Direkt zum Artikeltext springen
NIS2 DORA AI Act CRA Regulierung Compliance 2026

Regulierungswelle 2026: NIS2, DORA, AI Act und CRA im Überblick

Nils Oehmichen
Von Nils Oehmichen Datenschutzberater & Geschäftsführer

Inhalt in Kürze

  • Vier EU-Regulierungen treffen Unternehmen nahezu gleichzeitig: NIS2, DORA, AI Act und CRA.
  • In Deutschland sind geschätzt 30.000 Unternehmen allein von NIS2 betroffen — viele wissen es noch nicht.
  • Die Bußgelder reichen bis 35 Mio. Euro oder 7 % des Umsatzes (AI Act).
  • Wer die Anforderungen integriert umsetzt, spart 30–40 % Aufwand gegenüber Einzelprojekten.

DSGVO kennen Sie. Aber wissen Sie auch, was NIS2, DORA, AI Act und CRA für Ihr Unternehmen bedeuten? Vier EU-Regulierungen, die zwischen 2025 und 2026 scharfgeschaltet werden — teilweise gleichzeitig. Und die meisten KMU haben davon noch nie gehört.

Das ist kein theoretisches Compliance-Problem. Das sind Bußgelder, Meldepflichten und Geschäftsführerhaftung. Hier der Überblick, den Sie brauchen.

4 Gesetze
NIS2 + DORA + AI Act + CRA
30.000+
Unternehmen in DE unter NIS2
35 Mio. €
Max-Bußgeld (AI Act)

Die vier Regulierungen auf einen Blick

NIS2DORAAI ActCRA
WasIT-SicherheitspflichtenDigitale Resilienz FinanzsektorKI-Systeme regulierenCyber-Produktsicherheit
RechtsformRichtlinie → NIS2UmsuCGVerordnung (direkt gültig)Verordnung (direkt gültig)Verordnung (direkt gültig)
Gilt seit6. Dez. 202517. Jan. 2025Gestaffelt ab Feb. 2025Meldepflicht ab Sep. 2026
Aufsicht DEBSIBaFinMarktüberwachung (KI-MIG)Marktüberwachung
Betroffene18 Sektoren, ≥50 MAFinanzunternehmenAlle KI-Anbieter/-BetreiberSoftware-/Hardware-Hersteller
Max-Bußgeld10 Mio. € / 2 % UmsatzZwangsgelder + Aufsichtsmaßnahmen35 Mio. € / 7 % Umsatz15 Mio. € / 2,5 % Umsatz

NIS2: IT-Sicherheit wird Pflicht

Das NIS2-Umsetzungsgesetz gilt seit Dezember 2025. Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz in 18 Sektoren — von Energie über Gesundheit bis IT-Dienstleistungen. Neu: Auch Zulieferer können betroffen sein.

Kernpflichten: Risikomanagement, Vorfallmeldung an das BSI innerhalb von 24 Stunden, Lieferkettensicherheit und persönliche Haftung der Geschäftsführung.

DORA: Finanzsektor unter der Lupe

DORA gilt seit Januar 2025 für Banken, Versicherungen, Zahlungsdienstleister und deren kritische IT-Dienstleister. Fünf Säulen: IKT-Risikomanagement, Vorfallmeldung, Resilienztests, Drittanbieter-Management, Informationsaustausch.

Details: Siehe unser DORA-Leitfaden für Finanzunternehmen.

AI Act: KI-Systeme reguliert

Der AI Act regelt den Einsatz von KI-Systemen nach Risikokategorien. Seit Februar 2025 gilt bereits die KI-Kompetenzpflicht nach Art. 4: Jedes Unternehmen, das KI-Systeme nutzt, muss sicherstellen, dass Mitarbeiter ausreichend geschult sind.

Ab August 2026 werden die Sanktionen über das deutsche KI-MIG (Maßnahmengesetz zur Implementierung der KI-Verordnung) vollstreckbar. Hochrisiko-KI-Systeme (Personalauswahl, Kreditscoring, Gesundheits-KI) unterliegen dann strengen Anforderungen.

Lesetipp: Speziell zum Thema KI-Sicherheit und AI Act haben wir einen umfassenden Praxisleitfaden erstellt: das kostenlose E-Book „KI sicher einsetzen — Der Leitfaden für Geschäftsführer” (93 Seiten). Jetzt herunterladen →

CRA: Produktsicherheit für Software

Der Cyber Resilience Act richtet sich an Hersteller digitaler Produkte — von Routern über Smart-Home-Geräte bis zu SaaS-Plattformen. Ab September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen melden. Die vollen Anforderungen (Security by Design, Update-Pflicht) gelten ab 2027.

Mehrfachbetroffenheit ist die Regel:

Ein IT-Dienstleister, der für eine Bank arbeitet und dabei KI einsetzt, fällt unter NIS2 (als IT-Dienstleister), DORA (als IKT-Drittanbieter), AI Act (als KI-Betreiber) und möglicherweise CRA (als Software-Hersteller). Vier Regulierungen, ein Unternehmen.

Was sich überschneidet — und wo nicht

AnforderungNIS2DORAAI ActCRA
Risikomanagement✅ (Hochrisiko)
Vorfallmeldung✅ (24h an BSI)✅ (an BaFin)✅ (schwere Vorfälle)✅ (Schwachstellen)
Dokumentation✅ (techn. Dokumentation)
Lieferkette✅ (IKT-Drittanbieter)✅ (Komponentensicherheit)
Schulungspflicht✅ (Geschäftsführung)✅ (IT-Personal)✅ (Art. 4 KI-Kompetenz)
Geschäftsführerhaftung✅ (persönlich)

Aus der Praxis

Es trifft auch die kleineren Unternehmen. Die denken, das sei alles nur für Konzerne. Aber NIS2 allein betrifft in Deutschland geschätzt 30.000 Unternehmen — viele davon mit unter 250 Mitarbeitern. Und wer für einen NIS2-Betroffenen als Zulieferer arbeitet, wird mitgezogen.

Nils Oehmichen Nils OehmichenDatenschutzberater bei frag.hugo

Ihre Checkliste: So bereiten Sie sich vor

  • Betroffenheitscheck. Fallen Sie unter NIS2 (18 Sektoren, ≥50 MA)? Unter DORA (Finanzsektor)? Nutzen Sie KI (AI Act)? Stellen Sie Produkte her (CRA)?
  • ISMS als Basis. Ein Informationssicherheits-Managementsystem nach ISO 27001 deckt 60–80 % der Anforderungen aus NIS2, DORA und CRA gleichzeitig ab.
  • Meldeprozesse aufsetzen. NIS2 verlangt 24 Stunden, DORA hat eigene Fristen, CRA ab September 2026. Definieren Sie jetzt, wer was wohin meldet.
  • KI-Inventar erstellen. Welche KI-Systeme setzen Sie ein? ChatGPT zählt. Copilot zählt. Jedes Tool mit KI-Komponente muss erfasst werden.
  • Geschäftsführung einbinden. Bei NIS2 und DORA haftet die Geschäftsführung persönlich. Schulung und Freigabe der Sicherheitsstrategie sind Chefsache.
  • Integriert umsetzen. Nicht vier Einzelprojekte starten, sondern ein Compliance-Programm. Das spart 30–40 % Aufwand.

Was bedeutet das für Hamburger Unternehmen?

Hamburg als Hafen-, Medien- und Finanzstandort ist von allen vier Regulierungen betroffen: Logistik und Hafen (NIS2), Banken und Versicherungen (DORA), Tech-Startups und Agenturen (AI Act + CRA). Als IT-Sicherheitsberatung in Hamburg helfen wir Ihnen, die Betroffenheit zu klären und einen integrierten Umsetzungsplan zu erstellen.

Das Wichtigste: Vier EU-Regulierungen gleichzeitig — NIS2, DORA, AI Act und CRA. Prüfen Sie zuerst Ihre Betroffenheit. Setzen Sie auf ein ISMS als gemeinsame Basis. Und bitte: nicht vier isolierte Projekte starten, sondern einen integrierten Compliance-Ansatz. Das spart Zeit, Geld und Nerven.

Von welchen Regulierungen sind Sie betroffen?

Im kostenlosen Erstgespräch klären wir Ihre Betroffenheit und zeigen den effizientesten Umsetzungsweg.

Kostenloses Erstgespräch buchen →

Häufige Fragen (FAQ)

Welche neuen EU-Regulierungen gelten 2025/2026?

Vier zentrale Gesetze: NIS2 (seit Dezember 2025), DORA (seit Januar 2025), AI Act (gestaffelt seit Februar 2025) und CRA (Meldepflicht ab September 2026). Bei der NIS2-Umsetzung unterstützt unsere bundesweite NIS-2 Beratung.

Bin ich von mehreren Regulierungen gleichzeitig betroffen?

Sehr wahrscheinlich. Ein IT-Dienstleister, der für Banken arbeitet und KI einsetzt, fällt unter NIS2, DORA und AI Act gleichzeitig.

Welche Bußgelder drohen?

NIS2: bis 10 Mio. Euro. DORA: Zwangsgelder. AI Act: bis 35 Mio. Euro / 7 % Umsatz. CRA: bis 15 Mio. Euro.

Kann ich die Anforderungen zusammen umsetzen?

Ja — ein ISMS nach ISO 27001 deckt 60–80 % ab und spart 30–40 % Aufwand gegenüber Einzelprojekten.

Was muss ich als Erstes tun?

Betroffenheitscheck: NIS2 (18 Sektoren, ≥50 MA), DORA (Finanzsektor), AI Act (jeder KI-Nutzer), CRA (Produkthersteller). Dann ISMS als Basis aufbauen.

Artikel teilen

Weiterlesen

Ähnliche Artikel

Über den Autor

Nils Oehmichen

Nils Oehmichen

Datenschutzberater & Geschäftsführer

Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.

TÜV-zertifiziert BVMID Hamburg 13+ Jahre DSB 200+ Mandate
Vollständiges Profil LinkedIn
Nächster Schritt

Haben Sie Fragen?

Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.

Angebot in 60 Sekunden Weitere Artikel

Lieber erstmal schreiben? Kontaktformular