August 2026: Compliance-Plattform, Pen-Test

Status: planned

Im August übernimmt eine zentrale Compliance-Plattform die Evidence-Sammlung. Parallel startet der externe Pen-Test mit Cure53 oder SySS und die EU-AI-Act-Pflichten greifen zum 02.08.2026.

Compliance-Plattform

• Auswahl zwischen Drata, Vanta und Secureframe nach Ein-Tages-Evaluation.
• Initial-Onboarding inklusive Konten-Konnektoren für Hetzner, GitHub, Postgres und Keycloak.
• Automatisierte Evidence-Sammlung für SOC 2 Type II Observation Period (läuft seit dem Soft-Launch).
• Mapping auf ISO 27001 und NIS2 für späteres Anschluss-Audit.
• Zielgröße: 60 bis 80 Prozent Reduktion des manuellen Compliance-Aufwands.

EU AI Act

Pflicht-Compliance ab 02.08.2026:

• AI-System-Inventar abgeschlossen: KI-Helfer, Voice-Modul (opt-in) und Company-Modul (opt-in) sind klassifiziert.
• Transparenz-Banner im UI bei jeder KI-unterstützten Funktion sichtbar.
• Voice-Ansage: "Dieses Gespräch wird von einem KI-System unterstützt" wird vor jedem ausgehenden Call eingespielt.
• Risiko-Klassifizierung: Voice und Company-Modul werden als Hochrisiko geprüft, KI-Helfer als limitiertes Risiko eingeordnet.
• Audit-Trail-Erweiterung: EU-AI-Act-spezifische Felder im Log-Schema.

Pen-Test Phase B (extern)

• Anbieter Cure53 oder SySS, 3 bis 5 Tage Effort, Scope Tenant-Isolation.
• Zertifizierter Bericht für NIS2- und ISO-27001-Audit.
• Erwartete Findings priorisieren wir innerhalb von 5 Werktagen.
• Phase D (Re-Test) folgt eine Woche nach Behebung.

Operativ

• Wachstums-Cap: maximal 25 produktive Workspaces in Q3, um die persönliche Begleitung zu halten.
• Backup-Restore-Drill Quartal Q3.
• Erste Case Studies aus Beta-Mandanten gehen in die Marketing-Pipeline.

Verwandt

• Juli 2026: Modul-Vollständigkeit.
• September 2026: Voice-Modul und RAG-Chat als opt-in.
• Compliance: Aktueller Compliance-Stand.
• NIS2: Verknüpfung mit Pen-Test-Pflicht.