Regulierungswelle 2026: NIS2, DORA, AI Act & CRA — Was Unternehmen jetzt tun müssen
Regulierungswelle 2026: NIS2, DORA, AI Act & CRA — Was Unternehmen jetzt tun müssen
Zuletzt aktualisiert am 23. Februar 2026
Vier Regulierungen, ein Zeitfenster — die Lage im Februar 2026
2026 ist kein normales Compliance-Jahr. Vier europäische Regulierungen entfalten gleichzeitig ihre volle Wirkung — und jede einzelne davon hätte das Potenzial, die Compliance-Abteilungen mittelständischer und großer Unternehmen monatelang zu beschäftigen. Zusammen erzeugen sie einen Druck, den viele Organisationen unterschätzen.
Die NIS2-Umsetzung fordert bis zum 6. März 2026 die BSI-Registrierung von rund 30.000 Unternehmen in Deutschland. DORA ist seit dem 17. Januar 2025 anwendbar und wird den gesamten Finanzsektor in den kommenden Monaten durch BaFin-Prüfungen auf den Prüfstand stellen. Das KI-MIG — Deutschlands Durchführungsgesetz zum EU AI Act — wurde am 11. Februar 2026 vom Kabinett beschlossen und macht KI-Sanktionen ab August 2026 vollstreckbar. Und der Cyber Resilience Act verpflichtet Hersteller digitaler Produkte ab September 2026 zur Meldung aktiv ausgenutzter Schwachstellen.
Das ist kein Zufall. Die EU verfolgt mit der Strategie zur digitalen Souveränität einen koordinierten Ansatz: Netzwerksicherheit (NIS2), Finanzstabilität (DORA), verantwortungsvolle KI (AI Act) und Produktsicherheit (CRA) greifen ineinander. Wer nur eine dieser Regulierungen isoliert betrachtet, verschwendet Budget und Zeit — denn die Überschneidungen bei Risikomanagement, Meldepflichten und Supply-Chain-Anforderungen sind erheblich.
Regulierung | Geltungsbereich | Kernpflicht | Nächste kritische Frist | Max. Sanktion
NIS2 (NIS2UmsuCG) | ~30.000 Unternehmen in 18 Sektoren | Cybersecurity-Risikomanagement, Meldepflichten, BSI-Registrierung | 06.03.2026 (Registrierung) | 10 Mio. € / 2 % Umsatz
DORA | Finanzsektor + IKT-Drittanbieter | IKT-Risikomanagement, TLPT, Third-Party-Oversight | Q1 2026 (BaFin-Prüfungen) | Sektorspezifisch, inkl. Lizenzentzug
AI Act (KI-MIG) | Jedes Unternehmen das KI einsetzt oder entwickelt | Risikoklassifizierung, Transparenz, Hochrisiko-Compliance | 02.08.2026 (Sanktionen) | 35 Mio. € / 7 % Umsatz
CRA | Hersteller/Importeure digitaler Produkte | Security by Design, SBOM, Schwachstellenmanagement | 11.09.2026 (Meldepflichten) | 15 Mio. € / 2,5 % Umsatz
Dieser Artikel gibt Ihnen den kompletten Überblick: Was jede Regulierung konkret fordert, wo sich Pflichten überschneiden, und wie Sie mit einem integrierten Ansatz bis zu 40 % Umsetzungsaufwand sparen.
NIS2 — Registrierungsfrist 6. März 2026: Was jetzt noch geht
Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 geltendes deutsches Recht. Der Bundestag-Beschluss zum NIS2UmsuCG beendete eine über zweijährige Verzögerungsphase — und verkürzte damit die effektive Vorbereitungszeit für betroffene Unternehmen auf wenige Monate.
Die Zahlen sind alarmierend: Rund 30.000 Unternehmen in Deutschland fallen unter die NIS2-Regelungen. Laut einer Erhebung von nis2-check.de wissen 80 % der Betroffenen nicht einmal, dass sie betroffen sind. Das liegt an den erweiterten Kriterien: NIS2 erfasst 18 Sektoren und senkt die Schwellenwerte deutlich ab. Ein Unternehmen mit 50 Mitarbeitenden und 10 Mio. € Umsatz in einem relevanten Sektor ist bereits im Scope.
Die unmittelbarste Pflicht: Bis zum 6. März 2026 müssen sich alle betroffenen Unternehmen beim BSI registrieren. Technisch geschieht dies über das BSI-Portal mit einem ELSTER-Organisationszertifikat. Und genau hier liegt ein praktisches Problem, das viele unterschätzen: Wer noch kein ELSTER-Zertifikat für seine Organisation beantragt hat, muss mit mehreren Wochen Bearbeitungszeit rechnen. Bei einer verbleibenden Frist von elf Tagen wird das extrem knapp.
Die Konsequenzen bei Nichtbeachtung sind kein leeres Drohszenario. §38 NIS2UmsuCG etabliert eine persönliche Haftung der Geschäftsleitung — ein Novum im deutschen Cybersicherheitsrecht. Geschäftsführer und Vorstände können nicht mehr argumentieren, Cybersicherheit sei eine rein operative Angelegenheit. Dazu kommen Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Wer die Details zu den Bußgeldern und der persönlichen Haftung bei NIS2 vertiefen möchte, findet dort eine vollständige Aufschlüsselung.
NIS2-Checkliste: Die 5 wichtigsten Sofortmaßnahmen
Auch wenn die Zeit drängt — Panik ist der falsche Berater. Die folgenden fünf Maßnahmen lassen sich priorisiert angehen und decken die kritischsten NIS2-Anforderungen ab.
Erstens: BSI-Registrierung sofort durchführen. Falls ein ELSTER-Organisationszertifikat vorhanden ist, kann die Registrierung innerhalb weniger Stunden abgeschlossen werden. Falls nicht, muss die Beantragung heute starten — und parallel ein Notfallplan für den Fall erstellt werden, dass das Zertifikat nicht rechtzeitig kommt. Das BSI hat signalisiert, dass eine nachweislich eingeleitete Registrierung bei knapper Fristüberschreitung milder bewertet wird als komplette Untätigkeit.
Zweitens: Betroffenheitsanalyse abschließen. Die Frage „Sind wir überhaupt betroffen?" muss dokumentiert beantwortet sein. Dabei geht es nicht nur um die eigene Einordnung, sondern auch um die Frage, ob Tochtergesellschaften, Joint Ventures oder wesentliche Zulieferer unter NIS2 fallen. Die 10 häufigsten Fehler bei der NIS2-Umsetzung zeigen, dass gerade im Mittelstand die Betroffenheitsanalyse am häufigsten fehlerhaft durchgeführt wird.
Drittens: Risikomanagement-Framework aufsetzen. NIS2 verlangt ein systematisches Risikomanagement nach dem Stand der Technik. Wer bereits ein ISMS nach ISO 27001 betreibt, hat eine solide Basis — muss aber die NIS2-spezifischen Anforderungen (insbesondere Lieferkettensicherheit und Business Continuity) explizit abbilden.
Viertens: Meldeprozesse für Sicherheitsvorfälle etablieren. NIS2 sieht ein dreistufiges Meldesystem vor: Erstmeldung innerhalb von 24 Stunden, qualifizierte Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Diese Fristen müssen operativ abgebildet sein — mit klaren Verantwortlichkeiten, Eskalationspfaden und vorbereiteten Templates.
Fünftens: Lieferanten-Assessment starten. Die Lieferkettensicherheit ist eine der anspruchsvollsten NIS2-Anforderungen, weil sie weit über die eigene Organisation hinausgeht. Unternehmen müssen die Cybersicherheitsmaßnahmen ihrer kritischen Zulieferer bewerten und vertraglich absichern. Wer diesen Aspekt strategisch angeht, kann daraus sogar einen Wettbewerbsvorteil machen — wie wir im Artikel zu den NIS2-Anforderungen in der Lieferkette ausführlich beschrieben haben.
DORA — Finanzsektor unter Druck
Der Digital Operational Resilience Act (Verordnung (EU) 2022/2554) ist seit dem 17. Januar 2025 unmittelbar anwendbar — kein nationales Umsetzungsgesetz nötig, kein Aufschub möglich. Trotzdem zeigt eine Erhebung der Computerwoche, dass 44 % der betroffenen Unternehmen erhebliche Umsetzungsprobleme haben. Das ist keine Statistik über kleine Fintechs — die Erhebung umfasst Banken, Versicherungen und Zahlungsdienstleister aller Größenordnungen.
DORA richtet sich an den gesamten Finanzsektor: Kreditinstitute, Versicherungsunternehmen, Wertpapierfirmen, Zahlungsdienstleister, Krypto-Asset-Dienstleister und — das wird oft übersehen — die IKT-Drittanbieter, die kritische Dienstleistungen für diese Sektoren erbringen. Ein Cloud-Provider, der Kernbanksysteme hostet, fällt ebenso unter DORA wie die Bank selbst.
Die Kernpflichten gliedern sich in fünf Säulen: IKT-Risikomanagement, Incident Reporting, Digital Operational Resilience Testing, Third-Party-Risk-Management und Information Sharing. Auf den ersten Blick ähneln diese Anforderungen dem, was NIS2 fordert. Auf den zweiten Blick wird klar: DORA geht in jedem Bereich deutlich tiefer.
Der wichtigste Unterschied betrifft das Resilience Testing. DORA verlangt von systemrelevanten Instituten sogenannte Threat-Led Penetration Tests (TLPT) — eine Methodik, bei der reale Angriffsszenarien durch spezialisierte Red Teams simuliert werden, basierend auf aktuellen Threat Intelligence. Das ist ein völlig anderes Kaliber als ein jährlicher Penetrationstest durch einen Standard-Dienstleister. Die TLPT-Anforderung orientiert sich am TIBER-EU-Framework und erfordert Ressourcen, die am Markt schlicht knapp sind.
DORA-Umsetzung: Wo die größten Lücken liegen
Die Praxis zeigt vier wiederkehrende Schwachstellen in der DORA-Umsetzung.
Das Third-Party-Risk-Register ist bei vielen Instituten unvollständig. DORA fordert ein vollständiges Register aller vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen — inklusive einer Klassifizierung, welche dieser Dienstleister kritische oder wichtige Funktionen unterstützen. Viele Häuser haben keinen vollständigen Überblick, welche Cloud-Dienste, SaaS-Lösungen und Managed Services tatsächlich im Einsatz sind. Shadow IT ist hier nicht das Randphänomen, als das es oft abgetan wird — es ist der blinde Fleck im DORA-Register.
Die TLPT-Kapazitäten fehlen am Markt. Qualifizierte Red-Team-Provider, die nach TIBER-EU-Vorgaben arbeiten, sind begrenzt. Wer erst jetzt beginnt, einen TLPT-Anbieter zu suchen, wird mit Wartezeiten von mehreren Monaten rechnen müssen. Die BaFin hat zwar signalisiert, dass sie in der Anfangsphase pragmatisch agieren wird — aber das bedeutet nicht, dass fehlende TLPT-Tests folgenlos bleiben.
Ausstiegsstrategien für kritische IKT-Dienstleister sind ein weiteres Sorgenkind. DORA verlangt Exit-Pläne für den Fall, dass ein kritischer IKT-Dienstleister ausfällt oder die Geschäftsbeziehung beendet werden muss. In der Praxis haben die wenigsten Institute einen realistischen Plan, wie sie etwa eine Migration von AWS zu Azure innerhalb eines vertretbaren Zeitrahmens durchführen würden. Das ist kein theoretisches Risiko — es ist eine regulatorische Pflicht, die spätestens bei der nächsten BaFin-Prüfung abgefragt wird.
Die Incident-Reporting-Fristen stellen operative Herausforderungen dar. DORA sieht eine Erstmeldung innerhalb von 4 Stunden vor — deutlich schärfer als die 24-Stunden-Frist unter NIS2. Ein IKT-bezogener Vorfall muss innerhalb von 72 Stunden qualifiziert gemeldet werden. Wer diese Fristen am Wochenende oder an Feiertagen einhalten will, braucht eine 24/7-Bereitschaft mit klaren Prozessen und vorbereiteten Meldewegen zur BaFin.
AI Act & KI-MIG — KI-Regulierung wird deutsches Recht
Der EU AI Act (Verordnung (EU) 2024/1689) tritt stufenweise in Kraft. Seit August 2024 gelten die Verbote für inakzeptable KI-Systeme — etwa Social Scoring oder biometrische Echtzeit-Fernidentifizierung in öffentlichen Räumen. Ab August 2026 greifen die Pflichten für Hochrisiko-KI-Systeme, und damit wird es für die überwiegende Mehrheit der Unternehmen konkret.
Der entscheidende Durchbruch auf nationaler Ebene kam am 11. Februar 2026: Das Bundeskabinett beschloss das KI-MIG (KI-Markt-Implementierungsgesetz) — Deutschlands Durchführungsgesetz zum AI Act. Damit ist klar, wie der AI Act in Deutschland vollstreckt wird. Die Bundesnetzagentur wird zur zentralen Aufsichtsbehörde für KI-Marktüberwachung. Das ist eine bewusste Entscheidung: Die BNetzA hat bereits Erfahrung mit der Marktüberwachung in regulierten Sektoren und verfügt über die nötige technische Expertise.
Ohne das KI-MIG wäre der AI Act in Deutschland faktisch nicht durchsetzbar gewesen. Das Gesetz regelt die Zuständigkeitsverteilung zwischen Bundesbehörden, definiert die Sanktionsmechanismen und schafft den Rahmen für Regulatory Sandboxes, in denen innovative KI-Systeme unter regulatorischer Aufsicht getestet werden können. Für bestehende KI-Systeme sieht das KI-MIG Übergangsfristen vor — allerdings sind diese deutlich kürzer als von Branchenverbänden gefordert.
Die Risikoklassifizierung des AI Act ist das zentrale Element, das jedes Unternehmen verstehen muss. Verbotene KI-Praktiken (Art. 5 AI Act) sind seit August 2024 untersagt — wer Social Scoring oder unterschwellige Manipulationstechniken einsetzt, operiert bereits rechtswidrig. Hochrisiko-KI-Systeme (Anhang III AI Act) umfassen unter anderem KI im Personalwesen (Recruiting, Leistungsbewertung), Kreditscoring, medizinische Diagnostik und kritische Infrastruktur. Für diese Systeme gelten ab August 2026 umfassende Pflichten: Risikomanagement, Datenqualität, technische Dokumentation, menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit. KI-Systeme mit begrenztem Risiko unterliegen Transparenzpflichten — etwa die Kennzeichnung von KI-generierten Inhalten oder Chatbot-Interaktionen.
Die Sanktionen sind die höchsten aller vier Regulierungen: Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes für Verstöße gegen die verbotenen KI-Praktiken. Für Hochrisiko-Verstöße liegen die Bußgelder bei bis zu 15 Mio. € oder 3 % des Umsatzes. Diese Beträge übersteigen selbst die DSGVO-Sanktionen erheblich und zeigen, wie ernst die EU das Thema nimmt.
Wer die Schnittmenge zwischen NIS2 und KI-Regulierung verstehen will, dem empfehle ich den Artikel NIS2 trifft KI: Warum AI Governance Pflicht wird — dort wird detailliert aufgezeigt, warum Unternehmen Cybersicherheit und KI-Governance nicht mehr getrennt denken können.
KI-MIG: Was das deutsche Durchführungsgesetz konkret fordert
Das KI-MIG benennt die zuständigen Behörden: Die Bundesnetzagentur als zentrale Marktüberwachungsbehörde, ergänzt durch sektorale Zuständigkeiten (BaFin für Finanz-KI, Bundesgesundheitsministerium für medizinische KI). Die Marktüberwachung umfasst anlasslose Prüfungen, Beschwerdemechanismen und die Befugnis, den Betrieb nicht-konformer KI-Systeme zu untersagen.
Die Regulatory Sandboxes sind ein bewusst innovationsfreundliches Element. Unternehmen können KI-Systeme in einem kontrollierten Umfeld testen und dabei regulatorische Anforderungen unter Aufsicht der Bundesnetzagentur erproben. Das ist besonders für Startups und mittelständische KI-Entwickler relevant, die nicht die Ressourcen haben, alle Compliance-Anforderungen vorab vollständig umzusetzen.
Für bestehende KI-Systeme, die vor dem 2. August 2026 in Betrieb genommen wurden, sieht das KI-MIG Übergangsfristen vor. Allerdings müssen Unternehmen nachweisen, dass sie aktiv an der Konformität arbeiten. Ein KI-System, das seit Jahren ohne jede Dokumentation oder Risikoanalyse betrieben wird, genießt keinen Bestandsschutz.
Cyber Resilience Act (CRA) — Produktsicherheit ab September 2026
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) adressiert eine Lücke, die die bisherige Regulierungslandschaft offengelassen hat: die Cybersicherheit von Produkten mit digitalen Elementen. Ob vernetzte Industriesteuerung, Smart-Home-Gerät, Unternehmenssoftware oder IoT-Sensor — der CRA erfasst praktisch jedes Produkt, das eine Datenverbindung herstellt und auf dem EU-Markt vertrieben wird.
Die Umsetzung erfolgt in zwei Stufen. Ab dem 11. September 2026 gelten die Meldepflichten für aktiv ausgenutzte Schwachstellen. Hersteller müssen innerhalb von 24 Stunden die ENISA informieren, wenn sie Kenntnis von einer aktiv ausgenutzten Schwachstelle in einem ihrer Produkte erhalten. Die volle Compliance-Pflicht — inklusive aller technischen Anforderungen — greift ab dem 11. Dezember 2027.
Die Kernphilosophie des CRA ist Security by Design: Cybersicherheit muss von der Produktkonzeption an mitgedacht werden, nicht als nachträgliches Feature. Das umfasst sichere Standardkonfigurationen, automatische Sicherheitsupdates, minimale Angriffsflächen und ein dokumentiertes Schwachstellenmanagement über den gesamten Produktlebenszyklus.
Ein besonders konkretes Instrument ist die CE-Kennzeichnung, die um Cybersicherheitsanforderungen erweitert wird. Produkte, die die CRA-Anforderungen nicht erfüllen, dürfen kein CE-Zeichen tragen und damit nicht im EU-Binnenmarkt vertrieben werden. Für Hersteller außerhalb der EU trifft die Pflicht den jeweiligen Importeur — ein Mechanismus, der auch aus der Produktsicherheitsgesetzgebung bekannt ist.
CRA-Vorbereitung: Was Hersteller und Importeure jetzt tun müssen
Die wichtigste Vorbereitung betrifft die Software Bill of Materials (SBOM). Der CRA verlangt eine maschinenlesbare Dokumentation aller Softwarekomponenten eines Produkts — inklusive Open-Source-Bibliotheken und deren Versionen. Wer das Ausmaß dieser Anforderung unterschätzt, sollte bedenken: Eine durchschnittliche Enterprise-Anwendung enthält hunderte von Abhängigkeiten. Ohne automatisierte SBOM-Generierung in der CI/CD-Pipeline ist diese Anforderung nicht zu bewältigen.
Eine Vulnerability Disclosure Policy muss etabliert werden — ein dokumentierter Prozess, wie externe Sicherheitsforscher Schwachstellen melden können und wie der Hersteller darauf reagiert. Das ist für viele deutsche Mittelständler Neuland, gehört aber in der internationalen Softwareindustrie längst zum Standard.
Das Patch-Management muss formalisiert werden. Der CRA verlangt, dass Sicherheitsupdates für den gesamten erwarteten Produktlebenszyklus bereitgestellt werden — mindestens fünf Jahre, sofern die erwartete Nutzungsdauer nicht kürzer ist. Kostenlos und zeitnah. Für Hersteller von IoT-Geräten, die bisher ein „Fire and Forget"-Modell gelebt haben, bedeutet das eine fundamentale Änderung des Geschäftsmodells.
Die Konformitätsbewertung muss vorbereitet werden. Je nach Risikoklasse des Produkts reicht eine Selbstbewertung oder ist eine Prüfung durch eine benannte Stelle erforderlich. Produkte der Klasse II (z. B. Firewalls, Betriebssysteme, industrielle Steuerungen) benötigen eine Third-Party-Bewertung — und die Kapazitäten der benannten Stellen werden 2027 knapp sein.
Die Überschneidungen — warum isolierte Compliance Geldverbrennung ist
Wer NIS2, DORA, AI Act und CRA als vier separate Projekte behandelt, baut vier Mal Governance-Strukturen auf, vier Mal Risikomanagement-Prozesse, vier Mal Meldewege und vier Mal Lieferkettenbewertungen. Das ist nicht nur ineffizient — es führt zu Inkonsistenzen, die bei Prüfungen auffallen.
Die Überschneidungen sind substantiell:
Pflichtbereich | NIS2 | DORA | AI Act | CRA
Risikomanagement | ✅ Systematisch, Stand der Technik | ✅ IKT-spezifisch, BaFin-konform | ✅ KI-Risikoklassifizierung | ✅ Produktbezogen, Security by Design
Meldepflichten | ✅ 24h / 72h / 1 Monat an BSI | ✅ 4h / 72h an BaFin | ✅ Schwere Vorfälle an Aufsicht | ✅ 24h an ENISA (Schwachstellen)
Supply Chain | ✅ Lieferantenbewertung | ✅ IKT-Drittanbieter-Register | ✅ Wertschöpfungskette für KI | ✅ SBOM, Komponentensicherheit
Governance | ✅ Geschäftsleitungshaftung §38 | ✅ Leitungsverantwortung | ✅ Menschliche Aufsicht | ✅ CE-Verantwortung
Dokumentation | ✅ Sicherheitskonzept, Nachweise | ✅ IKT-Strategiedokumentation | ✅ Technische Dokumentation | ✅ SBOM, Konformitätserklärung
Der gemeinsame Nenner ist offensichtlich: Alle vier Regulierungen fordern ein systematisches Risikomanagement, definierte Meldeprozesse, Lieferkettentransparenz und eine dokumentierte Governance. Ein Unternehmen, das ein ausgereiftes ISMS nach ISO 27001 betreibt, hat bereits 60–70 % der Grundlagen für NIS2 und DORA gelegt. Dieses ISMS lässt sich mit überschaubarem Aufwand um die AI-Act- und CRA-spezifischen Anforderungen erweitern.
Unsere Projekterfahrung zeigt: Ein integrierter Compliance-Ansatz spart gegenüber einer Silo-Umsetzung 30–40 % des Gesamtaufwands. Diese Einsparung ergibt sich aus der Mehrfachnutzung von Risikobewertungen, konsolidierten Meldeprozessen, einer einheitlichen Lieferantenbewertung und gemeinsamen Governance-Strukturen. Die Details zum Aufbau eines solchen Frameworks beschreiben wir im Kontext des NIS2 Risk Management Frameworks.
Integrierte Compliance-Roadmap: Ein Framework für vier Regulierungen
Die Umsetzung lässt sich in vier Phasen gliedern, die auf die Fristenlogik der vier Regulierungen abgestimmt sind.
Phase 1 — Sofort (Februar/März 2026): Gap-Analyse und Quick Wins. Eine übergreifende Betroffenheitsanalyse klärt, welche der vier Regulierungen für Ihr Unternehmen relevant sind. Parallel dazu wird die BSI-Registrierung für NIS2 abgeschlossen. Für DORA-betroffene Institute erfolgt eine Bestandsaufnahme des IKT-Drittanbieter-Registers. Ein erster KI-Inventar-Scan identifiziert alle im Unternehmen eingesetzten KI-Systeme.
Phase 2 — Q1/Q2 2026: Gemeinsames Risikomanagement und Governance. Aufbau eines integrierten Risikomanagement-Frameworks, das die Anforderungen aller relevanten Regulierungen abdeckt. Definition der Governance-Strukturen mit klaren Verantwortlichkeiten. Etablierung eines konsolidierten Meldeprozesses, der die unterschiedlichen Fristen (4h DORA, 24h NIS2/CRA, AI Act) in einem Workflow abbildet.
Phase 3 — Q2/Q3 2026: Technische Maßnahmen. Implementierung von Security Monitoring und Incident Response. SBOM-Generierung in der Entwicklungspipeline. KI-Systeme nach Risikoklassen bewerten und dokumentieren. Lieferantenbewertung über alle Regulierungen hinweg durchführen. TLPT-Provider beauftragen (für DORA-betroffene Institute).
Phase 4 — Q3/Q4 2026: Audit-Readiness. Interne Audits gegen alle relevanten Regulierungen. Dokumentation finalisieren. Konformitätsbewertung für CRA-relevante Produkte vorbereiten. Schulung der Geschäftsleitung zu ihren Haftungspflichten unter NIS2 und DORA.
Fristen-Kalender 2026 — alle Deadlines auf einen Blick
Die folgende Übersicht zeigt die kritischen Termine in chronologischer Reihenfolge. Beachten Sie, dass einige Pflichten (insbesondere DORA) bereits gelten und die BaFin jederzeit prüfen kann.
Datum | Regulierung | Pflicht | Dringlichkeit
06.03.2026 | NIS2 | BSI-Registrierungsfrist | 🔴 Kritisch — 11 Tage
Q1 2026 | DORA | Erste BaFin-Prüfungen erwartet | 🔴 Bereits anwendbar
02.08.2026 | AI Act / KI-MIG | Hochrisiko-KI-Pflichten greifen, Sanktionen durchsetzbar | 🟡 6 Monate
11.09.2026 | CRA | Meldepflichten für aktiv ausgenutzte Schwachstellen | 🟡 7 Monate
11.12.2027 | CRA | Volle Compliance-Pflicht (alle technischen Anforderungen) | 🟢 22 Monate
Das Fenster für proaktives Handeln schließt sich. Wer heute mit einer integrierten Umsetzung beginnt, hat noch ausreichend Zeit für alle vier Regulierungen. Wer erst im Sommer 2026 startet, wird bei NIS2 bereits im Verzug sein und für AI Act und CRA improvisieren müssen.
FAQ — Häufig gestellte Fragen zur Regulierungswelle 2026
Welche Unternehmen sind von allen vier Regulierungen gleichzeitig betroffen?
Der Extremfall ist ein Finanzdienstleister, der KI einsetzt und gleichzeitig digitale Produkte vertreibt. Eine Versicherung beispielsweise, die KI-basierte Schadensbearbeitung nutzt und eine Kunden-App als SaaS-Produkt anbietet, fällt unter alle vier Regulierungen: NIS2 (als Betreiber kritischer Infrastruktur), DORA (als Finanzinstitut), AI Act (als KI-Betreiber mit Hochrisiko-Anwendung im Bereich Versicherungsbewertung) und CRA (als Hersteller eines digitalen Produkts).
Aber auch der Mittelstand ist stärker betroffen als oft angenommen. Ein Maschinenbauer mit 200 Mitarbeitenden, der vernetzte Industriesteuerungen herstellt und KI-basierte Predictive Maintenance anbietet, fällt unter NIS2 (Sektor „Verarbeitendes Gewerbe"), AI Act (KI-System im industriellen Kontext) und CRA (Produkt mit digitalen Elementen). Nur DORA bleibt ihm erspart, weil er kein Finanzinstitut ist. Die Faustregel: Je digitaler das Geschäftsmodell, desto mehr Regulierungen greifen.
Reicht eine ISO 27001-Zertifizierung für NIS2 und DORA?
ISO 27001 ist eine exzellente Basis — aber sie reicht für keine der beiden Regulierungen allein aus. NIS2 fordert zusätzliche Elemente, die ISO 27001 nicht oder nicht vollständig abdeckt: die BSI-Registrierung, die spezifischen Meldepflichten mit definierten Fristen (24h/72h/1 Monat), die persönliche Geschäftsleitungshaftung nach §38 NIS2UmsuCG und die erweiterten Anforderungen an die Lieferkettensicherheit.
DORA geht noch weiter. Die Verordnung verlangt TLPT (Threat-Led Penetration Testing) nach TIBER-EU-Methodik, ein vollständiges IKT-Drittanbieter-Register, definierte Ausstiegsstrategien für kritische Dienstleister und spezifische BaFin-Reporting-Anforderungen. Ein ISO-27001-zertifiziertes Unternehmen hat den kulturellen und organisatorischen Grundstein gelegt, muss aber erhebliche regulierungsspezifische Erweiterungen vornehmen. Planen Sie dafür 4–6 Monate ein — weniger, wenn das ISMS ausgereift und gut dokumentiert ist.
Was kostet die Nichteinhaltung — konkrete Bußgelder?
Die Bußgeldrahmen variieren erheblich zwischen den vier Regulierungen und machen die Priorisierung nach Sanktionshöhe sinnvoll:
NIS2 sieht Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vor — je nachdem, welcher Betrag höher ist. Dazu kommt die persönliche Haftung der Geschäftsleitung nach §38 NIS2UmsuCG, die auch Schadensersatzansprüche der Gesellschaft gegen die Geschäftsführung umfasst.
DORA arbeitet mit sektorspezifischen Sanktionen durch die BaFin. Die Bandbreite reicht von Bußgeldern über öffentliche Rügen bis hin zum Entzug der Geschäftserlaubnis. Für ein Finanzinstitut ist der potenzielle Lizenzentzug existenzbedrohend — ein Risiko, das in keiner Bußgeldtabelle in Euro ausgedrückt werden kann.
AI Act bringt die höchsten Bußgelder: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes für Verstöße gegen die verbotenen KI-Praktiken. Für Hochrisiko-Verstöße bis zu 15 Mio. € oder 3 % des Umsatzes. Für die Bereitstellung falscher Informationen an Aufsichtsbehörden bis zu 7,5 Mio. € oder 1 % des Umsatzes.
CRA sieht bis zu 15 Mio. € oder 2,5 % des Jahresumsatzes vor. Gravierender als das Bußgeld ist jedoch das potenzielle Produktverbot im EU-Markt: Nicht-konforme Produkte dürfen kein CE-Zeichen tragen und müssen vom Markt genommen werden. Für einen Hersteller, dessen Hauptmarkt die EU ist, kann das existenzbedrohend sein.
Was ist das KI-MIG und warum ist es für den AI Act relevant?
Das KI-MIG (KI-Markt-Implementierungsgesetz) ist Deutschlands nationales Durchführungsgesetz zum EU AI Act. Obwohl der AI Act als EU-Verordnung direkt gilt, braucht er nationale Umsetzungsregeln für die praktische Durchsetzung — insbesondere bei der Frage, welche Behörde zuständig ist, wie Prüfungen ablaufen und wie Sanktionen verhängt werden.
Am 11. Februar 2026 hat das Bundeskabinett das KI-MIG beschlossen. Es bestimmt die Bundesnetzagentur als zentrale Aufsichtsbehörde für KI-Marktüberwachung, definiert die Sanktionsmechanismen für den deutschen Rechtsraum und schafft die Rechtsgrundlage für Regulatory Sandboxes. Ohne das KI-MIG hätte keine deutsche Behörde die Befugnis, AI-Act-Verstöße zu ahnden. Mit dem KI-MIG können Sanktionen ab August 2026 tatsächlich durchgesetzt werden. Für Unternehmen bedeutet das: Der AI Act ist nicht mehr nur eine EU-Verordnung auf dem Papier, sondern wird durch eine konkrete nationale Aufsichtsbehörde mit Prüf- und Sanktionsbefugnissen flankiert.
Wie starte ich, wenn mein Unternehmen bei keiner der vier Regulierungen vorbereitet ist?
Keine Panik, aber auch kein Aufschieben. Die Priorisierung ergibt sich aus den Fristen und der Sanktionshöhe.
Schritt 1 — Betroffenheitsanalyse (diese Woche). Klären Sie systematisch, welche der vier Regulierungen für Ihr Unternehmen gelten. Nutzen Sie den NIS2-Betroffenheitscheck unter nis2-check.de als Ausgangspunkt. Prüfen Sie parallel, ob Sie KI-Systeme einsetzen (auch eingekaufte — etwa KI-gestütztes Recruiting oder automatisierte Entscheidungssysteme) und ob Sie digitale Produkte herstellen oder importieren.
Schritt 2 — NIS2-Registrierung sofort (Frist 6. März 2026). Falls Sie unter NIS2 fallen, hat die BSI-Registrierung absolute Priorität. Besorgen Sie sich ein ELSTER-Organisationszertifikat, falls noch nicht vorhanden, und führen Sie die Registrierung durch.
Schritt 3 — Integrierte Gap-Analyse (März/April 2026). Lassen Sie eine übergreifende Gap-Analyse durchführen, die alle relevanten Regulierungen gleichzeitig betrachtet. Das vermeidet doppelte Arbeit und identifiziert Synergien. Hier lohnt sich externe Beratung, weil die regulatorischen Anforderungen komplex und die Wechselwirkungen nicht offensichtlich sind.
Schritt 4 — Priorisierte Roadmap. Auf Basis der Gap-Analyse entsteht eine Roadmap, die nach Fristen und Sanktionshöhe priorisiert. NIS2 und DORA zuerst (Fristen laufen bereits), AI Act als nächstes (August 2026), CRA-Meldepflichten parallel (September 2026), volle CRA-Compliance bis Ende 2027.
Fazit — Handeln statt abwarten
Die Regulierungswelle kommt nicht — sie ist da. NIS2 ist geltendes Recht mit einer Registrierungsfrist in elf Tagen. DORA ist seit über einem Jahr anwendbar, und die BaFin wird 2026 erstmals systematisch prüfen. Das KI-MIG macht den AI Act ab August 2026 in Deutschland durchsetzbar. Und der CRA etabliert ab September 2026 Meldepflichten für Produktschwachstellen.
Unternehmen, die jetzt einen integrierten Ansatz wählen, gewinnen doppelt: Sie sparen 30–40 % Umsetzungsaufwand gegenüber einer Silo-Strategie und schaffen eine Compliance-Architektur, die auch für kommende Regulierungen tragfähig ist. Wer hingegen wartet, zahlt doppelt — erst die Bußgelder, dann die Nachrüstung unter Zeitdruck.
Die wichtigste Erkenntnis aus unserer Beratungspraxis: Compliance ist kein Projekt mit einem Enddatum. Es ist ein fortlaufender Prozess, der in die Unternehmenssteuerung integriert werden muss. Die Regulierungswelle 2026 ist der richtige Anlass, diese Integration endlich anzugehen — nicht als Pflichtübung, sondern als strategischen Vorsprung durch frühzeitige Umsetzung.