6 Min. Lesezeit

NIS2, DORA und der EU AI Act 2026 greifen erstmals gleichzeitig. Ein einziger Sicherheitsvorfall mit einem KI-System im Finanzsektor kann drei Meldepflichten parallel auslösen. CIOs stehen vor der Frage, ob sie drei separate Compliance-Projekte aufsetzen oder einen integrierten Ansatz wählen. Die Antwort bestimmt, ob die regulatorische Welle zur Chance oder zur Kostenfalle wird.

Das Wichtigste in Kürze

Warum 2026 alles zusammenkommt

Die EU hat in den vergangenen drei Jahren ein regulatorisches Paket geschnürt, das die IT-Governance europäischer Unternehmen grundlegend verändert. Drei Gesetze, die jeweils für sich komplex sind, greifen 2026 erstmals gleichzeitig: Das NIS2-Umsetzungsgesetz mit Enforcement ab Oktober 2026, der Digital Operational Resilience Act (DORA) für den Finanzsektor seit Januar 2025 und der EU AI Act mit den Hochrisiko-Pflichten ab August 2026.

Das Problem ist nicht jedes Gesetz für sich. Das Problem ist die Überlappung. Ein Finanzdienstleister, der ein KI-System für die Kreditbewertung einsetzt, unterliegt gleichzeitig NIS2 (als Betreiber wesentlicher Dienste), DORA (als Finanzunternehmen) und dem EU AI Act (als Betreiber eines Hochrisiko-KI-Systems). Ein Sicherheitsvorfall mit diesem System löst potenziell drei separate Meldepflichten aus, mit unterschiedlichen Fristen, Formularen und Behörden.

Laut einer Analyse von ADVISORI schätzen viele Unternehmen die Überlappung der drei Regulierungen falsch ein. Sie behandeln jedes Gesetz als separates Projekt und bauen drei Compliance-Silos auf. Das verdreifacht den Aufwand und schafft Widersprüche: NIS2 fordert Meldung innerhalb von 24 Stunden, DORA innerhalb von 4 Stunden für schwerwiegende IKT-Vorfälle. Wer zwei unterschiedliche Meldeprozesse hat, verzögert beide.

„NIS2 ist Gesetz und keine Option. Cybersicherheit muss als Kernpflicht der Geschäftsleitung verankert werden.“
Bitkom-Präsident Ralf Wintergerst (2025)

NIS2: Was auf 29.500 Unternehmen zukommt

Das NIS2-Umsetzungsgesetz hat seit Dezember 2025 Gesetzeskraft in Deutschland. Die Durchsetzung beginnt im Oktober 2026. Die Zahl der betroffenen Unternehmen steigt von rund 4.500 unter der alten NIS-Richtlinie auf geschätzt 29.500. Betroffen sind 18 Sektoren, Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz.

Die Kernpflichten umfassen Risikomanagementmaßnahmen nach Paragraf 30 des BSI-Gesetzes, ein Meldesystem für Sicherheitsvorfälle mit Erstmeldung innerhalb von 24 Stunden, regelmäßige Audits und Nachweise sowie Lieferketten-Sicherheit. Für CIOs besonders relevant: Die Geschäftsleitung muss die Umsetzung der Maßnahmen überwachen und haftet persönlich bei grober Fahrlässigkeit. NIS2 macht Cybersecurity zur Chefsache, nicht nur zum IT-Thema.

Heise Online berichtete, dass deutsche Unternehmen ihre NIS2-Verpflichtungen massiv ignorieren. Viele wissen nicht einmal, ob sie betroffen sind. Das BSI hat zwar einen Betroffenheits-Check veröffentlicht, aber die Selbsteinschätzung der Unternehmen weicht erheblich von der rechtlichen Realität ab. Besonders die Lieferketten-Pflicht wird unterschätzt: Auch Unternehmen, die selbst nicht unter NIS2 fallen, können als Zulieferer betroffener Unternehmen indirekt in die Pflicht genommen werden. Die Kette reicht bis zum IT-Dienstleister des Zulieferers.

Für CIOs ist die Budgetfrage zentral: Laut Bitkom schätzen betroffene Unternehmen den Erstaufwand für die NIS2-Umsetzung auf 100.000 bis 500.000 Euro, je nach Größe und Reifegrad. Wer bereits ISO 27001 zertifiziert ist, kommt mit weniger aus. Wer bei null startet, muss mit dem oberen Ende rechnen. Laufende Kosten für Audits, Monitoring und Personal kommen hinzu.

DORA: Finanzsektor unter verschärfter Aufsicht

Der Digital Operational Resilience Act gilt seit dem 17. Januar 2025 und betrifft den gesamten europäischen Finanzsektor: Banken, Versicherer, Zahlungsdienstleister, Wertpapierfirmen und ihre kritischen IKT-Drittanbieter. DORA fokussiert auf die digitale Betriebsstabilität und fordert ein umfassendes IKT-Risikomanagement.

Die Pflichten sind konkret: Unternehmen müssen IKT-Risiken identifizieren, bewerten und behandeln. Sie müssen schwerwiegende IKT-Vorfälle innerhalb von 4 Stunden der Aufsichtsbehörde melden. Sie müssen regelmäßige Resilienz-Tests durchführen, darunter sogenannte Threat-Led Penetration Tests (TLPT). Und sie müssen ihre kritischen IKT-Drittanbieter überwachen und deren Resilienz nachweisen.

Für Finanzunternehmen, die gleichzeitig unter NIS2 fallen, bedeutet das: doppelte Meldepflichten bei Vorfällen, potenziell unterschiedliche Anforderungen an das Risikomanagement und zwei Aufsichtsbehörden, die Nachweise erwarten. Die BaFin hat zwar signalisiert, dass sie die Kohärenz mit NIS2 anstrebt, aber die Details sind in der Praxis noch nicht harmonisiert.

Hinzu kommt die Pflicht zum Management von IKT-Drittparteirisiken. DORA fordert, dass Finanzunternehmen ihre kritischen IKT-Dienstleister identifizieren, bewerten und überwachen. Cloud-Provider, SaaS-Anbieter und Managed-Service-Provider müssen vertraglich zur Einhaltung bestimmter Sicherheitsstandards verpflichtet werden. Die europäischen Aufsichtsbehörden (ESAs) können besonders kritische Drittanbieter direkt beaufsichtigen. Für CIOs bedeutet das: Das Vendor-Management wird zur Compliance-Pflicht, nicht nur zur Best Practice.

Quellen: BSI, BaFin, EU-Amtsblatt

EU AI Act: Die dritte Schicht im Compliance-Stack

Der EU AI Act folgt einem risikobasierten Ansatz mit vier Stufen: verbotene Praktiken (seit Februar 2025), Hochrisiko-Systeme (ab August 2026), begrenzt riskante Systeme (Transparenzpflichten) und minimal riskante Systeme (keine Pflichten). Für CIOs ist die Hochrisiko-Kategorie entscheidend: KI-Systeme in Bereichen wie Personalauswahl, Kreditbewertung, kritische Infrastruktur oder Strafverfolgung unterliegen strengen Dokumentations-, Test- und Überwachungspflichten.

Die Herausforderung für CIOs: Viele Unternehmen wissen noch nicht, welche ihrer KI-Systeme als Hochrisiko klassifiziert werden. Ein KI-basiertes Scoring-System im HR-Bereich, das Bewerbungen vorsortiert, ist ein Hochrisiko-System. Ein Chatbot, der interne IT-Tickets beantwortet, ist es vermutlich nicht. Die Grenze ist nicht immer eindeutig, und die Konsequenzen einer falschen Einordnung sind erheblich: Bis zu 35 Millionen Euro Bußgeld oder 7 Prozent des weltweiten Jahresumsatzes.

Für die Praxis bedeutet das: CIOs müssen ein vollständiges Inventar aller KI-Systeme erstellen, jedes System klassifizieren und für Hochrisiko-Systeme eine umfangreiche technische Dokumentation aufbauen. Dazu gehören Risikomanagementsysteme, Daten-Governance-Vorgaben, technische Dokumentation, Aufzeichnungspflichten, Transparenzanforderungen, Maßnahmen zur menschlichen Aufsicht sowie Robustheit und Cybersicherheit. Der EU AI Act fordert zudem eine Konformitätsbewertung vor dem Inverkehrbringen. Für General-Purpose-AI-Modelle wie GPT oder Claude gelten zusätzliche Transparenzpflichten, unabhängig von der Risikostufe der konkreten Anwendung.

Die KI-Literacy-Pflicht ist bereits seit Februar 2025 in Kraft: Unternehmen müssen sicherstellen, dass Mitarbeiter, die KI-Systeme bedienen, über ausreichende Kenntnisse verfügen. Schulungsprogramme sollten bereits laufen. In der Praxis fehlen sie in den meisten DACH-Unternehmen noch.

Für Unternehmen, die gleichzeitig unter NIS2 und DORA fallen, entsteht durch den EU AI Act eine dritte Compliance-Schicht. Ein KI-basiertes Betrugserkennungssystem bei einer Bank berührt alle drei Regulierungen: DORA (IKT-Risikomanagement), NIS2 (Sicherheit wesentlicher Dienste) und EU AI Act (Hochrisiko-KI). Das erfordert entweder ein integriertes Governance-Framework oder drei separate Teams mit erheblichen Redundanzen.

Der integrierte Ansatz: Ein Framework für drei Gesetze

Experten schätzen, dass ein integriertes Compliance-Management erheblichen Implementierungsaufwand gegenüber Einzelprojekten spart. Der Schlüssel liegt in der gemeinsamen Basis: ISO 27001 deckt wesentliche Anforderungen aller drei Regulierungen ab. Risikomanagement, Incident-Response, Dokumentation und kontinuierliche Verbesserung sind Kernelemente aller drei Gesetze.

Schritt 1: Einheitliche Risikoanalyse. Statt drei separate Risikoanalysen für NIS2, DORA und AI Act durchzuführen, sollten CIOs eine integrierte Analyse erstellen, die alle drei Perspektiven abdeckt. Ein KI-System wird gleichzeitig auf IT-Sicherheitsrisiken (NIS2), operationelle Resilienz (DORA) und KI-spezifische Risiken (AI Act) bewertet.

Schritt 2: Konsolidiertes Meldewesen. Ein einziges Incident-Response-Team, das alle drei Meldepflichten kennt und bedienen kann. Die kürzeste Frist (DORA: 4 Stunden) wird zum Standard. Wer innerhalb von 4 Stunden melden kann, erfüllt automatisch auch die 24-Stunden-Frist von NIS2.

Schritt 3: Gemeinsame Dokumentation. Ein zentrales Compliance-Register für alle KI-Systeme, IT-Systeme und IKT-Drittanbieter. Jedes System wird einmalig erfasst und gegen alle drei Regulierungen bewertet. Das vermeidet Duplikate und stellt sicher, dass keine Lücken entstehen.

Schritt 4: Board-Reporting konsolidieren. Der Vorstand braucht keine drei separaten Compliance-Reports. Ein integrierter Bericht, der den Reifegrad über alle drei Regulierungen zeigt, gibt dem Board die nötige Steuerungsbasis und reduziert den Reporting-Aufwand für die IT-Organisation.

Was CIOs in den nächsten sechs Monaten tun müssen

Die Deadlines sind nicht verhandelbar. CIOs, die den integrierten Ansatz wählen, sollten bis April 2026 ein Compliance-Mapping abgeschlossen haben: Welche Anforderungen aus NIS2, DORA und AI Act überlappen sich? Wo gibt es Lücken? Welche bestehenden Maßnahmen können mehrfach angerechnet werden?

Bis Juni 2026 sollte das KI-Inventar stehen. Jedes KI-System muss klassifiziert sein: Hochrisiko oder nicht? DORA-relevant oder nicht? NIS2-kritisch oder nicht? Ohne dieses Inventar kann keine Compliance-Strategie funktionieren.

Bis August 2026 müssen die Hochrisiko-KI-Systeme die Anforderungen des EU AI Act erfüllen. Und bis Oktober 2026 muss die NIS2-Umsetzung nachweisbar sein. Wer diese Deadlines verpasst, riskiert nicht nur Bußgelder, sondern auch persönliche Haftung der Geschäftsleitung. Die Regulierungskollision ist keine theoretische Übung. Sie ist der Praxistest für die digitale Governance europäischer Unternehmen.

Häufige Fragen

Quelle Titelbild: Christian Wasserfallen / Pexels