Zum Inhalt springen
EU-Digitalregulierung · Stand 2026

Welche EU-Regeln euch 2026 wirklich betreffen.

AI Act, NIS2, Data Act, Cyber Resilience Act, DORA – fünf Verordnungen, fünf Fristenpläne. Wir bringen Ordnung rein: Macht den Schnell-Check, seht in zwei Minuten, was euch betrifft, und holt euch den Fahrplan.

Compliance-Check starten → Erstgespräch buchen

2025 und 2026 ist eine Welle von EU-Digitalregulierung scharf geschaltet worden. Vieles davon klingt nach Konzern-Thema, betrifft aber längst auch den Mittelstand – und vieles davon ist im Kern technisch: KI-Kennzeichnung, sichere Software, Datenzugang, Meldeprozesse. Genau dort, wo Recht auf Code trifft, entsteht der eigentliche Aufwand.

Dieser Radar sortiert die fünf wichtigsten Verordnungen: Wer ist betroffen, welche Fristen gelten wirklich (inklusive der jüngsten Verschiebungen beim AI Act), und was ist konkret zu tun. Mit dem Schnell-Check bekommt ihr in wenigen Fragen eine erste, ehrliche Orientierung – ohne Paragrafen-Kauderwelsch und ohne Panikmache.

Compliance-Radar-Check

Fünf kurze Fragen – danach wisst ihr, welche EU-Digitalregulierungen euer Unternehmen voraussichtlich betreffen und welche Fristen anstehen. Keine Anmeldung, keine Rechtsberatung.

1 von 5

Compliance-Fahrplan 2026/2027
Alle Fristen der fünf Regulierungen auf einen Blick – kostenlos als PDF zum Abhaken.

Die fünf Regulierungen im Überblick

EU AI Act, NIS2, Data Act, Cyber Resilience Act und DORA – wer betroffen ist, welche Fristen gelten und was zu tun ist.

EU AI Act

Hoch relevant

Verordnung (EU) 2024/1689 (KI-Verordnung)

Betroffen: Anbieter und Betreiber von KI-Systemen sowie GPAI-Anbieter. Für den Mittelstand v. a. Transparenz- und KI-Kompetenz-Pflichten; Hochrisiko betrifft u. a. KI in HR, Kredit, Bildung.

02.02.2025 · Verbote + KI-Kompetenz (in Kraft)02.08.2026 · Transparenzpflichten, Art. 5002.12.2027 · Hochrisiko (Anhang III) – verschoben
  • KI-Kompetenz im Team sicherstellen (seit Februar 2025)
  • Verbotene KI-Praktiken meiden (z. B. Social Scoring)
  • Chatbots & KI-generierte Inhalte kennzeichnen (ab August 2026)
  • Hochrisiko-KI: Risikomanagement, Dokumentation, menschliche Aufsicht (künftig)

NIS2

Hoch relevant

Richtlinie (EU) 2022/2555 / NIS2UmsuCG

Betroffen: Mittlere und große Unternehmen in 18 Sektoren. „Wichtig": ab 50 Beschäftigten oder 10 Mio. € Umsatz; „besonders wichtig": ab 250 Beschäftigten oder 50 Mio. € Umsatz.

06.12.2025 · In Deutschland in Kraft (NIS2UmsuCG)06.03.2026 · BSI-Registrierungsfrist (abgelaufen)laufend · Meldepflicht 24 h / 72 h / 1 Monat
  • Beim BSI registrieren
  • Risikomanagement nach § 30 BSIG (10 Pflichtbereiche)
  • Sicherheitsvorfälle melden: 24 h / 72 h / 1 Monat
  • Geschäftsleitung: Billigung, Überwachung, persönliche Haftung

EU Data Act

Relevant

Verordnung (EU) 2023/2854

Betroffen: Hersteller und Verkäufer vernetzter Produkte (IoT), Dateninhaber sowie Anbieter von Cloud-/Datenverarbeitungsdiensten.

12.09.2025 · Kernpflichten gelten (EU-weit)30.05.2026 · DADG in Deutschland in Kraft12.01.2027 · Verbot von Cloud-Wechselentgelten
  • Nutzern Zugang zu ihren Produktdaten geben
  • Daten auf Wunsch an benannte Dritte weitergeben
  • Access by Design (ab September 2026 für neue Produkte)
  • Erleichterter Cloud-Wechsel & faire Vertragsbedingungen

Cyber Resilience Act

Hoch relevant

Verordnung (EU) 2024/2847

Betroffen: Hersteller, Importeure und Händler von „Produkten mit digitalen Elementen" – Hard- und Software mit Netz- oder Datenverbindung (auch eigenständige Software, Apps, SaaS).

11.09.2026 · Meldepflicht für ausgenutzte Schwachstellen11.12.2027 · Volle Anforderungen + CE-Pflicht
  • Security-by-Design und Security-by-Default
  • Schwachstellen-Management + kostenlose Updates über den Supportzeitraum
  • Definierten Supportzeitraum festlegen und kommunizieren
  • Konformitätsbewertung + CE-Kennzeichnung; Schwachstellen melden (ab Sept. 2026)

DORA

Relevant

Verordnung (EU) 2022/2554

Betroffen: Finanzunternehmen (Banken, Versicherer, Zahlungsdienstleister u. v. m.) und deren kritische IKT-Drittdienstleister.

17.01.2025 · Vollanwendung (in Kraft)30.03.2026 · BaFin-Informationsregister
  • IKT-Risikomanagement-Rahmen einrichten
  • Schwerwiegende IKT-Vorfälle klassifizieren und melden
  • Resilienztests (inkl. TLPT) durchführen
  • Drittparteienrisiko steuern; Informationsregister führen

Wie wir helfen

01

Einordnen

Wir klären, welche Regulierungen euch betreffen und wo ihr steht – ohne Paragrafen-Kauderwelsch.

02

Technisch umsetzen

Wo es um Website, Software oder KI-Funktionen geht, setzen wir die nötigen Maßnahmen direkt im Code um – Kennzeichnung, Sicherheit, Transparenz.

03

Dokumentieren

Wir helfen, Nachweise und Prozesse so aufzubauen, dass ihr gegenüber Behörden auskunftsfähig seid.

04

Dranbleiben

Fristen und Pflichten verschieben sich. Wir behalten den Fahrplan mit euch im Blick.

FAQ

Betrifft mich als kleines Unternehmen überhaupt etwas davon?

Oft ja – aber gezielt. Der AI Act gilt z. B. unabhängig von der Größe, sobald ihr KI einsetzt; NIS2 dagegen erst ab 50 Beschäftigten oder 10 Mio. € Umsatz in bestimmten Sektoren. Der Schnell-Check oben gibt eine erste Orientierung.

Ist das alles schon in Kraft?

Größtenteils ja. NIS2 ist in Deutschland seit dem 6. Dezember 2025 in Kraft, der Data Act gilt seit September 2025, DORA seit Januar 2025. Beim AI Act und beim Cyber Resilience Act greifen die Pflichten gestaffelt – einzelne Fristen liegen noch in 2026 und 2027.

Haben sich beim AI Act nicht Fristen verschoben?

Ja. Der „Digital Omnibus on AI" (Einigung im Mai 2026) verschiebt einen Großteil der Hochrisiko-Pflichten nach hinten – eigenständige Hochrisiko-KI (Anhang III) gilt nun voraussichtlich ab Dezember 2027 statt August 2026. Die Transparenzpflichten (Kennzeichnung) bleiben bei August 2026.

Was hat das mit einer Web-/KI-Agentur zu tun?

Vieles davon ist technisch: KI-Kennzeichnung, sichere Software (CRA), Datenzugang und Cloud-Wechsel (Data Act), Meldeprozesse (NIS2). Genau an diesen Stellen unterstützen wir – von der Website bis zur KI-Funktion.

Ersetzt das eine Rechtsberatung?

Nein. Radar und Check sind eine sachliche Orientierung. Für eine verbindliche rechtliche Einordnung zieht eine fachkundige Beratung hinzu – wir kümmern uns um die technische Umsetzung.

Den Überblick behalten – und das Technische erledigen lassen.

Wir ordnen ein, was euch betrifft, und setzen die technischen Maßnahmen um – von KI-Kennzeichnung bis sichere Software.

Erstgespräch buchen
⚠️ Disclaimer: Dieser Inhalt dient der allgemeinen Information und ist keine Rechtsberatung. Fristen und Pflichten können sich ändern; die konkrete Betroffenheit hängt vom Einzelfall ab. Für eine verbindliche Einordnung wendet euch an eine fachkundige Beratung. Stand: Juni 2026.