Der regulatorische Druck auf Unternehmen in puncto IT-Sicherheit und Digitalisierung erreicht 2026 einen neuen Höhepunkt. Mit der NIS2-Richtlinie, dem Cyber Resilience Act (CRA) und dem EU AI Act treten innerhalb weniger Monate drei europäische Regelwerke in ihre entscheidende Umsetzungsphase – mit erheblichen Folgen für Unternehmensorganisation, Vertragsgestaltung und die persönliche Haftung der Geschäftsleitung.
NIS2 und KRITIS-Dachgesetz: Die Registrierungsfrist ist abgelaufen
Die Frist zur BSI-Registrierung nach dem neuen Recht zur Umsetzung der NIS2-Richtlinie (BSIG n. F.) ist am 6. März 2026 abgelaufen. Rund 30.000 Unternehmen in 18 kritischen Sektoren – von Energie und Gesundheit über Verkehr bis hin zu digitaler Infrastruktur und verarbeitendem Gewerbe – sind betroffen. Die Pflicht kann bereits ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz greifen.
Die Kernanforderungen nach NIS2 (§ 30 BSIG n. F.):
- Risikomanagement: Incident-Response-Prozesse, Supply-Chain-Sicherheit, Multi-Faktor-Authentifizierung
- Meldepflichten: Erhebliche Sicherheitsvorfälle sind innerhalb von 24 Stunden beim BSI zu melden
- Dokumentation der umgesetzten Maßnahmen für Audits
- Persönliche Haftung der Geschäftsleitung für Verstöße (§ 38 BSIG n. F.) – Schulungskosten können nicht auf die Gesellschaft abgewälzt werden
Bei Verstößen drohen Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes für „wichtige“ Einrichtungen; für „besonders wichtige“ Einrichtungen bis zu 10 Mio. Euro oder 2 % des Umsatzes (der höhere Betrag gilt).
Der Cyber Resilience Act (CRA) ergänzt NIS2 auf der Produktebene: Ab September 2026 beginnt die Meldepflicht für aktiv ausgenutzte Schwachstellen; ab Dezember 2027 müssen alle vernetzten Produkte die vollständigen CRA-Anforderungen erfüllen.
EU AI Act: Ab 2. August 2026 werden Verstöße geahndet
Am 2. August 2026 treten die zentralen Vorschriften der EU-KI-Verordnung (EU AI Act, VO (EU) 2024/1689) in Kraft, darunter die Pflichten für Hochrisiko-KI-Systeme (Anhang III des AI Act) sowie die Transparenzpflichten für KI-Systeme mit begrenztem Risiko.
Die Bußgeldrahmen nach Art. 99 EU AI Act:
| Verstoß | Bußgeld (max.) |
|---|---|
| Verbotene KI-Praktiken (Art. 5, z. B. Social Scoring, biometrische Massenüberwachung) | 35 Mio. € oder 7 % des weltweiten Jahresumsatzes |
| Verstöße gegen Pflichten für Hochrisiko-KI-Systeme, Transparenzpflichten und GPAI-Modelle (Art. 16, 26, 50 u. a.) | 15 Mio. € oder 3 % des weltweiten Jahresumsatzes |
| Falsche oder irreführende Auskünfte gegenüber Behörden | 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes |
Für KMU gilt der niedrigere Betrag aus Prozentsatz und absolutem Maximalbetrag.
Hochrisiko-KI-Systeme betreffen nach Anhang III des AI Act insbesondere:
- KI-gestütztes Recruiting, Leistungsbewertung und Personalentscheidungen (HR)
- Kreditwürdigkeitsbewertung und Versicherungsrisikoabschätzung
- KI im Zugang zu öffentlichen und privaten essenziellen Dienstleistungen
- Biometrische Identifikation
Bereits seit Februar 2025 gilt die AI-Literacy-Pflicht: Jedes Unternehmen, das KI-Systeme einsetzt, muss sicherstellen, dass die betreffenden Mitarbeiterinnen und Mitarbeiter nachweisbar über ausreichende KI-Kenntnisse verfügen (Art. 4 AI Act). Wer dies bisher ignoriert hat, ist bereits heute nicht compliant.
Für Deutschland ist die Bundesnetzagentur als wahrscheinliche nationale Marktüberwachungsbehörde im Gespräch; ein nationales Durchführungsgesetz steht noch aus. Da der AI Act als EU-Verordnung unmittelbar gilt, kommt es hierauf praktisch nicht an.
Praktische Konsequenzen
Der AI Act überschneidet sich inhaltlich mit DSGVO, NIS2, ISO 27001 und ESG-Anforderungen. Unternehmen sollten eine integrierte Compliance-Struktur aufbauen, die regulatorische Anforderungen bündelt. Konkret zu prüfen sind:
- Welche eigenen KI-Systeme fallen unter den AI Act – und sind sie als Hochrisiko einzustufen?
- Sind Verträge mit KI-Anbietern und Software-Dienstleistern NIS2- und AI-Act-konform gestaltet?
- Ist ein dokumentiertes Risikomanagementsystem vorhanden?
- Sind Melde- und Eskalationsprozesse für Sicherheitsvorfälle eingerichtet?Weiterführende Links: EU AI Act (EU-Amtsblatt) | Art. 99 AI Act (Bußgeldrahmen) | BSI – NIS2
Wir beraten Sie zur Umsetzung von NIS2, CRA und EU AI Act – von der Betroffenheitsprüfung über die Vertragsgestaltung bis zur Haftungsabsicherung der Geschäftsleitung.