Wer digitale Produkte in Europa verkaufen will, kennt das Spiel mit der CE-Kennzeichnung: technische Unterlagen zusammenstellen, Konformität erklären, Label aufkleben, fertig. Zumindest war es lange so. Mit dem Cyber Resilience Act (CRA) beginnt eine neue Ära. Das CE-Zeichen bleibt, doch sein Inhalt wandelt sich grundlegend. Neben elektrischer Sicherheit, EMV und Produkthaftung rückt nun Cybersicherheit in den Mittelpunkt – nicht als freiwillige Beigabe, sondern als zwingende Marktzutrittsbedingung.

Dieser Text erklärt – ohne Angst, aber ohne Beschönigung – was das praktisch bedeutet. Er richtet sich an Produktmanager, CTOs, Compliance-Verantwortliche, Gründerinnen und Gründer, Einkäufer und Integratoren. Er erzählt, wie man vom ersten Architekturentwurf bis zur letzten Seriennummer CE-fähig bleibt, warum die Dokumentation plötzlich strategisch wird, wieso Vulnerability-Handling und Meldepflichten zu einem neuen „Betriebssystem“ für Hersteller werden – und an welchen Stellen Unternehmen erfahrungsgemäß stolpern. Alles in flüssigem Text, mit punktuellen Einschüben dort, wo es das Verständnis erleichtert.

COBIT war schon immer mehr als nur ein Framework für IT-Kontrollen. Seit den frühen Versionen in den 1990er-Jahren bis hin zur Neuausrichtung mit COBIT 2019 hat sich gezeigt: Wer Informationen und Technologie wirksam steuern will, braucht einen klaren Ordnungsrahmen, der Strategie, Risiko und operatives Handeln zusammenführt. Doch so reif COBIT 2019 auch ist – die Welt steht nicht still. Cloud-Ökosysteme, KI-getriebene Produkte, geopolitische Spannungen, verschärfte Regulierung und der Fokus auf digitale Resilienz verschieben den Maßstab. Aus dieser Dynamik speist sich der Gedanke COBIT Next: nicht als einzelne Version mit Stichtag, sondern als nächste Evolutionsstufe einer Governance-Logik, die Orientierung statt Überforderung bietet.

Was COBIT Next meint – und was nicht

COBIT Next ist keine neue Checkliste. Es ist die konsequente Weiterentwicklung von COBIT 2019 hin zu einem Kompass, der Organisationen befähigt, Governance als lebenden Prozess zu betreiben. Die Fragen dahinter sind handfest: Wohin entwickelt sich Governance nach 2019? Welche Antworten braucht ein Unternehmen, wenn sich Geschäftsmodelle in Monaten drehen, regulatorische Erwartungen sich verdichten und Technologiezyklen im Wochenrhythmus laufen? Und vor allem: Wie entsteht Mehrwert aus Governance – nicht nur formale Compliance?

Bis gestern haben Sie Features priorisiert, als ginge es um die Frage „Was bringt den nächsten großen Kunden, was begeistert die Presse, was macht den Vertrieb glücklich?“. Ab morgen steht eine andere Frage im Raum: „Welche dieser Funktionen können wir überhaupt noch verantworten, ohne gegen den Cyber Resilience Act (CRA) zu verstoßen – und wer haftet, wenn wir es trotzdem tun?“ Das mag dramatisch klingen, ist aber nüchtern betrachtet die neue Realität für alle, die Produkte mit digitalen Komponenten bauen, betreiben oder vertreiben. Der CRA dreht die Blickrichtung von außen nach innen: Weg von der Feature-Show, hin zur belastbaren Fähigkeit, ein Produkt über seinen gesamten Lebenszyklus sicher zu halten. Und genau deshalb sprengt er klassische Roadmap-Rituale – nicht aus Bosheit, sondern aus Notwendigkeit.

Was sich verändert, ist nicht nur eine Liste von Pflichten, sondern die Logik, nach der Sie Entscheidungen treffen. Der CRA macht Sicherheit zu einer Marktzulassungsbedingung und verknüpft sie mit nachweisbarer Sorgfalt. Wo bislang „Security“ ein Arbeitspaket im Projektplan war, wird sie zur architektonischen Grundannahme und zur Managementaufgabe, an der sich Budgets, Zeitpläne, Vertragswerke und sogar Marketingclaims ausrichten müssen. Wer Roadmaps weiterhin wie Wunschzettel behandelt, produziert in Zukunft nicht Innovationen, sondern Haftungsrisiken.

Es gibt neue Rollen, die ganze Organisationen verändern, ohne dass sie laut auftreten. Der AI Officer gehört dazu. Er (oder sie) ist weder reiner Daten-Profi noch klassischer Compliance-Manager, weder Produktchef noch IT-Sicherheitsarchitekt – und doch hat er von allem etwas. Vor allem aber besitzt er den Auftrag, aus Möglichkeiten verlässliche Fähigkeiten zu machen: KI, die wirklich hilft, statt nur zu beeindrucken. KI, die nicht bloß funktioniert, sondern verantwortlich funktioniert. Und KI, die nicht mit dem ersten Audit ins Straucheln gerät, sondern im Feld über Jahre tragfähig bleibt.

Der AI Officer ist damit die Klammer zwischen Code und Konsequenz. Er verbindet Produktvision mit regulatorischer Realität, Datenwissenschaft mit Unternehmenswerten, Geschwindigkeit mit Sorgfalt. Was macht diese Rolle konkret? Warum ist sie jetzt so wichtig? Und woran erkennt man, dass jemand sie gut ausfüllt? Die Antworten sind weniger akademisch, als viele vermuten – sie liegen im täglichen Tun.

Mindestanforderungen klangen lange nach Papier, nach Checklisten und nach der Frage: „Welche Dokumente will der Prüfer sehen?“ Wer MaRisk heute noch so liest, verpasst den entscheidenden Punkt. Das Rundschreiben hat sich in den letzten Jahren von einer Sammlungsstelle „guter Ordnung“ zu einem Betriebssystem für Governance & Compliance entwickelt. Es ordnet Rollen und Verantwortlichkeiten, zwingt Entscheidungen in klare Bahnen, verbindet Geschäftsstrategie mit Risikoappetit, verankert Datenqualität als Führungsaufgabe, macht Auslagerungen steuerbar, rückt IT und Informationssicherheit in die erste Reihe und übersetzt Resilienz von der Prosafloskel in geübte Praxis. Kurz: MaRisk ist kein zusätzliches Projekt mehr. Es ist der Rahmen, in dem alles andere vernünftig wird – oder eben scheitert.

Und genau deshalb wirkt der Standard heute wie ein Gamechanger. Nicht, weil neue Seiten entstanden wären, sondern weil sich das Verständnis verschoben hat: weg von der Erfüllung einzelner Anforderungen hin zu einem integrierten Führungs- und Steuerungssystem, das in Aufsichtsrunden, Release-Boards, Kreditkomitees und Krisenstäben tatsächlich den Takt vorgibt. Wo MaRisk ernst genommen wird, sinken Reibungsverluste, eskalieren Probleme früher – und werden schneller gelöst. Wo es als „Papierarbeit“ abgetan wird, steigen Kosten, wächst Frust, und Risiken werden durch Bürokratie nicht kleiner, sondern bloß unsichtbarer.