Wir verwenden Cookies, damit Sie effizient navigieren und bestimmte Funktionen ausführen können. Detaillierte Informationen zu allen Cookies finden Sie unten unter jeder Einwilligungskategorie.
Die als „notwendig" kategorisierten Cookies werden in Ihrem Browser gespeichert, da sie für die Aktivierung der grundlegenden Funktionalitäten der Website unerlässlich sind....
Notwendige Cookies sind für die Grundfunktionen der Website von entscheidender Bedeutung. Ohne sie kann die Website nicht in der vorgesehenen Weise funktionieren.Diese Cookies speichern keine personenbezogenen Daten.
Funktionale Cookies unterstützen bei der Ausführung bestimmter Funktionen, z. B. beim Teilen des Inhalts der Website auf Social Media-Plattformen, beim Sammeln von Feedbacks und anderen Funktionen von Drittanbietern.
Analyse-Cookies werden verwendet um zu verstehen, wie Besucher mit der Website interagieren. Diese Cookies dienen zu Aussagen über die Anzahl der Besucher, Absprungrate, Herkunft der Besucher usw.
Leistungs-Cookies werden verwendet, um die wichtigsten Leistungsindizes der Website zu verstehen und zu analysieren. Dies trägt dazu bei, den Besuchern ein besseres Nutzererlebnis zu bieten.
Werbe-Cookies werden verwendet, um Besuchern auf der Grundlage der von ihnen zuvor besuchten Seiten maßgeschneiderte Werbung zu liefern und die Wirksamkeit von Werbekampagne nzu analysieren.
Dr. Oliver Gausmann · 8. April 2026 · 8 Min. Lesezeit
Sieben EU-Regulierungen treten im April 2026 gleichzeitig in den operativen Alltag des Mittelstands ein. Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 ohne Übergangsfrist in Kraft und betrifft rund 29.500 Unternehmen in Deutschland1. Die KI-Kompetenzpflicht nach dem EU AI Act gilt bereits seit Februar 2025 und ab Dezember 2026 haften Hersteller von Software und KI-Produkten nach der neuen Produkthaftungsrichtlinie223. Ein integriertes Governance-Framework kann bis zu 60% des Compliance-Aufwands einsparen, weil sechs von sieben Regulierungen dieselben Kernanforderungen stellen12.
EU-KI-Regulierung im Mittelstand 2026: Status, Fristen und Bußgelder im Überblick
| Regulierung | Status April 2026 | Nächste Frist | Max. Bußgeld |
|---|---|---|---|
| EU AI Act | Verbote + KI-Kompetenz + GPAI in Kraft | Aug 2026: Transparenzpflichten, Nov 2026: Watermarking (Omnibus) | 35 Mio. € / 7 % Umsatz |
| NIS2 (NIS2UmsuCG) | Vollständig in Kraft seit 06.12.2025 | Registrierungsfrist abgelaufen (März 2026) | 10 Mio. € / 2 % Umsatz |
| DORA | Vollständig in Kraft seit 17.01.2025 | 31.12.2026: BAIT/VAIT/KAIT abgelöst | Bis 2 % Umsatz (täglich 1 %) |
| CRA | In Kraft seit 10.12.2024 | Sep 2026: 24h-Schwachstellenmeldepflicht | 15 Mio. € / 2,5 % Umsatz |
| Produkthaftung (neu) | Richtlinie in Kraft seit 08.12.2024, Bundestag 1. Lesung 04.03.2026 | 09.12.2026: Umsetzungsfrist, Software/KI = Produkt | Zivilrechtliche Haftung (keine Obergrenze) |
| Data Act | In Kraft seit 12.09.2025 | Sep 2026: Access by Design | Bis 500.000 € (DE) |
| DSGVO + KI | EDPB Opinion 28/2024, DSK RAG-Leitfaden | 2026: Koordinierte Durchsetzung Transparenz | 20 Mio. € / 4 % Umsatz |
Stand Digital Omnibus (8. April 2026): Rat (13. März) und Parlament (26. März, 569 zu 45 Stimmen) haben ihre Verhandlungspositionen beschlossen3. Beide fordern die Hochrisiko-Verschiebung auf Dezember 2027. Der Trilog läuft seit dem 26. März. Ziel ist eine Einigung am 28. April 2026. Bis zur formellen Verabschiedung gelten die bestehenden Fristen.
Jeder Geschäftsführer muss wissen, welche Pflichten im Mittelstand für sein Unternehmen gelten. Die Antwort hängt von drei Faktoren ab: Unternehmensgröße, Sektor und Produktportfolio.
Jedes Unternehmen ab 50 Mitarbeitern muss seit Februar 2025 die KI-Kompetenz seiner Beschäftigten sicherstellen, wenn KI-Systeme eingesetzt werden (Art. 4 AI Act)2. Die verbotenen KI-Praktiken gelten unabhängig von der Unternehmensgröße. Dazu kommt die DSGVO, die bei jedem KI-Einsatz mit personenbezogenen Daten greift. Der EDPB hat im Dezember 2024 klargestellt, dass berechtigtes Interesse als Rechtsgrundlage für KI-Training möglich ist, aber einen dreistufigen Test erfordert4. Die Datenschutzkonferenz hat im Oktober 2025 eine Orientierungshilfe zu RAG-basierten KI-Systemen veröffentlicht5.
Unternehmen in NIS2-Sektoren (Energie, Transport, Gesundheit, digitale Infrastruktur, verarbeitendes Gewerbe, Lebensmittel, Chemie und 12 weitere) mit mehr als 50 Mitarbeitern oder 10 Mio. Euro Umsatz fallen unter das NIS2UmsuCG1. Die Registrierung beim BSI war bis März 2026 Pflicht. Wer sie verpasst hat, sollte sofort nachholen. Geschäftsführer haften persönlich nach §38 BSIG, ein Haftungsverzicht ist ausgeschlossen6. Die zehn Mindestmaßnahmen nach §30 BSIG umfassen Risikoanalyse, Incident Management, Business Continuity und Lieferkettensicherheit.
Hersteller von Produkten mit digitalen Elementen (Maschinen, IoT-Geräte, Industriesoftware) unterliegen dem Cyber Resilience Act. Ab September 2026 müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden gemeldet werden7. Die vollständige Konformität mit CE-Kennzeichnung greift ab Dezember 2027. Rund 90% der Produkte können per Selbstbewertung konformitätsbewertet werden7. Wenn Sie vernetzte Produkte herstellen, betrifft Sie zusätzlich der Data Act: Ab September 2026 müssen neue Produkte Datenzugang technisch ermöglichen ("Access by Design")8. Der Bundestag hat das Durchführungsgesetz am 26. März 2026 verabschiedet9.
Dazu kommt die neue Produkthaftungsrichtlinie, die bis zum 9. Dezember 2026 in deutsches Recht umgesetzt werden muss. Software und KI-Systeme gelten erstmals als "Produkt" im haftungsrechtlichen Sinne23. Der Bundestag hat die erste Lesung des Umsetzungsgesetzes am 4. März 2026 durchgeführt23. Wer CRA- oder AI-Act-Anforderungen nicht erfüllt, riskiert damit eine Vermutung der Produktfehlerhaftigkeit in Zivilprozessen. Hersteller, die nach dem Inverkehrbringen weiterhin Kontrolle über ihr Produkt ausüben (Updates, digitale Dienste, vernetzte Komponenten), haften auch für danach auftretende Mängel23.
Finanzsektor und deren IT-Zulieferer fallen unter DORA, das seit Januar 2025 gilt. DORA ist lex specialis zu NIS2 und stellt strengere Anforderungen: Vorfälle müssen innerhalb von vier Stunden nach Klassifizierung gemeldet werden10. Die BaFin führt 2026 systematische Prüfungen durch. Mittelständler sind betroffen, wenn sie als kritische IKT-Drittdienstleister für Finanzunternehmen arbeiten.
Auch Unternehmen unterhalb der formalen Schwellenwerte spüren den Druck. NIS2-regulierte Kunden verlangen von Zulieferern vertragliche Cybersicherheitsnachweise11. Wer in der Lieferkette eines betroffenen Unternehmens steckt, braucht mindestens eine dokumentierte Sicherheitsstrategie.
Fünf Anforderungsbereiche tauchen in praktisch jeder der sieben Regulierungen auf. Wer sie einmal sauber aufbaut, spart nach Branchenschätzungen bis zu 60% des Compliance-Aufwands gegenüber isolierten Projekten12.
Anforderungsmatrix: Wo AI Act, NIS2, DORA, DSGVO und CRA für den Mittelstand übereinanderliegen
| Anforderung | AI Act | NIS2 | DORA | DSGVO | CRA |
|---|---|---|---|---|---|
| Risikomanagement | KI-Risikoklassifikation | Cyber-Risikoanalyse | IKT-Risikomanagement | DSFA | Produktsicherheitsbewertung |
| Vorfallmeldung | Schwerwiegende Vorfälle | 24h / 72h / 1 Monat | 4h / 72h / 1 Monat | 72h (96h geplant) | 24h an ENISA |
| Lieferkette | KI-Zulieferer bewerten | Art. 21: Lieferkettensicherheit | Art. 28: IKT-Drittanbieter | Auftragsverarbeiter | Komponentensicherheit |
| Governance | Menschliche Aufsicht | Persönliche GF-Haftung | Persönliche GF-Haftung | Datenschutzbeauftragter | Konformitätserklärung |
| Dokumentation | Techn. Dokumentation | Risikoanalysen | Informationsregister | Verarbeitungsverzeichnis | SBOM + CE |
Ein einziges Risikoregister mit regulierungsspezifischen Kategorien kann die Anforderungen aus allen Verordnungen bedienen. Ein einziger Incident-Response-Prozess mit unterschiedlichen Meldefristen je Regime ersetzt fünf parallele Meldeketten. Ein Vendor-Assessment-Framework mit regulierungsspezifischen Zusatzmodulen eliminiert redundante Lieferantenprüfungen.
Das Digital Omnibus sieht ein einheitliches EU-Meldeportal vor, das Meldungen automatisch an die zuständigen Behörden weiterleitet3. Bis dahin muss jedes Unternehmen selbst sicherstellen, dass ein Cybervorfall die richtigen Behörden in der richtigen Frist erreicht. Die neue Produkthaftungsrichtlinie verstärkt den Druck zusätzlich: Fehlende Compliance mit CRA oder AI Act kann in Zivilprozessen als Beweis für Produktmängel herangezogen werden23.
ISO 27001:2022 ist das Fundament. Die Norm deckt 60 bis 85% der NIS2-Anforderungen und rund 85% der DORA-Anforderungen ab13. Was fehlt, sind die spezifischen Meldefristen und sektorspezifische Vorgaben. Für einen Mittelständler mit 100 Mitarbeitern kostet die Zertifizierung zwischen 50.000 und 100.000 Euro (Schätzung), die Umsetzung dauert sechs bis zwölf Monate.
Für KI-Governance gibt es seit 2023 die ISO 42001. Die Norm unterstützt die AI-Act-Compliance für Hochrisikosysteme direkt, garantiert sie aber nicht, weil die rechtlichen Anforderungen über jeden freiwilligen Standard hinausgehen14. Die harmonisierten Normen von CEN-CENELEC werden voraussichtlich ISO-42001-Konzepte referenzieren. Der Entwurf prEN 18286 hat die öffentliche Anhörung durchlaufen15.
Im Oktober 2025 wurde die ISO 27701 grundlegend überarbeitet und ist jetzt ein eigenständiges Managementsystem. Die bisherige Voraussetzung einer ISO-27001-Zertifizierung entfällt16. Die Norm bildet DSGVO-Anforderungen direkt ab und enthält neue Anhänge zu KI-bezogener Verarbeitung.
Für die Automobilzulieferkette deckt TISAX die NIS2-Anforderungen nach Art. 20 und 21 vollständig ab, sofern alle betroffenen Standorte im Scope sind17. Cloud-Dienstleister profitieren vom BSI C5-Testat mit 121 Kontrollen18.
Zertifizierungspriorität für den Mittelstand: ISO-Normen nach Abdeckungsgrad und Zeitrahmen
| Priorität | Zertifizierung | Abdeckung | Zeitrahmen |
|---|---|---|---|
| 1 | ISO 27001:2022 | NIS2 (60 bis 85%), DORA (85%), AI Act (Sicherheit), CRA (Organisation) | Sofort, 6 bis 12 Monate |
| 2 | ISO 42001 | AI Act (Hochrisiko), KI-Governance | Ab Q3 2026 |
| 3 | ISO 27701:2025 | DSGVO, AI Act (Datenschutz) | Ab Q1 2027 |
| 4 | Branchenspezifisch (TISAX/C5/B3S) | Sektorpflichten + NIS2 | Nach Bedarf |
Zwei Omnibus-Pakete betreffen den Mittelstand. Das Nachhaltigkeits-Omnibus ist verabschiedet: Die Richtlinie (EU) 2026/470 trat am 16. März 2026 in Kraft und hebt die CSRD-Berichtspflicht auf Unternehmen ab 1.000 Mitarbeitern und 450 Mio. Euro Umsatz an19. Für den typischen Mittelstand fällt die Nachhaltigkeitsberichterstattung damit weg.
Das Digital Omnibus ist seit dem 26. März 2026 im Trilog. Rat und Parlament sind sich bei den Kernpunkten einig: Die Hochrisiko-Frist verschiebt sich auf Dezember 2027 (Annex III) und August 2028 (Annex I)3. Beide Institutionen haben allerdings mehrere Vereinfachungsvorschläge der Kommission zurückgenommen. Die KI-Kompetenzpflicht soll nach dem Willen des Parlaments bestehen bleiben, mit abgesenktem Standard3. Neu hinzugekommen ist ein Verbot von KI-Systemen, die nicht-einvernehmliche sexuelle Deepfakes erzeugen. Für Watermarking von KI-generierten Inhalten (Art. 50) fordert das Parlament den 2. November 2026 als Frist3. Der DIHK fordert in seinem Positionspapier einheitliche Definitionen über alle Digitalgesetze und gestaffelte Zertifizierungsoptionen21. Eine Einigung wird für den 28. April 2026 angestrebt. Solange der Omnibus nicht verabschiedet ist, gelten die bestehenden Fristen. Planen Sie mit August 2026, hoffen Sie auf Dezember 2027.
Setzen Sie sich am Montag 90 Minuten hin und öffnen Sie die BSI-Betroffenheitsprüfung unter bsi.bund.de. Die 15 Fragen klären, ob Sie unter NIS2 fallen. Schreiben Sie das Ergebnis auf eine Seite: betroffener Sektor ja/nein, Schwellenwerte erfüllt ja/nein, Registrierung beim BSI erledigt ja/nein. Wenn Sie die Registrierung im März 2026 verpasst haben, holen Sie das in derselben Sitzung nach. Das BSI-Meldeportal ist seit Januar 2026 online1. Prüfen Sie in der gleichen Sitzung, ob der CRA oder der Data Act für Ihre Produkte greift.
ISO 27001 als integriertes Compliance-Fundament beauftragen lohnt sich auch dann, wenn Sie formal nicht unter NIS2 fallen. Beauftragen Sie einen Readiness-Check bei einem akkreditierten Anbieter. Der Check misst Ihren aktuellen Stand gegen die Norm und liefert eine Gap-Analyse mit priorisierter Maßnahmenliste. Typischer Zeitrahmen bis zur Zertifizierung: sechs bis zwölf Monate. Investition für den unteren Mittelstand ab 50.000 Euro (Schätzung). Der Readiness-Check selbst kostet zwischen 3.000 und 8.000 Euro (Schätzung) und dauert zwei bis vier Wochen.
Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen im Einsatz sind, vom Chatbot im Kundenservice bis zum KI-gestützten Bewerbungsscreening. Ordnen Sie jedes System einer Risikostufe des AI Act zu: verboten, Hochrisiko, begrenztes Risiko, minimales Risiko. Die meisten Office-KI-Tools (Copilot, ChatGPT im Browser) fallen unter minimales Risiko. Kritisch wird es bei KI in HR-Prozessen, Kreditentscheidungen oder biometrischer Erkennung. Prüfen Sie, ob Ihre Beschäftigten die KI-Kompetenzanforderung nach Art. 4 erfüllen2. Bitkom bietet kostenlose Leitfäden zur Selbsteinschätzung22. Wenn Sie Hochrisiko-Systeme im Einsatz haben, beginnen Sie jetzt mit der Dokumentation. Die architektonischen Grundlagen für ein auditfähiges KI-System beschreibt die KI-Compliance-Architektur in drei Entscheidungen. Auf die Omnibus-Verschiebung zu warten ist eine Wette, keine Strategie.
Uns sagt fast jeder Geschäftsführer dasselbe: "Wir machen NIS2 mit dem IT-Leiter und den AI Act klären wir separat." Das klingt logisch. Es ist der teuerste Ansatz. Bei einem Kunden mit 200 Mitarbeitern haben wir ein einziges Risikoregister mit fünf regulierungsspezifischen Modulen aufgebaut. Der Compliance-Aufwand hat sich in etwa halbiert (Schätzung auf Basis von zwei vergleichbaren Mandaten).
Was mich seitdem begleitet: In drei weiteren Fällen war die ISO-27001-Zertifizierung am Ende günstiger als die Anwaltskosten, die bei einer Bußgelddiskussion angefallen wären.
Im September 2026 fallen drei Fristen zusammen: CRA-Schwachstellenmeldung, Data-Act-Access-by-Design, AI-Act-Transparenzpflichten. Im Dezember kommt die Produkthaftungsrichtlinie dazu. Wer bis zum Sommer keinen funktionierenden Incident-Response-Prozess hat, der mehrere Regulierungen gleichzeitig bedient, arbeitet ab Herbst im Krisenmodus.
Welche Regulierungen konkret für Ihr Unternehmen gelten und wo Sie heute stehen, zeigt der KI-Regulierungs-Check für den Mittelstand.
Quellen
1MyBusinessFuture: NIS2-Umsetzung im Mittelstand 2026
2Bitkom Consult: Nächste Phase des EU AI Act ab August 2025
3EU-Parlament: Digital Omnibus on AI Legislative Train
4EDPB Opinion 28/2024: KI-Modelle und DSGVO
5DSK Orientierungshilfe zu RAG-basierten KI-Systemen 2025
6Secjur: NIS2 Haftung Geschäftsführer §38 BSIG
7Hogan Lovells: CRA Key 2026 Milestones
8EU-Kommission: Data Act Policy
9Bundestag: Verabschiedung EU-Datenzugangsgesetz März 2026
10BaFin: DORA Digital Operational Resilience Act
11Kopexa: NIS2 unterschätzte Pflicht für Mittelstand und Zulieferer
12Enactia: Compliance Triple Threat DORA NIS2 EU AI Act Overlap
13Kopexa: NIS2 ISO 27001 Mapping
14Cloud Security Alliance: ISO 42001 und EU AI Act
15Bitkom: Wettbewerbsfähige AI-Act-Normen schaffen 2025
16TekClarion: ISO 27701:2025 GDPR Compliance
17ENX Association: TISAX als Beitrag zur NIS-2 Cybersicherheit
18BSI: C5 Cloud Computing Compliance Criteria Catalogue
19PwC Viewpoint: Omnibus Directive Finalised 2026
20Skadden: Commission Proposes Changes to EU Digital Rules
21DIHK: Positionspapier Digital Simplification Package
22Bitkom: AI Act kommt nach Deutschland
23A&O Shearman: Update Produkthaftungsrecht Deutschland März 2026
Hat Ihnen dieser Artikel geholfen?
Sie haben Fragen zu diesem Thema?
Gespräch vereinbaren