In der ersten Juniwoche habe ich mit CERTavia 289 europäische Enterprise-Domains aus sechs Branchen gescannt. Die Grundlage jedes Scans ist das Sovereign Validation Protocol (SOVP) — ein deterministisches Infrastruktur-Validierungs-Framework, das ich entwickelt habe und das als IETF Internet-Draft eingereicht und als USPTO Provisional Patent angemeldet ist.
SOVP prüft 80+ Parameter in 6 Clustern (A bis F). Das Ergebnis ist binär: SOVP-CERTIFIED oder SOVP-FAILED. Der CERTavia Evaluation Score (CES) ist der numerische Gesamtwert (0 bis 100), der die Einzelwerte aller sechs Cluster aggregiert. Er zeigt, an welchen Clustern konkret gearbeitet werden muss, um CERTIFIED zu erreichen. Die Cluster-Struktur und Parameterdefinitionen sind an den infrastrukturrelevanten Anforderungen des EU AI Act, insbesondere Art. 15, angelehnt.
Dieser erste große Benchmark liefert eine klare Ausgangsbasis: Der Gesamt-Durchschnitt beim CES liegt bei 16,6 von 100. Der beste Einzelwert, gemessen bei einem DAX-40-Unternehmen, beträgt 52,5.
Die Zahlen
Sechs Branchen, 289 Domains. Hier die Ausgangsbasis je Sektor:
- DAX 40 (40 Domains): Ø 25,4 · Max 52,5
- Automotive & Industrie (50): Ø 23,7 · Max 46,6
- Finanzsektor BaFin (50): Ø 13,0 · Max 38,8
- Gesundheitswesen & Pharma (50): Ø 12,7 · Max 41,9
- Kritische Infrastruktur (49): Ø 13,7 · Max 38,6
- Bundesbehörden & EU (49): Ø 10,9 · Max 35,6
Was mich an diesen Zahlen interessiert
Ich habe das SOVP entwickelt, um genau diese Art von Messung möglich zu machen. Was mich bei den Ergebnissen am meisten beschäftigt: Bundesbehörden und EU-Institutionen, die NIS2 und den EU AI Act für andere durchsetzen, erzielen mit Ø 10,9 Punkten den niedrigsten Sektorwert des gesamten Benchmarks.
Das zeigt, wie neu diese Anforderungsschicht ist. Der gesamte Markt steht am Anfang dieser Entwicklung.
Cluster F (AI Governance) erreicht branchenweite Ø 6,9 Punkte. Cluster E (Agentic Readiness) liegt bei Ø 8,8. Beide Cluster messen die Infrastrukturschicht, die der EU AI Act als technische Grundvoraussetzung voraussetzt: maschinenlesbare Governance-Signale, die ein KI-System regelbasiert und reproduzierbar auswerten kann. Wer hier früh investiert, baut einen strukturellen Vorsprung auf.
Was das für die nächsten Monate bedeutet
DORA gilt seit Januar 2025 verbindlich. Die EU-AI-Act-Enforcement-Phase läuft. Unternehmen, die heute mit einem CES von 13 Punkten im Finanzsektor operieren, haben konkreten Handlungsbedarf beim Aufbau maschinenlesbarer Infrastruktur-Evidenz. Der entscheidende Vorteil von SOVP: Es ist auditierbar, deterministisch und kryptografisch signiert. Das macht den Fortschritt messbar.
Der Benchmark erscheint halbjährlich. Der nächste Scan ist für Ende 2026 geplant.
Vollständiger Report mit Branchentabellen und Methodik auf certavia.org →