CERTavia hat in der ersten Juni-Woche 2026 insgesamt 289 europäische Enterprise-Domains aus sechs Branchen gescannt. Das Ergebnis ist eindeutig: Kein einziges Unternehmen erreicht die CERTavia CERTIFIED-Schwelle von 75 Punkten.
Methodik
Jede Domain durchläuft den vollständigen CERTavia Evaluation Score (CES). Der Score aggregiert 265+ Signale aus sechs Clustern: digitale Infrastruktur (A), Datenschutz und Consent (B), Rechtliche Compliance (C), Transparenz (D), Agentic Readiness (E) und AI Governance (F). Alle Scans wurden im Zeitraum 8.–10. Juni 2026 durchgeführt. Die Ergebnisse sind anonymisiert. Einzelne Unternehmensnamen werden ohne schriftliche Genehmigung nicht veröffentlicht.
Ergebnisse nach Branche
| Branche | Domains | Ø CES | Max CES | Min CES | CERTIFIED |
|---|---|---|---|---|---|
| DAX 40 | 40 | 25,4 | 52,5 | 4,2 | 0 |
| Automotive & Industrie | 50 | 23,7 | 46,6 | 8,6 | 0 |
| Finanzsektor (BaFin) | 50 | 13,0 | 38,8 | 7,6 | 0 |
| Gesundheitswesen & Pharma | 50 | 12,7 | 41,9 | 7,6 | 0 |
| Kritische Infrastruktur | 49 | 13,7 | 38,6 | 7,6 | 0 |
| Bundesbehörden & EU | 49 | 10,9 | 35,6 | 7,6 | 0 |
| Gesamt | 288 | 16,6 | 52,5 | 4,2 | 0 |
Die schwächsten Cluster
Über alle 289 Domains zeigen zwei Cluster strukturell die niedrigsten Werte. Cluster F (AI Governance) erreicht einen Durchschnitt von 6,9 Punkten. Cluster E (Agentic Readiness) liegt bei 8,8 Punkten.
Beide Cluster bilden die infrastrukturelle Voraussetzung für regelkonforme KI-Systeme unter dem EU AI Act und für die Interoperabilität in föderativen Vertrauensinfrastrukturen. Der Markt behandelt diese Schicht als gelöstes Problem. Die Messdaten zeigen das Gegenteil.
Regulatorischer Kontext
Der Digital Operational Resilience Act (DORA) ist seit Januar 2025 für alle BaFin-regulierten Institute verbindlich. Der durchschnittliche CES-Wert der 50 größten deutschen Banken und Finanzinstitute beträgt 13,0 Punkte. Die CERTIFIED-Schwelle liegt bei 75 Punkten.
Der EU AI Act klassifiziert KI-Systeme in Hochrisiko-Kategorien, deren Betreiber nachweisbare Infrastruktur-Governance vorhalten müssen. Cluster F misst genau diese Governance-Schicht. Der Sektordurchschnitt von 6,9 Punkten zeigt: Die Nachweispflicht trifft auf eine Infrastruktur, die für diesen Nachweis strukturell nicht vorbereitet ist.
Einordnung
Der DAX 40 führt das Ranking mit einem Durchschnitt von 25,4 Punkten. Bundesbehörden und EU-Institutionen, die NIS2 und den AI Act für andere durchsetzen, erzielen einen Durchschnitt von 10,9 Punkten. Der beste Einzelwert über alle 289 Domains liegt bei 52,5 Punkten.
Layer-0-Infrastrukturvalidierung ist die Voraussetzung, die jedes KI-Governance-Framework stillschweigend annimmt. Dieser Benchmark zeigt: Die Annahme hat derzeit keine empirische Grundlage.
Über diesen Report
Der erste CERTavia Benchmark: 289 DACH Enterprise-Domains, sechs Branchen, ein Ergebnis. Er erscheint halbjährlich. Alle Scans werden mit dem CERTavia Evaluation Score (CES) durchgeführt, dem deterministischen Validierungsprotokoll für digitale Infrastruktur unter EU AI Act, NIS2 und DORA.
Unternehmen, die ihren eigenen CES-Score ermitteln möchten, finden den Einstieg unter certavia.org/wie-es-funktioniert.
CERTavia analysiert technische Infrastruktursignale. Das Ergebnis ist ein maschinenlesbarer Befund, kein Rechtsgutachten und keine Zertifizierung im Sinne der EU AI Act Konformitätsbewertung nach Artikel 43. Für rechtsverbindliche Compliance-Bewertungen wenden Sie sich an eine zugelassene Konformitätsbewertungsstelle.
