Auf den Punkt: KI-Finetuning kann Sie ungewollt zum GPAI-Anbieter machen — prüfen Sie Ihre Pilotprojekte. Ghost-CMS-Patches müssen innerhalb von 5 Werktagen produktiv gehen. Cybersicherheit gehört ab Oktober in jede Geschäftsführungssitzung, nicht nur bei Vorfällen.
Drei brennende Themen für die IT-Leitung: Die EU-Einigung zu Künstlicher Intelligenz schärft die Anbieter-Deployer-Trennung nach, eine kritische SQL-Injection in Ghost CMS bedroht hunderte Installationen, und die neue NIS-2-Verordnung verankert Cybersicherheit nun direkt auf Geschäftsführungsebene.
**1. KI-Omnibus: Neue Definitionen verlangen eine Bestandsaufnahme**
Die EU-Einigung vom 7. Mai 2026 hat die Definition von Künstlicher Intelligenz nach General Purpose (GPAI) und die Rollen von Anbietern und Deployern neu gefasst. Für interne KI-Initiativen ergeben sich daraus klare Konsequenzen: Wer ein quelloffenes Modell mit seinen eigenen Daten optimiert und anschließend produktiv einsetzt, wird möglicherweise selbst zum GPAI-Anbieter — mit allen damit verbundenen Dokumentations- und Transparenzpflichten.
**Architektur-Entscheidung:** Audit Sie Ihre laufenden KI-Projekte (Chatbot, internes Dokumentenmanagement, KI-Assistenten für Code-Entwicklung) unter dieser Lupe. Wer ist im Vertrag der Anbieter, wer der Deployer? Eine 30-minütige rechtliche Durchsicht kann Ihnen zwei Entwicklungsquartale Migration ersparen.
**2. Ghost CMS CVE-2026-26980: Patch-Geschwindigkeit wird zur Compliance-Pflicht**
Die ClickFix-Kampagne hat über 700 Ghost-CMS-Installationen über eine kritische SQL-Injection in der Datenbankebene infiziert. Universitäten, Verlage und SaaS-Anbieter sind betroffen. Patches sind verfügbar — viele Betreiber haben sie jedoch noch nicht eingespielt.
**Architektur-Entscheidung:** Messen Sie: Wie lange dauert der Weg von „Patch steht zur Verfügung“ bis zur produktiven Ausrollung in Ihrer Organisation? Ab NIS-2-Geltung ist eine Frist von mehr als fünf Werktagen ein Compliance-Risiko. Schaffen Sie diese Woche eine automatisierte Patch-Validierungspipeline — das ist die minimale sinnvolle Investition.
**3. Verena Becker: Geschäftsführung wird zum Cybersicherheits-Treiber**
Die österreichische Cybersecurity-Expertin der WKÖ hat unlängst präzisiert: Das NISG 2026 verankert Cybersicherheit direkt auf Geschäftsführungsebene. Das bedeutet verpflichtende Schulungen, aktive Ressourcenverteilung und regelmäßiges Reporting. Für Sie als Chief of IT ändert sich damit die Berichtslinie grundlegend — Sie eskalieren nicht mehr nur bei Krisen in den Vorstand, sondern der Vorstand muss proaktiv steuern.
**Architektur-Entscheidung:** Wann findet Ihre nächste Geschäftsführungssitzung mit fixem Cybersicherheits-Traktandum statt? Wenn die Antwort lautet „nur bei akuten Vorfällen“, reicht das ab Oktober nicht mehr aus. Etablieren Sie jetzt ein quartalsweises Cybersicherheits-Reporting — auch wenn niemand aktuell danach fragt. Das ist Ihre einfachste Vorbereitung auf die neue Gesetzeslage.