KI-Regulierung 2026: Pflichten im Mittelstand

Executive Summary

Sieben EU-Regulierungen treten im April 2026 gleichzeitig in den operativen Alltag des Mittelstands ein. Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 ohne Übergangsfrist in Kraft und betrifft rund 29.500 Unternehmen in Deutschland¹. Die KI-Kompetenzpflicht nach dem EU AI Act gilt bereits seit Februar 2025 und ab Dezember 2026 haften Hersteller von Software und KI-Produkten nach der neuen Produkthaftungsrichtlinie²²³. Ein integriertes Governance-Framework kann bis zu 60% des Compliance-Aufwands einsparen, weil sechs von sieben Regulierungen dieselben Kernanforderungen stellen¹².

Stand Digital Omnibus (8. April 2026): Rat (13. März) und Parlament (26. März, 569 zu 45 Stimmen) haben ihre Verhandlungspositionen beschlossen³. Beide fordern die Hochrisiko-Verschiebung auf Dezember 2027. Der Trilog läuft seit dem 26. März. Ziel ist eine Einigung am 28. April 2026. Bis zur formellen Verabschiedung gelten die bestehenden Fristen.

Welche Regulierung betrifft welches Unternehmen?

Jeder Geschäftsführer muss wissen, welche Pflichten im Mittelstand für sein Unternehmen gelten. Die Antwort hängt von drei Faktoren ab: Unternehmensgröße, Sektor und Produktportfolio.

Jedes Unternehmen ab 50 Mitarbeitern muss seit Februar 2025 die KI-Kompetenz seiner Beschäftigten sicherstellen, wenn KI-Systeme eingesetzt werden (Art. 4 AI Act)². Die verbotenen KI-Praktiken gelten unabhängig von der Unternehmensgröße. Dazu kommt die DSGVO, die bei jedem KI-Einsatz mit personenbezogenen Daten greift. Der EDPB hat im Dezember 2024 klargestellt, dass berechtigtes Interesse als Rechtsgrundlage für KI-Training möglich ist, aber einen dreistufigen Test erfordert⁴. Die Datenschutzkonferenz hat im Oktober 2025 eine Orientierungshilfe zu RAG-basierten KI-Systemen veröffentlicht⁵.

Unternehmen in NIS2-Sektoren (Energie, Transport, Gesundheit, digitale Infrastruktur, verarbeitendes Gewerbe, Lebensmittel, Chemie und 12 weitere) mit mehr als 50 Mitarbeitern oder 10 Mio. Euro Umsatz fallen unter das NIS2UmsuCG¹. Die Registrierung beim BSI war bis März 2026 Pflicht. Wer sie verpasst hat, sollte sofort nachholen. Geschäftsführer haften persönlich nach §38 BSIG, ein Haftungsverzicht ist ausgeschlossen⁶. Die zehn Mindestmaßnahmen nach §30 BSIG umfassen Risikoanalyse, Incident Management, Business Continuity und Lieferkettensicherheit.

Hersteller von Produkten mit digitalen Elementen (Maschinen, IoT-Geräte, Industriesoftware) unterliegen dem Cyber Resilience Act. Ab September 2026 müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden gemeldet werden⁷. Die vollständige Konformität mit CE-Kennzeichnung greift ab Dezember 2027. Rund 90% der Produkte können per Selbstbewertung konformitätsbewertet werden⁷. Wenn Sie vernetzte Produkte herstellen, betrifft Sie zusätzlich der Data Act: Ab September 2026 müssen neue Produkte Datenzugang technisch ermöglichen ("Access by Design")⁸. Der Bundestag hat das Durchführungsgesetz am 26. März 2026 verabschiedet⁹.

Dazu kommt die neue Produkthaftungsrichtlinie, die bis zum 9. Dezember 2026 in deutsches Recht umgesetzt werden muss. Software und KI-Systeme gelten erstmals als "Produkt" im haftungsrechtlichen Sinne²³. Der Bundestag hat die erste Lesung des Umsetzungsgesetzes am 4. März 2026 durchgeführt²³. Wer CRA- oder AI-Act-Anforderungen nicht erfüllt, riskiert damit eine Vermutung der Produktfehlerhaftigkeit in Zivilprozessen. Hersteller, die nach dem Inverkehrbringen weiterhin Kontrolle über ihr Produkt ausüben (Updates, digitale Dienste, vernetzte Komponenten), haften auch für danach auftretende Mängel²³.

Finanzsektor und deren IT-Zulieferer fallen unter DORA, das seit Januar 2025 gilt. DORA ist lex specialis zu NIS2 und stellt strengere Anforderungen: Vorfälle müssen innerhalb von vier Stunden nach Klassifizierung gemeldet werden¹⁰. Die BaFin führt 2026 systematische Prüfungen durch. Mittelständler sind betroffen, wenn sie als kritische IKT-Drittdienstleister für Finanzunternehmen arbeiten.

Auch Unternehmen unterhalb der formalen Schwellenwerte spüren den Druck. NIS2-regulierte Kunden verlangen von Zulieferern vertragliche Cybersicherheitsnachweise¹¹. Wer in der Lieferkette eines betroffenen Unternehmens steckt, braucht mindestens eine dokumentierte Sicherheitsstrategie.

Wo überlappen sich die Anforderungen?

Fünf Anforderungsbereiche tauchen in praktisch jeder der sieben Regulierungen auf. Wer sie einmal sauber aufbaut, spart nach Branchenschätzungen bis zu 60% des Compliance-Aufwands gegenüber isolierten Projekten¹².

Ein einziges Risikoregister mit regulierungsspezifischen Kategorien kann die Anforderungen aus allen Verordnungen bedienen. Ein einziger Incident-Response-Prozess mit unterschiedlichen Meldefristen je Regime ersetzt fünf parallele Meldeketten. Ein Vendor-Assessment-Framework mit regulierungsspezifischen Zusatzmodulen eliminiert redundante Lieferantenprüfungen.

Das Digital Omnibus sieht ein einheitliches EU-Meldeportal vor, das Meldungen automatisch an die zuständigen Behörden weiterleitet³. Bis dahin muss jedes Unternehmen selbst sicherstellen, dass ein Cybervorfall die richtigen Behörden in der richtigen Frist erreicht. Die neue Produkthaftungsrichtlinie verstärkt den Druck zusätzlich: Fehlende Compliance mit CRA oder AI Act kann in Zivilprozessen als Beweis für Produktmängel herangezogen werden²³.

Welche Zertifizierung deckt welche Regulierung ab?

ISO 27001:2022 ist das Fundament. Die Norm deckt 60 bis 85% der NIS2-Anforderungen und rund 85% der DORA-Anforderungen ab¹³. Was fehlt, sind die spezifischen Meldefristen und sektorspezifische Vorgaben. Für einen Mittelständler mit 100 Mitarbeitern kostet die Zertifizierung zwischen 50.000 und 100.000 Euro (Schätzung), die Umsetzung dauert sechs bis zwölf Monate.

Für KI-Governance gibt es seit 2023 die ISO 42001. Die Norm unterstützt die AI-Act-Compliance für Hochrisikosysteme direkt, garantiert sie aber nicht, weil die rechtlichen Anforderungen über jeden freiwilligen Standard hinausgehen¹⁴. Die harmonisierten Normen von CEN-CENELEC werden voraussichtlich ISO-42001-Konzepte referenzieren. Der Entwurf prEN 18286 hat die öffentliche Anhörung durchlaufen¹⁵.

Im Oktober 2025 wurde die ISO 27701 grundlegend überarbeitet und ist jetzt ein eigenständiges Managementsystem. Die bisherige Voraussetzung einer ISO-27001-Zertifizierung entfällt¹⁶. Die Norm bildet DSGVO-Anforderungen direkt ab und enthält neue Anhänge zu KI-bezogener Verarbeitung.

Für die Automobilzulieferkette deckt TISAX die NIS2-Anforderungen nach Art. 20 und 21 vollständig ab, sofern alle betroffenen Standorte im Scope sind¹⁷. Cloud-Dienstleister profitieren vom BSI C5-Testat mit 121 Kontrollen¹⁸.

Verschieben sich die Fristen durch das Omnibus-Paket?

Zwei Omnibus-Pakete betreffen den Mittelstand. Das Nachhaltigkeits-Omnibus ist verabschiedet: Die Richtlinie (EU) 2026/470 trat am 16. März 2026 in Kraft und hebt die CSRD-Berichtspflicht auf Unternehmen ab 1.000 Mitarbeitern und 450 Mio. Euro Umsatz an¹⁹. Für den typischen Mittelstand fällt die Nachhaltigkeitsberichterstattung damit weg.

Das Digital Omnibus ist seit dem 26. März 2026 im Trilog. Rat und Parlament sind sich bei den Kernpunkten einig: Die Hochrisiko-Frist verschiebt sich auf Dezember 2027 (Annex III) und August 2028 (Annex I)³. Beide Institutionen haben allerdings mehrere Vereinfachungsvorschläge der Kommission zurückgenommen. Die KI-Kompetenzpflicht soll nach dem Willen des Parlaments bestehen bleiben, mit abgesenktem Standard³. Neu hinzugekommen ist ein Verbot von KI-Systemen, die nicht-einvernehmliche sexuelle Deepfakes erzeugen. Für Watermarking von KI-generierten Inhalten (Art. 50) fordert das Parlament den 2. November 2026 als Frist³. Der DIHK fordert in seinem Positionspapier einheitliche Definitionen über alle Digitalgesetze und gestaffelte Zertifizierungsoptionen²¹. Eine Einigung wird für den 28. April 2026 angestrebt. Solange der Omnibus nicht verabschiedet ist, gelten die bestehenden Fristen. Planen Sie mit August 2026, hoffen Sie auf Dezember 2027.

Was muss ich als Geschäftsführer diese Woche tun?

Setzen Sie sich am Montag 90 Minuten hin und öffnen Sie die BSI-Betroffenheitsprüfung unter bsi.bund.de. Die 15 Fragen klären, ob Sie unter NIS2 fallen. Schreiben Sie das Ergebnis auf eine Seite: betroffener Sektor ja/nein, Schwellenwerte erfüllt ja/nein, Registrierung beim BSI erledigt ja/nein. Wenn Sie die Registrierung im März 2026 verpasst haben, holen Sie das in derselben Sitzung nach. Das BSI-Meldeportal ist seit Januar 2026 online¹. Prüfen Sie in der gleichen Sitzung, ob der CRA oder der Data Act für Ihre Produkte greift.

ISO 27001 als integriertes Compliance-Fundament beauftragen lohnt sich auch dann, wenn Sie formal nicht unter NIS2 fallen. Beauftragen Sie einen Readiness-Check bei einem akkreditierten Anbieter. Der Check misst Ihren aktuellen Stand gegen die Norm und liefert eine Gap-Analyse mit priorisierter Maßnahmenliste. Typischer Zeitrahmen bis zur Zertifizierung: sechs bis zwölf Monate. Investition für den unteren Mittelstand ab 50.000 Euro (Schätzung). Der Readiness-Check selbst kostet zwischen 3.000 und 8.000 Euro (Schätzung) und dauert zwei bis vier Wochen.

Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen im Einsatz sind, vom Chatbot im Kundenservice bis zum KI-gestützten Bewerbungsscreening. Ordnen Sie jedes System einer Risikostufe des AI Act zu: verboten, Hochrisiko, begrenztes Risiko, minimales Risiko. Die meisten Office-KI-Tools (Copilot, ChatGPT im Browser) fallen unter minimales Risiko. Kritisch wird es bei KI in HR-Prozessen, Kreditentscheidungen oder biometrischer Erkennung. Prüfen Sie, ob Ihre Beschäftigten die KI-Kompetenzanforderung nach Art. 4 erfüllen². Bitkom bietet kostenlose Leitfäden zur Selbsteinschätzung²². Wenn Sie Hochrisiko-Systeme im Einsatz haben, beginnen Sie jetzt mit der Dokumentation. Auf die Omnibus-Verschiebung zu warten ist eine Wette, keine Strategie.

Unsere Einordnung

Uns sagt fast jeder Geschäftsführer dasselbe: "Wir machen NIS2 mit dem IT-Leiter und den AI Act klären wir separat." Das klingt logisch. Es ist der teuerste Ansatz. Bei einem Kunden mit 200 Mitarbeitern haben wir ein einziges Risikoregister mit fünf regulierungsspezifischen Modulen aufgebaut. Der Compliance-Aufwand hat sich in etwa halbiert (Schätzung auf Basis von zwei vergleichbaren Mandaten).

Was mich seitdem begleitet: In drei weiteren Fällen war die ISO-27001-Zertifizierung am Ende günstiger als die Anwaltskosten, die bei einer Bußgelddiskussion angefallen wären.

Im September 2026 fallen drei Fristen zusammen: CRA-Schwachstellenmeldung, Data-Act-Access-by-Design, AI-Act-Transparenzpflichten. Im Dezember kommt die Produkthaftungsrichtlinie dazu. Wer bis zum Sommer keinen funktionierenden Incident-Response-Prozess hat, der mehrere Regulierungen gleichzeitig bedient, arbeitet ab Herbst im Krisenmodus.

Welche Regulierungen konkret für Ihr Unternehmen gelten und wo Sie heute stehen, zeigt der KI-Regulierungs-Check für den Mittelstand.

Quellen

Sie haben Fragen zu diesem Thema?