Drei Bedrohungen oder Pflichten für CISOs, 30 Sekunden Lesezeit, eine Schutzmassnahme pro Thema. Wöchentlich an Chief-Information-Security-Officer-Ebene gerichtet — was diese Woche Ihre Ticket-Liste anführen sollte.
1. Nx Console Supply-Chain-Angriff — Lessons für Ihr Engineering
Im Mai 2026 wurde die populäre VS-Code-Erweiterung Nx Console in Version 18.95.0 kompromittiert. Auto-Update verteilte den Schadcode binnen Stunden an Tausende Entwickler-Maschinen. Ziel: GitHub-Tokens, npm-Credentials, SSH-Schlüssel, Cloud-Konsolen-Cookies. Mehrere grosse Open-Source-Projekte mussten ihre Build-Pipelines stoppen.
Schutzmassnahme: Inventur aller VS-Code- und JetBrains-Erweiterungen pro Team-Rolle. Pro Erweiterung Owner, Approval-Datum, halbjährliche Review. Plus klare Auto-Update-Policy (mit Verzögerungs-Fenster für kuratierten Rollout). Editor-Erweiterungen sind eine ungeprüfte Vertrauenskette — das wird in den nächsten 12 Monaten ein Audit-Standard-Thema.
→ KEDB #001 mit Aufgaben-Checkliste
2. NISG 2026 — Stichtag 1. Oktober, Registrierung bis 31. Dezember
In 18 Wochen tritt das österreichische NISG 2026 in Kraft. Betroffene Unternehmen müssen sich binnen drei Monaten bei der Cybersicherheitsbehörde registrieren — Stichtag 31. Dezember 2026. Cybersicherheit wird auf Geschäftsführungs-Ebene haftbar, mit dokumentierter Schulungspflicht und aktiver Risiko-Steuerung.
Schutzmassnahme: WKÖ-Online-Berater nutzen, um die eigene Betroffenheit zu klären. Im positiven Fall: NIS-2-Koordinator benennen, Lieferkette inventarisieren, Vorstands-Schulung planen. Verena Becker ist die fachliche Referenzstimme — ihre öffentlichen Vorträge bei tip-noe.at und WKÖ sind kostenlose Compliance-Vorbereitung.
→ NIS-2 Self-Check-Tool-Übersicht
3. Artikel 50 EU AI Act — Transparenz-Pflichten ab 2. August anwendbar
In 10 Wochen werden die Transparenz-Verpflichtungen aus Artikel 50 vollumfänglich anwendbar: Chatbots müssen als KI gekennzeichnet sein, generierte Inhalte mit Wasserzeichen versehen, Deepfakes als solche markiert. Sanktionen bis 15 Millionen Euro oder 3 Prozent des weltweiten Konzern-Jahresumsatzes.
Schutzmassnahme: Diesen Sommer drei Inventuren in Ihrem Unternehmen machen — Chatbot-Inventur, KI-Content-Inventur, biometrische-Sensorik-Inventur. Jede dieser drei Kategorien hat ab August eine eigene Kennzeichnungspflicht. Beginnen Sie damit, dass alle Chatbots auf Kunden-Sites einen klaren „Sie sprechen mit einer KI“-Hinweis haben.
Lumi CISO-Watch, Woche 22/2026. Pilot-Format — Feedback jederzeit über die Kontaktseite. Recherche und Erstentwurf KI-assistiert, redaktionelle Freigabe durch Lumi-Systems.io. Kennzeichnung gemäss Art. 50 EU AI Act.