NIS2 trifft KI: Warum AI Governance jetzt Pflicht wird

Das unterschätzte Risiko: KI unter NIS2
Die meisten Unternehmen behandeln NIS2 als reines IT-Sicherheitsthema. Firewall, SIEM, Incident Response — die üblichen Verdächtigen. Dabei übersehen sie das größte Risiko: Künstliche Intelligenz.
Jedes KI-System in Ihrem Unternehmen — ob ChatGPT, Copilot, eine interne ML-Pipeline oder ein KI-gestütztes CRM — ist ein ICT-System im Sinne von NIS2. Und damit gelten für diese Systeme dieselben Risikomanagement-Anforderungen wie für Ihre gesamte IT-Infrastruktur.
Gleichzeitig treten ab August 2026 die Hochrisiko-Pflichten des EU AI Act in Kraft. Unternehmen stehen vor einer Doppelbelastung, die sie nur mit einem integrierten Framework bewältigen können: AI Governance.
Wo NIS2 und KI sich überschneiden
1. ICT-Risikomanagement (§30 NIS2UmsuCG)
NIS2 fordert ein umfassendes Risikomanagement für alle ICT-Systeme. KI-Systeme bringen dabei spezifische Risiken mit, die in klassischen IT-Risikoanalysen fehlen: Halluzinationen, Bias, Modell-Drift, Prompt Injection und unkontrollierter Datenzugriff.
2. Incident Reporting
Wenn ein KI-System fehlerhafte Entscheidungen trifft, vertrauliche Daten leakt oder manipuliert wird — ist das ein meldepflichtiger Sicherheitsvorfall? In vielen Fällen: ja. Die 24-Stunden-Meldefrist gilt auch hier.
3. Supply Chain Security
ChatGPT ist ein Drittanbieter. Copilot ist ein Drittanbieter. Jede externe KI-API ist Teil Ihrer Lieferkette — und damit unter NIS2 zu bewerten. Haben Sie eine Risikoanalyse für OpenAI, Google oder Anthropic als Zulieferer durchgeführt?
4. Schulungspflicht
NIS2 fordert Cybersicherheitsschulungen für die Geschäftsleitung. Der EU AI Act fordert KI-Kompetenzschulungen (Art. 4, gilt seit Februar 2025). Zwei Gesetze, eine Botschaft: Wer KI einsetzt, muss wissen, was er tut.
Ab August 2026: Die Hochrisiko-KI-Pflichten
Am 11. Februar 2026 hat das Bundeskabinett das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) beschlossen. Die Bundesnetzagentur (BNetzA) wird zentrale Aufsichtsbehörde für KI in Deutschland.
Ab August 2026 gelten die vollen Pflichten für Hochrisiko-KI-Systeme:
• Verpflichtendes Risikomanagementsystem für jedes Hochrisiko-KI-System
• Technische Dokumentation und Logging
• Human Oversight — menschliche Kontrolle muss gewährleistet sein
• Transparenzpflichten gegenüber Nutzern
• Regelmäßige Überprüfung und Monitoring
Hochrisiko-KI umfasst: KI in der Personalauswahl, Kreditwürdigkeitsprüfung, biometrische Identifikation, kritische Infrastruktur, Bildung und Strafverfolgung.
Shadow AI: Der größte NIS2-Verstoß, den niemand meldet
Laut einer aktuellen Gartner-Studie (Februar 2026) nutzen über 50% der Mitarbeitenden private GenAI-Konten für berufliche Aufgaben. Jeder einzelne dieser Fälle ist potenziell:
• Ein Datenschutzverstoß (DSGVO)
• Ein ICT-Risiko im Sinne von NIS2
• Ein Verstoß gegen die KI-Kompetenzpflicht des EU AI Act
Wenn Ihr Vertrieb Kundendaten in ChatGPT eingibt, Ihre HR-Abteilung Bewerbungen mit einem privaten KI-Tool vorselektiert oder Ihre Entwickler Code aus unkontrollierten KI-Quellen verwenden — dann haben Sie ein NIS2-Problem, das mit Firewalls allein nicht zu lösen ist.
AI Governance: Ein Framework für NIS2 + AI Act
Die Lösung ist kein zweites Compliance-System neben dem ISMS, sondern eine Erweiterung: AI Governance integriert KI-spezifische Risiken in Ihr bestehendes Risikomanagement.
Was ein integriertes NIS2+KI-Framework umfasst:
• KI-Inventar: Welche KI-Systeme sind im Einsatz? (Auch Shadow AI erfassen)
• Risikobewertung: Einstufung nach EU AI Act Risikoklassen + NIS2-Relevanz
• Nutzungsrichtlinie: Was darf in welches KI-Tool — und was auf keinen Fall
• Meldeprozesse: KI-Incidents in die NIS2-Meldestruktur integrieren
• Lieferanten-Bewertung: OpenAI, Google, Microsoft als ICT-Drittanbieter bewerten
• Schulungen: Kombinierte NIS2 + KI-Kompetenz-Trainings
• Monitoring: Laufende Überwachung von KI-Outputs und Datenflüssen
ADVISORI baut kein Parallelsystem, sondern erweitert Ihr bestehendes ISMS um ein KI-Annex. Das spart 30-50% gegenüber einem Neuaufbau. Mehr zu unserem AI Governance Ansatz.
Häufig gestellte Fragen
Müssen wir KI-Systeme im NIS2-Registrierungsportal angeben?
Nicht direkt bei der Registrierung. Aber KI-Systeme müssen in Ihrem Risikomanagement erfasst sein, das bei BSI-Audits geprüft wird.
Ist ChatGPT ein Hochrisiko-KI-System?
ChatGPT selbst nicht — aber die Art, wie Sie es einsetzen, kann Hochrisiko sein. Wenn Sie ChatGPT für Personalauswahl, Kreditentscheidungen oder medizinische Beratung nutzen, fällt die Anwendung unter die Hochrisiko-Kategorie.
Wer ist für KI-Compliance zuständig — CISO oder AI Officer?
Idealerweise beide in Abstimmung. Der CISO verantwortet die ICT-Sicherheit (NIS2), ein AI Officer oder KI-Beauftragter die spezifischen AI-Act-Pflichten. ADVISORI empfiehlt eine integrierte Governance-Struktur.
Fazit: NIS2 ohne AI Governance ist unvollständig
Wer NIS2 umsetzt, ohne KI-Risiken zu adressieren, hat eine Lücke im Risikomanagement — und damit ein Haftungsproblem. Die Kombination aus NIS2 (jetzt) und EU AI Act (ab August 2026) erfordert einen integrierten Ansatz.
ADVISORI unterstützt Sie bei der Verzahnung von NIS2-Compliance und AI Governance. ISO 27001 zertifiziert, DORA- und NIS2-erfahren, mit eigener KI-Plattform. Kostenloses Erstgespräch vereinbaren.
📖 Lesen Sie auch: NIS2 im Mittelstand: Die 10 teuersten Fehler bei der Umsetzung
📖 Lesen Sie auch: KI-Compliance als Wettbewerbsfaktor: Wie AI Act & ISO 42001 Ihre Marktposition stärken
📖 Lesen Sie auch: NIS2 im Mittelstand: Die 10 teuersten Fehler bei der Umsetzung
📖 Lesen Sie auch: KI-Compliance als Wettbewerbsfaktor: Wie AI Act & ISO 42001 Ihre Marktposition stärken
📌 Mehr zu AI Governance: AI Governance Beratung

Souveräne KI · ADVISORI
Frontier-KI auf europäischer Infrastruktur
Frontier-Performance, vollständig in Europa und unter europäischem Recht: als lokale Sprachmodelle in Ihrer Infrastruktur oder orchestriert über Synthara AI Studio.
- EU-Inferenz: kein CLOUD Act, kein Kill-Switch
- DSGVO-konform auf europäischer Hardware
- Live in wenigen Wochen, ohne Vendor-Lock-in
Weitere relevante Beiträge
Vertiefen Sie Ihr Wissen mit ausgewählten Artikeln aus der gleichen Themenwelt.

NIS2 nach einem halben Jahr: Wie gut sind deutsche KMU wirklich aufgestellt?
Warum operative IT-Sicherheit für NIS2 nicht ausreicht – und wie KMU die Lücke zum Managementsystem schließen.

On-Premise vs. Cloud-LLM: Der ehrliche TCO-Vergleich 2026
LLM-Hosting im Kostenvergleich: On-Premise, dedizierte EU-Kapazität oder Cloud-API? Die TCO-Logik mit allen versteckten Posten – und wann sich was rechnet.

KI-Agenten erklärt: Definition, Beispiele und Einsatz im Unternehmen. Der Enterprise-Guide 2026
Was sind KI-Agenten? Definition, Funktionsweise, 7 Praxisbeispiele und der 5-Schritte-Plan für die Einführung im Unternehmen: DSGVO-konform und EU-AI-Act-ready.
Bereit, Ihr Wissen in Aktion umzusetzen?
Dieser Beitrag hat Ihnen Denkanstöße gegeben. Lassen Sie uns gemeinsam den nächsten Schritt gehen und entdecken, wie unsere Expertise im Bereich AI Governance Ihr Projekt zum Erfolg führen kann.
Unverbindlich informieren & Potenziale entdecken.
