DSGVO kennen Sie. Aber wissen Sie auch, was NIS2, DORA, AI Act und CRA für Ihr Unternehmen bedeuten? Vier EU-Regulierungen, die zwischen 2025 und 2026 scharfgeschaltet werden — teilweise gleichzeitig. Und die meisten KMU haben davon noch nie gehört.
Das ist kein theoretisches Compliance-Problem. Das sind Bußgelder, Meldepflichten und Geschäftsführerhaftung. Hier der Überblick, den Sie brauchen.
| NIS2 | DORA | AI Act | CRA | |
|---|---|---|---|---|
| Was | IT-Sicherheitspflichten | Digitale Resilienz Finanzsektor | KI-Systeme regulieren | Cyber-Produktsicherheit |
| Rechtsform | Richtlinie → NIS2UmsuCG | Verordnung (direkt gültig) | Verordnung (direkt gültig) | Verordnung (direkt gültig) |
| Gilt seit | 6. Dez. 2025 | 17. Jan. 2025 | Gestaffelt ab Feb. 2025 | Meldepflicht ab Sep. 2026 |
| Aufsicht DE | BSI | BaFin | Marktüberwachung (KI-MIG) | Marktüberwachung |
| Betroffene | 18 Sektoren, ≥50 MA | Finanzunternehmen | Alle KI-Anbieter/-Betreiber | Software-/Hardware-Hersteller |
| Max-Bußgeld | 10 Mio. € / 2 % Umsatz | Zwangsgelder + Aufsichtsmaßnahmen | 35 Mio. € / 7 % Umsatz | 15 Mio. € / 2,5 % Umsatz |
Das NIS2-Umsetzungsgesetz gilt seit Dezember 2025. Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz in 18 Sektoren — von Energie über Gesundheit bis IT-Dienstleistungen. Neu: Auch Zulieferer können betroffen sein.
Kernpflichten: Risikomanagement, Vorfallmeldung an das BSI innerhalb von 24 Stunden, Lieferkettensicherheit und persönliche Haftung der Geschäftsführung.
DORA gilt seit Januar 2025 für Banken, Versicherungen, Zahlungsdienstleister und deren kritische IT-Dienstleister. Fünf Säulen: IKT-Risikomanagement, Vorfallmeldung, Resilienztests, Drittanbieter-Management, Informationsaustausch.
Details: Siehe unser DORA-Leitfaden für Finanzunternehmen.
Der AI Act regelt den Einsatz von KI-Systemen nach Risikokategorien. Seit Februar 2025 gilt bereits die KI-Kompetenzpflicht nach Art. 4: Jedes Unternehmen, das KI-Systeme nutzt, muss sicherstellen, dass Mitarbeiter ausreichend geschult sind.
Ab August 2026 werden die Sanktionen über das deutsche KI-MIG (Maßnahmengesetz zur Implementierung der KI-Verordnung) vollstreckbar. Hochrisiko-KI-Systeme (Personalauswahl, Kreditscoring, Gesundheits-KI) unterliegen dann strengen Anforderungen.
Der Cyber Resilience Act richtet sich an Hersteller digitaler Produkte — von Routern über Smart-Home-Geräte bis zu SaaS-Plattformen. Ab September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen melden. Die vollen Anforderungen (Security by Design, Update-Pflicht) gelten ab 2027.
Ein IT-Dienstleister, der für eine Bank arbeitet und dabei KI einsetzt, fällt unter NIS2 (als IT-Dienstleister), DORA (als IKT-Drittanbieter), AI Act (als KI-Betreiber) und möglicherweise CRA (als Software-Hersteller). Vier Regulierungen, ein Unternehmen.
| Anforderung | NIS2 | DORA | AI Act | CRA |
|---|---|---|---|---|
| Risikomanagement | ✅ | ✅ | ✅ (Hochrisiko) | ✅ |
| Vorfallmeldung | ✅ (24h an BSI) | ✅ (an BaFin) | ✅ (schwere Vorfälle) | ✅ (Schwachstellen) |
| Dokumentation | ✅ | ✅ | ✅ | ✅ (techn. Dokumentation) |
| Lieferkette | ✅ | ✅ (IKT-Drittanbieter) | ❌ | ✅ (Komponentensicherheit) |
| Schulungspflicht | ✅ (Geschäftsführung) | ✅ (IT-Personal) | ✅ (Art. 4 KI-Kompetenz) | ❌ |
| Geschäftsführerhaftung | ✅ (persönlich) | ✅ | ❌ | ❌ |
Es trifft auch die kleineren Unternehmen. Die denken, das sei alles nur für Konzerne. Aber NIS2 allein betrifft in Deutschland geschätzt 30.000 Unternehmen — viele davon mit unter 250 Mitarbeitern. Und wer für einen NIS2-Betroffenen als Zulieferer arbeitet, wird mitgezogen.
Nils OehmichenDatenschutzberater bei frag.hugo
Hamburg als Hafen-, Medien- und Finanzstandort ist von allen vier Regulierungen betroffen: Logistik und Hafen (NIS2), Banken und Versicherungen (DORA), Tech-Startups und Agenturen (AI Act + CRA). Als IT-Sicherheitsberatung in Hamburg helfen wir Ihnen, die Betroffenheit zu klären und einen integrierten Umsetzungsplan zu erstellen.
Von welchen Regulierungen sind Sie betroffen?
Im kostenlosen Erstgespräch klären wir Ihre Betroffenheit und zeigen den effizientesten Umsetzungsweg.
Kostenloses Erstgespräch buchen →Vier zentrale Gesetze: NIS2 (seit Dezember 2025), DORA (seit Januar 2025), AI Act (gestaffelt seit Februar 2025) und CRA (Meldepflicht ab September 2026).
Sehr wahrscheinlich. Ein IT-Dienstleister, der für Banken arbeitet und KI einsetzt, fällt unter NIS2, DORA und AI Act gleichzeitig.
NIS2: bis 10 Mio. Euro. DORA: Zwangsgelder. AI Act: bis 35 Mio. Euro / 7 % Umsatz. CRA: bis 15 Mio. Euro.
Ja — ein ISMS nach ISO 27001 deckt 60–80 % ab und spart 30–40 % Aufwand gegenüber Einzelprojekten.
Betroffenheitscheck: NIS2 (18 Sektoren, ≥50 MA), DORA (Finanzsektor), AI Act (jeder KI-Nutzer), CRA (Produkthersteller). Dann ISMS als Basis aufbauen.
Inhaltsverzeichnis
DORA gilt seit Januar 2025 für alle Finanzunternehmen in der EU. Die 5 Pflichten, BaFin-Anforderungen und Ihre Schritt-für-Schritt-Umsetzung im Überblick.
WeiterlesenNIS2-Lieferantenaudit: Was Hamburger KMU als Zulieferer jetzt umsetzen müssen – Checkliste und Praxistipps.
WeiterlesenArt. 4 AI Act: Die KI-Kompetenzpflicht gilt seit Februar 2025. Welche Mitarbeiter geschult werden müssen, was das bedeutet und wie Sie die Pflicht umsetzen.
Weiterlesen Über den Autor
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
