Regulatorischer Jahresrückblick 2026: DORA, NIS2, AI Act — Was wurde umgesetzt?

2026 war das Jahr, in dem vier große EU-Regulierungen gleichzeitig operativ wurden: DORA (seit Januar 2025), NIS2 (deutsches Umsetzungsgesetz 2025/2026), EU AI Act (Hochrisiko ab August 2026) und CRA (Meldepflicht ab September 2026). Dieser Rückblick bewertet den Umsetzungsstand und zieht Lehren für 2027.

DORA: 20 Monate nach Anwendungsbeginn

DORA ist seit dem 17. Januar 2025 anwendbar. Der Umsetzungsstand nach 20 Monaten ist gemischt: Große Banken und Versicherungen haben die Kernanforderungen implementiert, mittelständische Finanzunternehmen kämpfen noch mit dem IKT-Informationsregister und dem Drittanbieter-Management.

• Erfolge: IKT-Risikorahmenwerke bei Top-100-Instituten implementiert, erste BaFin-Prüfungen bestanden
• Lücken: IKT-Informationsregister oft unvollständig, TLPT-Kapazitäten begrenzt, Exit-Strategien für Cloud-Provider fehlen vielfach
• Ausblick 2027: BaFin intensiviert Prüfungen, Fokus auf Drittparteienmanagement und Resilienz-Tests

NIS2: Deutsches Umsetzungsgesetz in Kraft

Das NIS2-Umsetzungsgesetz verpflichtet schätzungsweise 29.000 deutsche Unternehmen in 18 Sektoren zu erweiterten Cybersicherheitsmaßnahmen. Die BSI-Registrierungspflicht wurde umgesetzt, die ersten Meldepflichten greifen.

• Erfolge: BSI-Registrierungsportal live, erste Unternehmen registriert, Awareness für Cybersicherheitspflichten deutlich gestiegen
• Lücken: Viele KMU haben die Betroffenheitsprüfung noch nicht durchgeführt, Incident-Meldeprozesse fehlen, Lieferketten-Risikomanagement rudimentär
• Ausblick 2027: BSI beginnt mit Stichprobenprüfungen, erste Bußgeldverfahren bei eklatanten Verstößen

EU AI Act: Hochrisiko-Pflichten seit August

Die Hochrisiko-Anforderungen des EU AI Act gelten seit dem 2. August 2026 vollständig. Unternehmen, die KI-Systeme in den definierten Risikobereichen einsetzen, müssen Konformitätsbewertungen, Dokumentation und Governance nachweisen.

• Erfolge: Große Technologieunternehmen haben KI-Inventare erstellt und Governance-Strukturen aufgebaut
• Lücken: Viele Unternehmen haben ihre KI-Systeme noch nicht nach Risikoklassen klassifiziert, Konformitätsdokumentation fehlt, KI-Kompetenzaufbau langsam
• Ausblick 2027: BSI als Marktüberwachungsbehörde beginnt mit Kontrollen, erste Enforcement-Fälle erwartet

CRA: Meldepflicht seit September

Die CRA-Meldepflicht für aktiv ausgenutzte Schwachstellen gilt seit dem 11. September 2026. Hersteller vernetzter Produkte müssen Schwachstellen innerhalb von 24 Stunden an ENISA melden.

• Erfolge: ENISA Single Reporting Platform operativ, erste Meldungen eingegangen
• Lücken: Viele KMU-Hersteller kennen die Pflicht nicht, Vulnerability-Disclosure-Prozesse fehlen, SBOM-Generierung nicht etabliert
• Ausblick 2027: Dezember 2027 = vollständige CRA-Compliance-Pflicht inkl. CE-Kennzeichnung

Häufig gestellte Fragen zum regulatorischen Jahr 2026

Was war die wichtigste regulatorische Änderung 2026?

Die gleichzeitige Anwendbarkeit von DORA, NIS2, AI Act und CRA hat eine beispiellose Compliance-Welle ausgelöst. Die größte Einzeländerung war der vollständige Anwendungsbeginn der AI Act Hochrisiko-Pflichten am 2. August — erstmals müssen Unternehmen KI-Systeme systematisch regulieren.

Welche Bußgelder wurden 2026 verhängt?

Stand November 2026: Die Aufsichtsbehörden haben sich im ersten Jahr auf Beratung und Aufforderungen konzentriert. Einzelne Bußgelder wurden bei eklatanten DSGVO-Verstößen und NIS2-Meldeversäumnissen ausgesprochen. 2027 wird die Enforcement-Phase beginnen, insbesondere bei DORA und NIS2.

Was sollten Unternehmen 2027 priorisieren?

CRA-Vollcompliance (Deadline Dezember 2027), DORA-Drittparteienmanagement vertiefen, NIS2-Meldeprozesse testen, AI Act Konformitätsdokumentation vervollständigen. Wer 2026 die Grundlagen gelegt hat, muss 2027 in die Tiefe gehen und Audit-Readiness herstellen.