Informationssicherheit

Warum 2025 das Jahr der automatisierten Compliance wird: Neue EU-Vorschriften verändern alles

Autor
Datum
Aktualisiert am
1.7.2025
Warum 2025 das Jahr der automatisierten Compliance wird: Neue EU-Vorschriften verändern alles

Warum 2025 das Jahr der automatisierten Compliance ist: Neue EU-Vorschriften verändern alles

Die europäische Regulierungslandschaft erlebt derzeit den bedeutendsten Wandel seit Jahren. Mit der Frist für die Umsetzung der NIS2-Richtlinie im Oktober 2024 und dem Inkrafttreten der Anforderungen des Cyber Resilience Act (CRA) im Laufe des Jahres 2025 siehst du dich mit einer beispiellosen Ausweitung deiner Cybersicherheits- und Compliance-Verpflichtungen konfrontiert, die die Art und Weise, wie Sicherheit und Compliance verwaltet werden müssen, grundlegend verändern wird.

Diese regulatorische Entwicklung ist keine geringfügige Anpassung, sondern eine tiefgreifende Veränderung, die sowohl den Umfang der betroffenen Unternehmen als auch die Anforderungen, die du erfüllen musst, erweitert. Für viele Unternehmen bedeutet dies einen kritischen Wendepunkt, an dem traditionelle, manuelle Compliance-Ansätze nicht mehr tragfähig sind und Automatisierung von einem Wettbewerbsvorteil zu einer betrieblichen Notwendigkeit wird.

Im Laufe des Jahres 2025 wirst du feststellen, dass es bei der Automatisierung der Compliance nicht nur um Effizienz geht, sondern auch um Machbarkeit. Der schiere Umfang, die Komplexität und der fortlaufende Charakter dieser neuen Anforderungen machen manuelle Compliance-Ansätze zunehmend unhaltbar, unabhängig von der Größe oder den Ressourcen deines Unternehmens.

Die neue europäische Regulierungslandschaft

Um zu verstehen, warum Automatisierung unverzichtbar geworden ist, müssen wir zunächst die transformativen Veränderungen in den europäischen Cybersicherheitsvorschriften untersuchen:

NIS2-Richtlinie: Erweiterung des Geltungsbereichs und der Anforderungen

Die Richtlinie zur Netz- und Informationssicherheit 2 (NIS2) stellt eine erhebliche Erweiterung des europäischen Cybersicherheitsrahmens dar und muss bis zum 17. Oktober 2024 umgesetzt werden. Zu den wichtigsten Änderungen gehören:

Deutlich erweiterter Geltungsbereich: NIS2 gilt für etwa 160.000 europäische Unternehmen, gegenüber nur 11.000 nach der ursprünglichen NIS-Richtlinie.

Hinzufügung „wichtiger Einrichtungen“: Neben kritischen Infrastrukturen müssen nun auch mittlere und große Unternehmen in vielen Branchen Cybersicherheitsverpflichtungen erfüllen.

Erhöhte Sicherheitsanforderungen: Strengere Kontrollen für das Risikomanagement, die Vorfallsbearbeitung und die Sicherheit der Lieferkette.

Strengere Durchsetzungsmechanismen: Höhere Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Die Agentur der Europäischen Union für Cybersicherheit (ENISA) stellt in ihrer Bewertung der Umsetzung der NIS2-Richtlinie für 2024 fest, dass „die Richtlinie Cybersicherheitsverpflichtungen für Zehntausende von Organisationen schafft, die bisher keinen formellen Anforderungen unterlagen und von denen viele nicht über die Infrastruktur oder das Fachwissen für manuelle Compliance-Ansätze verfügen“.

Cyber Resilience Act: Revolution der Produktsicherheit

Der Cyber Resilience Act (CRA) führt die erste umfassende EU-weite Gesetzgebung zu Cybersicherheitsanforderungen für Produkte mit digitalen Elementen ein, deren Umsetzung 2025 beginnt. Zu den wichtigsten Aspekten gehören:

Breiter Produktumfang: Gilt für praktisch alle Hardware- und Softwareprodukte auf dem EU-Markt

Sicherheitsanforderungen während des gesamten Lebenszyklus: Sicherheitsverpflichtungen während des gesamten Produktlebenszyklus, nicht nur bei der Markteinführung

Vorgaben zum Schwachstellenmanagement: Laufende Anforderungen für die Identifizierung, Bewertung und Behebung von Schwachstellen

Umfangreiche Dokumentationspflichten: Umfangreiche technische Dokumentation und Nachweispflichten

Die Folgenabschätzung der Europäischen Kommission zum CRA 2024 schätzt, dass „über 90 % der europäischen Hersteller digitaler Produkte ihre Sicherheitspraktiken erheblich verbessern müssen, wobei umfassende Dokumentations- und Nachweispflichten ohne strukturierte, automatisierte Ansätze nicht zu bewältigen sind“.

Weitere regulatorische Entwicklungen

Über diese wichtigen Rahmenwerke hinaus verändern weitere bedeutende regulatorische Änderungen die Compliance-Landschaft:

Digital Operational Resilience Act (DORA): Schaffung umfangreicher neuer Anforderungen für Finanzunternehmen

Europäischer Gesundheitsdatenraum (EHDS): Festlegung von Sicherheits- und Interoperabilitätsanforderungen für Gesundheitsdaten

EU-KI-Gesetz: Einführung risikobasierter Anforderungen für Systeme der künstlichen Intelligenz

Überarbeitung der Produkthaftungsrichtlinie: Ausweitung der Haftung für unsichere digitale Produkte

„Die kumulativen Auswirkungen dieser regulatorischen Änderungen führen zu einer perfekten Sturmkonstellation für Compliance-Teams“, stellt die Information Systems Audit and Control Association (ISACA) in ihrem Bericht ‚2025 European Regulatory Landscape Report‘ fest. ‚Du siehst dich nun mit mehr Anforderungen konfrontiert, die mehr Aspekte deines Betriebs betreffen und bei Nichteinhaltung schwerwiegendere Folgen haben als je zuvor.‘

Warum manuelle Compliance-Ansätze versagen

Traditionelle Compliance-Ansätze – gekennzeichnet durch Tabellenkalkulationen, manuelle Nachweise und regelmäßige Bewertungen – sind in diesem neuen regulatorischen Umfeld aus mehreren wichtigen Gründen nicht mehr tragbar:

Umfang übersteigt manuelle Kapazitäten

Der schiere Umfang der neuen Anforderungen übersteigt das, was manuell effizient bewältigt werden kann:

Mehr Kontrollen: Allein die NIS2 führt für viele Unternehmen Hunderte neuer Sicherheitskontrollen ein.

Erweiterter Geltungsbereich: Die Anforderungen betreffen nun mehr Aspekte des Betriebs und der Produkte.

Höherer Nachweisbedarf: Die Dokumentationsanforderungen wurden drastisch erweitert.

Kontinuierliche Verpflichtungen: Eine punktuelle Compliance reicht nicht mehr aus.

Die Compliance-Fähigkeitsbewertung 2024 der Europäischen Kommission ergab, dass Unternehmen, die manuelle Methoden für die NIS2-Compliance einsetzen, durchschnittlich 1.200 Arbeitsstunden pro Jahr für Compliance-Aktivitäten aufwenden, die durch Automatisierung auf 320 Stunden reduziert werden könnten – eine Einsparung von 73 %.

Anforderungen an die kontinuierliche Compliance

Der vielleicht wichtigste Aspekt dieser neuen Vorschriften ist die Verlagerung von einer punktuellen Compliance hin zu kontinuierlichen Sicherheitsanforderungen:

Kontinuierliches Schwachstellenmanagement: Kontinuierliche Identifizierung und Behebung

Echtzeit-Reaktion auf Vorfälle: 24-Stunden-Benachrichtigungspflicht

Dynamische Risikobewertung: Regelmäßige Neubewertung entsprechend der Entwicklung der Bedrohungen

Kontinuierliche Nachweisführung: Laufende Dokumentation der Compliance

„Die Umstellung auf kontinuierliche Compliance-Verpflichtungen macht manuelle Ansätze grundlegend unbrauchbar“, erklärt die Cloud Security Alliance in ihrem Bericht ‚2025 Continuous Compliance Readiness Report‘. ‚Du kannst dich nicht mehr auf regelmäßige Bewertungs- und Behebungszyklen verlassen – du benötigst eine dauerhafte Transparenz und Kontrolle, die nur die Automatisierung bieten kann.‘

Herausforderungen bei der frameworkübergreifenden Integration

Viele Unternehmen müssen mehrere Frameworks gleichzeitig einhalten, was zu Integrationsproblemen führt, die mit manuellen Ansätzen nur schwer zu bewältigen sind:

Überschneidende Anforderungen: Ähnliche Kontrollen kommen in verschiedenen Frameworks vor

Unterschiedliche Nachweisanforderungen: Jedes Framework erfordert spezifische Dokumentationen

Unterschiedliche Bewertungszeiträume: Unterschiedliche Audit- und Bewertungszyklen

Inkonsistente Berichterstattung: Frameworkspezifische Berichtsanforderungen

Die Agentur der Europäischen Union für Cybersicherheit berichtet, dass Unternehmen, die NIS2 und ISO 27001 manuell verwalten, in der Regel 60 bis 70 % ihrer Compliance-Aufwände für verschiedene Frameworks doppelt leisten, während automatisierte Ansätze diese Redundanz um 85 bis 90 % reduzieren.

Ressourcenengpässe treffen auf wachsende Anforderungen

Angesichts wachsender Anforderungen siehst du dich mit relativ festen Compliance-Ressourcen konfrontiert:

Mangel an Sicherheitsexperten: Qualifiziertes Personal ist nach wie vor knapp und teuer

Budgetbeschränkungen: Die Compliance-Budgets wachsen nicht proportional zu den Anforderungen

Konkurrierende Prioritäten: Sicherheitsteams müssen Compliance und aktive Verteidigung in Einklang bringen

Ausweitung der Geschäftsaktivitäten: Das Wachstum des Unternehmens schafft zusätzlichen Compliance-Umfang

Der Bericht „2025 Security and Risk Management Trends“ von Gartner betont, dass „die Kluft zwischen Compliance-Anforderungen und verfügbaren Ressourcen für die meisten Unternehmen immer größer wird, sodass Automatisierung nicht nur ein Effizienzwerkzeug, sondern eine betriebliche Notwendigkeit ist“.

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

Warum 2025 das Jahr der automatisierten Compliance wird: Neue EU-Vorschriften verändern alles

Schlüsselbereiche, in denen Automatisierung unverzichtbar wird

Die Automatisierung der Compliance umfasst zwar viele Funktionen, doch gibt es einige spezifische Bereiche, in denen die Automatisierung rasch von einem Vorteil zu einer unverzichtbaren Notwendigkeit wird:

Erfassung und Verwaltung von Nachweisen

Die Erfassung von Nachweisen ist einer der ressourcenintensivsten Aspekte der Compliance, wobei neue Vorschriften die Anforderungen drastisch erhöhen:

Herausforderung durch das Volumen: NIS2 und CRA erfordern wesentlich mehr Nachweise

Häufigkeit: Nachweise müssen kontinuierlich und nicht nur in regelmäßigen Abständen gesammelt werden.

Spezifität: Nachweise müssen genau den Kontrollanforderungen entsprechen.

Rahmenübergreifende Verwendung: Ähnliche Nachweise müssen für mehrere Rahmenwerke verwendet werden können.

Die Studie „2024 Compliance Resource Allocation Study“ der Information Systems Security Association hat ergeben, dass Unternehmen, die Nachweise manuell sammeln, 3,7-mal mehr für Compliance-Aktivitäten ausgeben als Unternehmen, die automatisierte Ansätze verwenden, wobei sich diese Kluft mit zunehmenden regulatorischen Anforderungen weiter vergrößert.

Risikobewertung und -management

Neue Vorschriften legen einen verstärkten Schwerpunkt auf risikobasierte Ansätze, die über die manuellen Kapazitäten hinausgehen:

Kontinuierliche Bewertung: Risiken müssen laufend bewertet werden.

Umfassender Umfang: Die Bewertung muss alle relevanten Vermögenswerte und Prozesse abdecken.

Dynamische Anpassung: Risikobehandlungen müssen sich mit der Bedrohungslage weiterentwickeln.

Rahmenspezifische Sichtweisen: Unterschiedliche Vorschriften erfordern spezifische Risikoperspektiven.

„Das Risikomanagement hat sich von einer jährlichen oder vierteljährlichen Maßnahme zu einem kontinuierlichen Prozess entwickelt“, stellt die Europäische Bankenaufsichtsbehörde in ihrer Risikotechnologiebewertung 2025 fest. ‚Unternehmen, die ein automatisiertes Risikomanagement implementieren, erkennen und reagieren auf neue Risiken 15-mal schneller als Unternehmen, die manuelle Prozesse verwenden.‘

Lebenszyklus des Schwachstellenmanagements

Insbesondere die CRA legt umfassende Anforderungen an das Schwachstellenmanagement fest, die eine Automatisierung erfordern:

Kontinuierliches Scannen: Regelmäßige Identifizierung von Schwachstellen in allen Produkten

Koordinierte Bewertung: Bewertung der Auswirkungen und Ausnutzbarkeit von Schwachstellen

Rechtzeitige Behebung: Effiziente Verfolgung und Lösung identifizierter Probleme

Umfassende Berichterstattung: Dokumentation während des gesamten Lebenszyklus der Schwachstelle

Die Bewertung der Reife des Schwachstellenmanagements 2024 der Agentur der Europäischen Union für Cybersicherheit ergab, dass „Unternehmen ohne automatisiertes Schwachstellenmanagement in der Regel nur 40 bis 50 % der kritischen Schwachstellen innerhalb der erforderlichen Fristen beheben, während es bei Unternehmen mit Automatisierung mehr als 90 % sind.“

Compliance-Überwachung und Berichterstattung

Die kontinuierliche Einführung neuer Vorschriften verwandelt die Überwachung und Berichterstattung von periodischen zu permanenten Aktivitäten:

Echtzeit-Transparenz: Laufende Kenntnis des Compliance-Status

Wirksamkeit der Kontrollen: Kontinuierliche Validierung der Sicherheitsmaßnahmen

Identifizierung von Lücken: Sofortige Erkennung von Compliance-Verstößen

Regulatorische Berichterstattung: Effiziente Erstellung der erforderlichen Dokumentation

Die Cloud Security Alliance berichtet, dass Unternehmen, die eine automatisierte Compliance-Überwachung implementiert haben, Kontrollfehler im Durchschnitt 27 Tage früher erkennen als Unternehmen, die manuelle Ansätze verwenden, wodurch sowohl Sicherheits- als auch Compliance-Risiken erheblich reduziert werden.

Implementierungsstrategie: Der Weg zur automatisierten Compliance

Für Unternehmen, die sich in dieser regulatorischen Entwicklung zurechtfinden müssen, erfordert die Implementierung einer Compliance-Automatisierung einen durchdachten, schrittweisen Ansatz. Basierend auf dem Security Automation Framework 2024 der Europäischen Kommission sehen wir einen praktischen Fahrplan:

Phase 1: Fundament (Monate 1–3)

Bewertung der regulatorischen Anwendbarkeit: Bestimme, welche neuen Vorschriften dein Unternehmen betreffen.

Anforderungen den Geschäftsabläufen zuordnen: Identifiziere, wo die Anforderungen dein Unternehmen betreffen.

Aktuelle Compliance-Prozesse dokumentieren: Lege deinen Ausgangspunkt fest.

Automatisierungsmöglichkeiten priorisieren: Konzentriere dich zuerst auf die Bereiche mit der größten Auswirkung.

Roadmap für die Implementierung entwickeln: Erstelle einen schrittweisen Automatisierungsplan.

„Beginne mit einer umfassenden Bewertung der Vorschriften“, rät die Agentur der Europäischen Union für Cybersicherheit. „Ein genaues Verständnis der neuen Anforderungen für deine spezifischen Geschäftsabläufe ist die wesentliche Grundlage für eine effektive Automatisierung.“

Phase 2: Kernimplementierung (Monate 3–6)

Implementiere eine automatisierte Nachweisführung: Konzentriere dich auf Bereiche mit hohem Nachweisaufwand

Führe eine kontinuierliche Kontrollüberwachung ein: Ermögliche Echtzeit-Transparenz der Compliance

Richte eine automatisierte Risikobewertung ein: Implementiere eine kontinuierliche Risikobewertung

Konfiguriere eine frameworkübergreifende Zuordnung: Schaffe ein einheitliches Kontrollframework

Entwickle Compliance-Dashboards: Ermögliche Transparenz für alle Beteiligten

Die Information Systems Audit and Control Association empfiehlt, „Bereiche mit dem höchsten manuellen Aufwand und den größten Auswirkungen auf die Sicherheit“ zu priorisieren, da dieser Ansatz in der Regel die höchste anfängliche Rendite für Automatisierungsinvestitionen liefert.

Phase 3: Erweiterte Funktionen (Monate 6–12)

Implementiere vorausschauende Compliance-Funktionen: Antizipiere potenzielle Probleme

Einsatz fortschrittlicher Analysen: Identifiziere Muster und systemische Probleme

Einrichtung automatisierter Audit-Unterstützung: Optimiere regulatorische Bewertungen

Konfiguriere benutzerdefinierte Berichte: Erfülle spezifische regulatorische Anforderungen

Implementiere Workflows für kontinuierliche Verbesserungen: Entwickle deine Sicherheitslage weiter

„Mit zunehmender Reife der Automatisierung sollte der Fokus von Effizienz auf Effektivität verlagert werden“, rät die Europäische Kommission. „Erweiterte Funktionen reduzieren nicht nur den Ressourcenbedarf, sondern verbessern auch die Sicherheitslage und die Widerstandsfähigkeit erheblich.“

Erfolgsmessung: KPIs für die Compliance-Automatisierung

Um die Effektivität deiner Automatisierungsinitiativen zu bewerten, lege Kennzahlen für mehrere wichtige Dimensionen fest:

Effizienzkennzahlen

Produktivität der Compliance-Mitarbeiter: Für Compliance-Aktivitäten aufgewendete Stunden

Zeit für die Sammlung von Nachweisen: Reduzierung des manuellen Aufwands für die Sammlung

Erstellung von Dokumentationen: Zeit für die Erstellung der erforderlichen Berichte

Aufwand für die Auditvorbereitung: Für regulatorische Bewertungen erforderliche Ressourcen

Effektivitätskennzahlen

Erkennung von Kontrollfehlern: Zeit bis zur Identifizierung von Compliance-Problemen

Schwachstellenmanagement: Zeit bis zur Erkennung und Behebung von Schwachstellen

Risikoidentifizierung: Wirksamkeit der Risikoerkennung

Compliance-Abdeckung: Prozentsatz der Anforderungen mit automatisierter Überwachung

Kennzahlen zur Auswirkung auf das Geschäft

Zuweisung von Compliance-Ressourcen: Zeitaufwand der Mitarbeiter für regulatorische Aktivitäten

Reduzierung von Vorfällen: Verringerung der Sicherheitsvorfälle

Regulatorische Feststellungen: Reduzierung der Audit-Probleme

Markteinführungszeit: Auswirkungen auf die Produktentwicklungsgeschwindigkeit

Die European Cyber Security Organisation bietet ein umfassendes Rahmenwerk für Compliance-Automatisierungsmetriken, das detaillierte Implementierungshinweise für diese und andere relevante KPIs enthält.

Fallstudie: Automatisierung in der Praxis

Um das transformative Potenzial der Compliance-Automatisierung in diesem neuen regulatorischen Umfeld zu veranschaulichen, betrachte diese hypothetische Fallstudie, die eine Zusammenstellung realer Automatisierungsimplementierungen in europäischen Unternehmen darstellt:

TechServe Solutions, ein mittelständischer Technologieanbieter mit 250 Mitarbeitern, stand bei der Umsetzung der NIS2- und CRA-Anforderungen vor erheblichen Compliance-Herausforderungen. Eine erste Einschätzung ergab, dass über 200 neue Kontrollen implementiert und Nachweise aus 15 verschiedenen Systemen gesammelt werden mussten, was einen geschätzten manuellen Compliance-Aufwand von über 2.800 Stunden pro Jahr bedeutete.

Durch die Implementierung von Compliance-Automatisierung erzielte das Unternehmen folgende Ergebnisse:

• 78 % weniger Aufwand für das Compliance-Management

• 92 % weniger Zeitaufwand für die Sammlung von Nachweisen

• 68 % schnellere Erkennung von Kontrollfehlern

• Erfolgreiche Implementierung eines kontinuierlichen Schwachstellenmanagements

• Erreichung der Compliance ohne zusätzlichen Personalaufwand

„Die Automatisierung hat nicht nur unsere Effizienz verbessert“, so der hypothetische CISO. “Sie hat unsere Fähigkeit, regulatorische Anforderungen zu erfüllen, die mit unseren vorhandenen Ressourcen und manuellen Ansätzen einfach nicht zu bewältigen gewesen wären, grundlegend verändert.“

Fazit: Automatisierung als strategische Notwendigkeit

Im Laufe des Jahres 2025 wird die Konvergenz von NIS2, dem Cyber Resilience Act und anderen regulatorischen Entwicklungen die Compliance-Landschaft in Europa grundlegend verändern. Du siehst dich mit mehr Anforderungen konfrontiert, die mehr Aspekte deines Betriebs betreffen und bei Nichteinhaltung schwerwiegendere Folgen haben als je zuvor.

In diesem Umfeld ist die Automatisierung der Compliance nicht nur ein Effizienzwerkzeug, sondern eine strategische Notwendigkeit für Unternehmen, die sowohl Sicherheit als auch die Einhaltung gesetzlicher Vorschriften gewährleisten wollen. Durch die Implementierung umfassender Automatisierungsfunktionen kannst du:

• erweiterte regulatorische Anforderungen ohne proportionalen Ressourcenaufwand erfüllen

• kontinuierliche Compliance-Transparenz anstelle von punktuellen Bewertungen erreichen

• das Risiko von Verstößen und damit verbundenen Strafen reduzieren

• Sicherheitsressourcen freisetzen, um sich auf tatsächliche Sicherheitsverbesserungen statt auf die Dokumentation zu konzentrieren

Angesichts der sich weiterentwickelnden europäischen regulatorischen Anforderungen werden diejenigen Unternehmen erfolgreich sein, die Automatisierung nutzen, um Compliance zu meistern und sich gleichzeitig auf ihre Kerngeschäftsziele zu konzentrieren.

Bist du bereit, deinen Compliance-Ansatz in diesem neuen regulatorischen Umfeld zu transformieren? Erfahre, wie Kertos dir bei der Implementierung einer umfassenden Compliance-Automatisierung helfen kann, die auf die Anforderungen von NIS2, CRA und anderen sich weiterentwickelnden Vorschriften zugeschnitten ist. Fordere noch heute eine Demo an https://www.kertos.com/demo, um zu erfahren, wie Automatisierung deine Compliance-Reise transformieren kann.

Referenzen

1. Agentur der Europäischen Union für Cybersicherheit (ENISA). (2024). NIS2 Implementation Assessment. https://www.enisa.europa.eu/publications/nis2-implementation-assessment-2024

2. Europäische Kommission. (2024). CRA Impact Assessment. https://digital-strategy.ec.europa.eu/en/library/cra-impact-assessment-2024

3. Information Systems Audit and Control Association (ISACA). (2025). European Regulatory Landscape Report. https://www.isaca.org/resources/european-regulatory-landscape-2025

4. Europäische Kommission. (2024). Bewertung der Compliance-Fähigkeiten. https://digital-strategy.ec.europa.eu/en/library/compliance-capability-assessment-2024

5. Cloud Security Alliance (CSA). (2025). Bericht zur kontinuierlichen Compliance-Bereitschaft. https://cloudsecurityalliance.org/research/continuous-compliance-readiness-2025

6. Agentur der Europäischen Union für Cybersicherheit (ENISA). (2024). Studie zur Effizienz der Rahmenwerksintegration. https://www.enisa.europa.eu/publications/framework-integration-efficiency-2024

7. Gartner. (2025). Trends im Bereich Sicherheit und Risikomanagement. https://www.gartner.com/en/documents/security-risk-management-trends-2025

8. Information Systems Security Association (ISSA). (2024). Studie zur Zuweisung von Ressourcen für Compliance. https://www.issa.org/resources/compliance-resource-allocation-2024

9. Europäische Bankenaufsichtsbehörde. (2025). Risikotechnologiebewertung. https://www.eba.europa.eu/regulation-and-policy/risk-technology-assessment-2025

10. Agentur der Europäischen Union für Cybersicherheit (ENISA). (2024). Bewertung des Reifegrades des Schwachstellenmanagements. https://www.enisa.europa.eu/publications/vulnerability-management-maturity-2024

11. Europäische Kommission. (2024). Rahmenwerk für die Automatisierung der Sicherheit. https://digital-strategy.ec.europa.eu/en/library/security-automation-framework-2024

12. Europäische Cybersicherheitsorganisation (ECSO). (2024). Rahmenwerk für Messgrößen zur Automatisierung der Compliance. https://www.ecs-org.eu/documents/publications/compliance-automation-metrics-2024

Bereit, deine Compliance auf Autopilot zu setzen?
Dr Kilian Schmidt

Dr Kilian Schmidt

CEO & Co-Founder, Kertos GmbH

Dr. Kilian Schmidt entwickelte schon früh ein starkes Interesse an rechtlichen Prozessen. Nach seinem Studium der Rechtswissenschaften begann er seine Karriere als Senior Legal Counsel und Datenschutzbeauftragter bei der Home24 Gruppe. Nach einer Tätigkeit bei Freshfields Bruckhaus Deringer wechselte er zu TIER Mobility, wo er als General Counsel maßgeblich am Ausbau der Rechts- und Public Policy-Abteilung beteiligt war - und das Unternehmen von einer auf 65 Städte und von 50 auf 800 Mitarbeiter vergrößerte. Motiviert durch die begrenzten technologischen Fortschritte im Rechtsbereich und inspiriert durch seine beratende Tätigkeit bei Gorillas Technologies, war er Co-Founder von Kertos, um die nächste Generation der europäischen Datenschutztechnologie zu entwickeln.

Über Kertos

Kertos ist das moderne Rückgrat der Datenschutz- und Compliance-Aktivitäten von skalierenden Unternehmen. Wir befähigen unsere Kunden, integrale Datenschutz- und Informationssicherheitsprozesse nach DSGVO, ISO 27001, TISAX®, SOC2 und vielen weiteren Standards durch Automatisierung schnell und günstig zu implementieren.

Bereit für Entlastung in Sachen DSGVO?

CTA Image