampf um Ihre Daten: Wie CLOUD- und SHIELD-Acts Sicherheit und Datenschutz gegeneinander ausspielen
  • Blogbeitrag Sensible Daten schützen: DSPM auf Ihre Compliance-Ziele abstimmen
  • Kurzbericht Die 3 häufigsten FERPA-Verstöße und wie Sie sie vermeiden
  • Blogbeitrag Executive Order 14117: Schutz sensibler personenbezogener Massendaten von US-Bürgern
  • Blogbeitrag NIS2-Compliance erforderlich? Starten Sie mit ISO 27001

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks