Auch 2026, davon ist auszugehen, werden die Anforderungen an PKI-Verantwortliche und -Teams wieder kräftig steigen. Es ist das Jahr, in dem die empfohlene Gültigkeitsdauer von TLS-Zertifikaten ihren Sinkflug beginnen wird. Und das Jahr, in dem sich, mit der Einführung der Meldepflicht beim Cyber Resilience Act (CRA), die Anforderungen an das Reaktionsvermögen von PKI-Managementsystemen wesentlich verschärfen werden. In der ENISA-Roadmap zur Post-Quanten-Migration wird ein neues Kapitel aufgeschlagen werden. Und dann steht für viele Unternehmen noch eine gänzlich neue, bislang kaum bekannte, PKI-Thematik vor der Tür: Zertifikate für KI-Agenten. Um in all diesen Bereichen das erforderliche Vertrauen aufbauen zu können, werden PKI-Verantwortliche und -Teams ihr Zertifikats-Management neu aufstellen müssen – agiler, flexibler und reaktionsfähiger.

In wenigen Monaten, am 15. März des kommenden Jahres, wird die empfohlene Lebensdauer öffentlicher TLS-Zertifikate merklich zurückgehen – von derzeit 398 Tagen auf nur noch 200 Tage. Ein Jahr später werden es dann nur noch 100, 2029 nur noch 47 Tage sein. Zertifikate, die ursprünglich einmal im Jahr erneuert werden mussten, werden dann fast jeden Monat vom PKI-Team nachbearbeitet werden müssen. Rein manuell wird ihnen dies kaum gelingen. Schon heute, mit TLS-Zertifikaten, die 398 Tage gültig sind, erlebt jedes zehnte Unternehmen pro Woche einen zertifikatsbedingten Ausfall. 2026, mit der Halbierung der Gültigkeitsdauer, wird eine erhebliche Mehrarbeit auf PKI-Teams zukommen, die viele an den Rand der Belastungsgrenze führen wird. Fachleute gehen von einer Verfünffachung der Arbeitslast aus.

Ab dem 11. September müssen Hersteller von Produkten mit digitalen Elementen dann, im Rahmen des Cyber Resilience Act (CRA), aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle an die ENISA melden. Für ihre PKI-Teams bedeutet dies: das Zertifikats-Management muss hochgradig reaktionsfähig gemacht werden. Bei einem Vorfall, der durch einen kompromittierten Schlüssel verursacht wird, muss das Zertifikat sofort widerrufen werden können. Das PKI-System muss in der Lage sein, den Widerruf – nachweisbar – innerhalb einer Frist von nur 24 Stunden durchzuführen. Des Weiteren verlangt der CRA die Integrität von Software-Updates, was den Einsatz von Code-Signing-Zertifikaten unumgänglich macht.

Laut der von der ENISA (EU-Cybersicherheitsagentur) für die Migration zur Post-Quanten-Kryptografie (PQC) erstellte Roadmap ist 2026 zudem das Jahr, in dem Unternehmen und EU-Mitgliedstaaten von der Planungs- in die Pilot- und Umsetzungsphase überzuwechseln haben. Bis Ende 2025 hatten sie Zeit, ihre kryptografischen Assets (ihre Zertifikate, Schlüssel und Bibliotheken) zu katalogisieren. 2026 nun sollen sie ihre PKI darauf vorbereiten, hybride Zertifikate auszustellen. Das Problem: Fast die Hälfte aller Unternehmen gibt an, auf Quanten-Bedrohungen nicht vorbereitet zu sein. Nur 42 Prozent beschäftigen sich derzeit aktiv damit.

Und schließlich: Im Jahr 2026 wird Künstliche Intelligenz (KI) nicht mehr allein Anwendern assistieren, sie wird auch selbständig handeln können – in Form von KI-Agenten. Agentische KI-Systeme werden selbständig Entscheidungen treffen, Transaktionen initiieren und sich direkt mit sensiblen Daten und Infrastrukturen verbinden können. Jeder KI-Agent stellt dabei eine neue Art von Identität dar, die authentifiziert, verwaltet und als vertrauenswürdig eingestuft werden muss. Jeder dieser Agenten wird dann eine digitale Identität (ein Zertifikat) benötigen, um sich gegenüber anderen Agenten und Systemen authentifizieren und autorisieren zu können. Wollen Unternehmen in Punkto KI nicht gegenüber ihrer Konkurrenz ins Hintertreffen geraten, werden sie sich hier eine entsprechende PKI-Infrastruktur aufbauen müssen.

All das aber wird, ohne ein modernes PKI-Managementsystem, nicht umzusetzen sein. Ohne ein Mehr an Transparenz, Agilität und Automatisierung wird es PKI-Teams nicht gelingen, mit den Herausforderungen des neuen Jahres Schritt zu halten.