12-Stunden-Patchpflicht: Wann zieht Berlin nach?

Indiens Cyber-Behörde fordert Patches innerhalb von zwölf Stunden, weil KI-Tools die Angriffszeit drastisch verkürzen. Für deutsche Mittelständler unter NIS2 ein bemerkenswerter Vergleich.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Am Montag hat die indische Cyber-Behörde CERT-In einen 38-seitigen Blueprint veröffentlicht und damit eine der schärfsten Patchpflichten weltweit etabliert. Bekannte ausgenutzte Schwachstellen in internet-exponierten Systemen sollen binnen zwölf Stunden geschlossen werden. Der bisherige Industriestandard von 14 bis 30 Tagen gilt damit für indische Organisationen als überholt. Begründet wird der Sprung mit KI-Tools, die die Angriffszeit drastisch verkürzen. Für Mittelständler unter NIS2 lohnt der Vergleich.

Das Wichtigste in Kürze

• CERT-In veröffentlicht am 25. Mai 2026 einen Blueprint mit risikobasierten Patchfristen für indische Organisationen.
• Bekannte ausgenutzte Lücken in internet-exponierten Systemen: 12 Stunden, kritische externe Lücken: 1 Tag, kritische interne: 3 Tage, hochbewertet: 5 Tage.
• Auslöser sind KI-gestützte Angriffsmuster, die Reconnaissance, Exploit-Erstellung und Phishing-Kampagnen drastisch beschleunigen.
• In Deutschland fordert NIS2 keine 12-Stunden-Frist, die Diskussion um schärfere Patchpflichten gewinnt aber an Tempo.

Welche Fristen sieht der CERT-In-Blueprint konkret vor?

Risikobasierte Staffelung. Der Blueprint definiert vier Stufen. Bekannte ausgenutzte Schwachstellen in internet-exponierten oder besonders schützenswerten Systemen müssen binnen zwölf Stunden geschlossen, mitigiert oder vom Netz genommen werden, soweit machbar. Kritische externe Schwachstellen ohne Ausnutzungsnachweis haben eine 24-Stunden-Frist. Für kritische interne Lücken auf hochwertigen Systemen gibt der Blueprint drei Tage. Hochbewertete Schwachstellen lassen sich innerhalb von fünf Tagen schließen.

Bestehende Pflichten. Die neuen Fristen ergänzen bestehende CERT-In-Regeln. Indische Organisationen melden Cyber-Vorfälle bereits seit 2022 binnen sechs Stunden und bewahren Logs 180 Tage auf. Mit dem Blueprint zieht CERT-In nun die Patchpflichten nach.

Warum verschärft CERT-In den Druck genau jetzt?

KI als Angriffsbeschleuniger. Der Blueprint nennt die Ursache klar. „KI-gestützte Cyber-Exploits verkürzen die Zeit, die Angreifer benötigen, um Schwachstellen, exponierte Dienste, schwache Identitäten, unsichere APIs und Fehlkonfigurationen zu identifizieren, zu bewaffnen und auszunutzen“, heißt es im Dokument. Generative KI, große Sprachmodelle und autonome Agenten verschaffen Angreifern Tempo, das menschliche Verteidiger in periodischen Patch-Zyklen nicht mehr aufholen.

Vormonat-Warnung. Bereits im April hatte CERT-In eine Advisory zu Frontier-Modellen von Anthropic und OpenAI veröffentlicht und auf die dual-use-Natur dieser Systeme hingewiesen, die die Einstiegshürde für Cyber-Kriminelle senke. Mit dem Mai-Blueprint folgt die operative Konsequenz. Die Mythos-Diskussion um Anthropics Sicherheitsmodell bekommt damit ein regulatorisches Echo.

Welche deutschen Pflichten greifen aktuell?

NIS2 ohne harte Frist. Das deutsche NIS2-Umsetzungsgesetz gilt seit dem 6. Dezember 2025 und betrifft rund 29.500 Unternehmen. Eine 12-Stunden-Patchpflicht enthält der Gesetzestext nicht. Die Vorgabe lautet „angemessen und verhältnismäßig“. Cyber-Vorfälle sind binnen 24 Stunden zu melden, ein detaillierter Bericht folgt innerhalb von 72 Stunden. Patchmanagement bleibt in der Verantwortung der Geschäftsleitung, ohne konkrete Stundenangabe.

Registrierungslücke. Von den geschätzten 29.500 betroffenen Unternehmen hatten sich nach BSI-Angaben bis Anfang 2026 nur rund 11.500 fristgerecht registriert. Die operative Umsetzung der NIS2-Anforderungen hinkt damit deutlich hinter dem Bedarf hinterher. Der CERT-In-Blueprint zeigt, in welche Richtung sich der internationale Maßstab verschiebt.

Was bedeutet das für deutsche Mittelständler?

Drei Handlungsfelder. Auch ohne harte 12-Stunden-Frist im deutschen Recht hat der Blueprint praktische Konsequenzen für die DACH-Region. Das wichtigste Handlungsfeld liegt im Asset-Inventar. Ohne ein zentrales Register aller internet-exponierten Systeme funktioniert keine 12-Stunden-Reaktion, weder in Indien noch in Deutschland. Parallel dazu zwingt die Frist zu kontinuierlicher Risikobewertung statt zum Quartals-Audit. Schließlich gewinnt die Software Bill of Materials, abgekürzt SBOM, an Bedeutung. CERT-In ergänzt sie um eine AI Bill of Materials, abgekürzt AIBOM, und eine Cryptographic Bill of Materials, abgekürzt CBOM. Diese Frameworks werden auch in der EU diskutiert.

Welche Schritte können Sie heute angehen?

Sieben-Tage-Baseline. Der Blueprint definiert eine phasierte Umsetzung. In den ersten sieben Tagen sollen Organisationen die Basisbausteine etablieren. Multi-Faktor-Authentifizierung auf allen exponierten Systemen, ein zentrales Monitoring, ein Asset-Inventar mit Risiko-Tagging.

Diese drei Maßnahmen lassen sich auch in deutschen Mittelständlern ohne Großprojekt umsetzen. Die Cybersecurity-Grundlagen auf Dr. Web ordnen das in den deutschen Mittelstandskontext ein, und der BSI-Cybersicherheitsmonitor 2026 zeigt, wie weit die Selbsteinschätzung deutscher Internetnutzer von der tatsächlichen Bedrohungslage abweicht. Wer die KI-Phishing-Lage parallel ernst nimmt, schließt zwei Risiken in einem Aufwasch.

Benchmark statt Pflicht. CERT-In setzt keinen verbindlichen Standard für deutsche Unternehmen. Der Blueprint formuliert „indikative Erwartungen“, kein Sanktionsregime. Trotzdem markiert das Dokument den nächsten Schritt der internationalen Diskussion über AI-resistente Patchzyklen. Mittelständische Geschäftsleitungen, die heute mit dem Argument „NIS2 schreibt das nicht vor“ arbeiten, sollten die Tatsache mitnehmen, dass eine andere demokratische Großwirtschaft den Maßstab gerade hart nach unten setzt.