IT-Regulierungen: Welche IT-Gesetze sollten Sie 2026 im Blick haben?

Inhaltsverzeichnis:

• NIS2: Cybersicherheit wird zur Führungsaufgabe
• DORA: Digitale Resilienz im Finanzsektor  
• Cyber Resilience Act (CRA): Sicherheit wird Produkteigenschaft
• EU AI Act: Regulierung von Hochrisiko-KI
• Aktuelle Forenbeiträge zum Thema

2026 markiert einen wichtigen Meilenstein: Viele EU-Regelwerke müssen nun umgesetzt werden oder erreichen das Ende ihrer Übergangsfristen.

Zu den zentralen Themen gehören:

• NIS2 Umsetzungsgesetz Deutschland 2026 – Fristen für Unternehmen
• DORA Verordnung Finanzsektor – Übergangsfrist 2026 Ende
• Cyber Resilience Act – Meldepflichten ab September 2026
• EU AI Act – Anforderungen für Hochrisiko-Systeme ab 2026

Für Unternehmen bedeutet das: Compliance ist kein Projekt mehr, sondern dauerhafte Organisationsaufgabe. Mehr zu EU-Regularien, Compliance-Anforderungen und deren Umsetzung in der Praxis im it-sa 365 Themenbereich IT-Regulierung.

NIS2: Cybersicherheit wird zur Führungsaufgabe  

Was regelt NIS2 konkret?

Mit der europäischen NIS2-Richtlinie und ihrer nationalen Umsetzung endet die Ära, in der Cybersecurity als reines IT-Thema delegiert werden konnte. Digitale Sicherheit wird damit zu einer expliziten Organisationspflicht der Führungsebene und bringt konkrete Fristen für Unternehmen, die ihre Sicherheitsstrukturen, Meldeprozesse und Governance-Modelle anpassen müssen. Ein zentraler operativer Schritt ist dabei die Registrierung im BSI-Meldeportal nach NIS2.  

Wen betrifft die Regulierung?

NIS2 erweitert den Kreis betroffener Unternehmen deutlich und verschärft die Anforderungen an Risikomanagement, Meldepflichten sowie Sicherheitsmaßnahmen. Die Richtlinie unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Neben klassischen KRITIS-Betreibern sind nun auch weitere Branchen betroffen, zum Beispiel aus Bereichen wie:

• Lebensmittelproduktion
• Abfallwirtschaft
• digitale Dienste
• öffentliche Verwaltung

Worauf zielt die Regulierung ab?  

Ziel von NIS2 ist es, die Widerstandsfähigkeit kritischer und wichtiger Einrichtungen gegen Cyberangriffe systematisch zu erhöhen. Dadurch reagiert man auf die derzeitige Bedrohungslage, in der Angriffe auf Lieferketten, Energie, Gesundheit oder digitale Dienste schnell gesamtwirtschaftliche Folgen haben können.

Was dadurch erreicht werden soll:

Ziel von NIS2 ist eine systematische Erhöhung der Cyber-Resilienz in Europa.

• Management-Verantwortung: Cybersecurity wird von der IT-Abteilung direkt auf die Management-Ebene gehoben. Führungskräfte müssen Cybersecurity-Schulungen absolvieren und können bei grober Fahrlässigkeit direkt für Versäumnisse im Risikomanagement haftbar gemacht werden.
• Nachweisbare Sicherheitsmaßnahmen: Unternehmen müssen strukturierte Sicherheitskonzepte implementieren. Viele Organisationen arbeiten hierfür mit einer IT-Compliance Checkliste für den Mittelstand 2026, um regulatorische Anforderungen systematisch abzudecken.
• Staatliche Aufsicht und Sanktionen: Die Richtlinie führt harmonisierte Sanktionsregeln ein, die ähnlich wie bei der DSGVO Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes vorsehen.
• Früherkennung und Meldepflichten: Vorfälle sollen frühzeitig erkannt und schneller gemeldet werden.
• Lieferketten-Sicherheit: Die Sicherheit der Lieferkette wird explizit in die Betrachtung einbezogen. Unternehmen müssen die Sicherheit ihrer Zulieferer und Dienstleister aktiv bewerten und vertraglich absichern, um Kaskadeneffekte bei Angriffen zu verhindern.

Damit verschiebt NIS2 den Fokus von isolierten technischen Maßnahmen hin zu organisatorischer Sicherheitsreife. 

DORA: Digitale Resilienz im Finanzsektor  

Was regelt DORA konkret?

Der Digital Operational Resilience Act reagiert auf die zunehmende Abhängigkeit des Finanzsystems von der IT. Während NIS2 Cybersicherheit branchenübergreifend reguliert, fokussiert sich DORA auf die operative Resilienz im Finanzsektor.  

Ein zentraler Meilenstein ist dabei das Ende der Übergangsfrist der DORA-Verordnung im Finanzsektor im Jahr 2026. Spätestens dann müssen Unternehmen die regulatorischen Anforderungen vollständig umgesetzt haben.

Wen betrifft die Regulierung?

DORA gilt für Banken, Versicherer, Zahlungsdienstleister und viele weitere Finanzakteure, inklusive ihrer IT-Dienstleister.

Worauf zielt die Regulierung ab?

DORA soll sicherstellen, dass der Finanzsektor auch bei schweren IT-Störungen oder Cyberangriffen funktionsfähig bleibt. Finanzsysteme gelten als systemkritisch, ihr Ausfall hätte unmittelbare Auswirkungen auf Wirtschaft und Gesellschaft.

Was dadurch erreicht werden soll:

• IKT-Risikomanagement: IT-Risiken erhalten denselben Stellenwert wie finanzielle Risiken. Finanzunternehmen müssen Strategien implementieren, die den gesamten Lebenszyklus von IKT-Systemen abdecken, von der Identifikation über den Schutz bis zur Wiederherstellung.
• Drittanbieter-Aufsicht: Ein Novum in der EU-Regulierung ist, dass große Cloud-Provider (wie AWS, Azure, Google) nun direkt von den Finanzaufsichtsbehörden (ESAs) überwacht werden können, wenn sie als kritisch für den Sektor eingestuft werden. Abhängigkeiten von Cloud-Anbietern werden so transparent und steuerbar gemacht.
• Resilienz-Tests: Notfallpläne müssen regelmäßig durch realitätsnahe Szenarien überprüft werden. Für bedeutende Akteure schreibt DORA fortgeschrittene, bedrohungsorientierte Penetrationstests (Threat Led Penetration Testing) vor, die über einfache Scans hinausgehen und reale Angriffsszenarien simulieren.
• Recovery-Fährigkeit / KPI-Verschiebung: Erfolg wird nicht mehr nur an Systemverfügbarkeit gemessen, sondern an der Fähigkeit, den Geschäftsbetrieb trotz schwerer Sicherheitsvorfälle innerhalb definierter Zeiträume wiederherzustellen. Resilienz wird damit zu einem messbaren Governance-Thema auf Vorstandsebene.

DORA verschiebt den Fokus von "IT läuft" hin zu „Die Organisation bleibt auch im Krisenfall handlungsfähig“. 

Cyber Resilience Act (CRA): Sicherheit wird Produkteigenschaft  

Was regelt der Cyber Resilience Act konkret?

Der Cyber Resilience Act (CRA) schließt eine regulatorische Lücke und macht Cybersecurity zu einer Voraussetzung für den Marktzugang digitaler Produkte. Betroffen sind Hersteller von:

• IoT-Geräten
• Softwarelösungen
• vernetzten Industrieprodukten

Wen betrifft die Regulierung?

Der CRA betrifft Hersteller und Anbieter digitaler Produkte mit Software-Komponenten, von IoT-Geräten bis zu Business-Software. Ein besonders wichtiger Punkt für Hersteller sind die Meldepflichten des Cyber Resilience Acts ab September 2026. Unternehmen müssen

• aktiv ausgenutzte Schwachstellen
• innerhalb von 24 Stunden

an die europäische Cybersicherheitsagentur ENISA zu melden.

Worauf zielt die Regulierung ab?

Der CRA will verhindern, dass unsichere Produkte überhaupt auf den europäischen Markt gelangen. Cybersecurity wird damit nicht mehr nur eine Betreiberpflicht, sondern eine Herstellerverantwortung über den gesamten Produktlebenszyklus.

Was dadurch erreicht werden soll:

• Security by Design: Sicherheitsanforderungen werden bereits in der Entwicklung verankert. Funktionen wie Verschlüsselung müssen standardmäßig aktiviert sein, und unnötige Angriffsflächen (z. B. offene Ports) müssen minimiert werden.
• Schwachstellenmanagement: Schwachstellen müssen über den gesamten Lebenszyklus aktiv gemanagt und gemeldet werden. Hersteller sind verpflichtet, Sicherheitslücken über einen Zeitraum von bis zu fünf Jahren (oder der voraussichtlichen Produktlebensdauer) aktiv zu patchen.
• Transparenz: Kunden erhalten durch Software-Stücklisten, die sog. Software Bill of Materials (SBOM), Klarheit über enthaltene Komponenten. Die SBOM ist essenziell, um bei Bekanntwerden neuer Schwachstellen sofort feststellen zu können, welche Produkte im Unternehmen betroffen sind.
• Update-Pflicht: Sicherheitsupdates werden zum verpflichtenden Teil des Produktversprechens.
• Meldepflicht: Innerhalb von 24 Stunden nach Kenntnisnahme müssen Hersteller aktiv ausgenutzte Sicherheitslücken an die ENISA melden, um eine frühzeitige Warnung des gesamten Marktes zu ermöglichen.

Der CRA reduziert so systemische Risiken durch weit verbreitete Schwachstellen und stärkt das Vertrauen in digitale Produkte nachhaltig. Zusätzlich wird die Verantwortung von den Betreibern hin zu den Herstellern digitaler Produkte verschoben.

EU AI Act: Regulierung von Hochrisiko-KI

Was regelt der EU AI Act konkret?

Der EU AI Act ist die weltweit erste umfassende KI-Verordnung. Sein risikobasierter Ansatz fördert Innovation, ohne sie durch übermäßige Bürokratie zu behindern.

Wen betrifft die Regulierung?

Der AI Act führt ein risikobasiertes Modell ein und stellt besonders hohe Anforderungen an sogenannte Hochrisiko-KI-Systeme.

Worauf zielt die Regulierung ab?

Ziel ist es, Innovation mit dem Schutz von Grundrechten, Sicherheit und Transparenz zu verbinden. KI soll wirtschaftlich nutzbar bleiben, aber nicht auf Kosten von Fairness, Nachvollziehbarkeit oder gesellschaftlichem Vertrauen.

Was dadurch erreicht werden soll:

KI-Systeme werden nach Risiko eingestuft statt pauschal reguliert. Die Risiko-Pyramide ordnet Systeme entsprechend ein in:

• Unannehmbares Risiko: Diese KI-Systeme sind in der EU verboten, etwa Social Scoring oder manipulative Techniken.
• Hohes Risiko: KI-Systeme mit hohem Schadenspotenzial, wie KI-gestützte Bewerbungsverfahren oder autonome Fahrzeuge, unterliegen strengen Auflagen.
• Begrenztes Risiko: KI-Systeme mit begrenztem Risiko, die etwa für manipulative Zwecke oder Täuschung missbraucht werden könnten. Dazu gehören Chatbots, KI-generierte Inhalte und einfache Empfehlungssysteme. Für User muss klar ersichtlich sein, dass sie mit einer KI interagieren.
• Minimales Risiko: Niedrigste Risikoklasse, aufgrund ihres geringen Schadenpotenzials nicht speziell reguliert. Darunter fallen z.B. Spam-Filter, automatische Textvorschläge oder KI-gestützte Schreibassistenten.

Außerdem gehören noch folgende Punkte zum EU AI Act:

• Dokumentationspflichten: Sensible Bereiche wie Recruiting oder Kreditvergabe unterliegen strengen Prüf- und Dokumentationspflichten.
• Menschliche Aufsicht: Kritische Entscheidungen, die von einer KI getroffen werden, müssen einer menschlichen Überprüfung unterzogen werden.
• Bias-Kontrollen: Diskriminierungsrisiken sollen systematisch reduziert werden. Für Hochrisiko-Systeme müssen Trainings-, Validierungs- und Testdatensätze deshalb auf Bias (Voreingenommenheit) geprüft werden, um Diskriminierung zu verhindern.
• Regeln für General Purpose AI (GPAI): Spezielle Regeln gelten für mächtige Basismodelle, die für viele Zwecke eingesetzt werden können und systemische Risiken bergen.

Vertrauenswürdige KI wird durch den EU AI Act zu einem klar definierten Qualitäts- und Compliance-Merkmal für Unternehmen. 

Das große Bild: Was diese Regulierungen gemeinsam bewirken

NIS2, DORA, der Cyber Resilience Act und der EU AI Act greifen wie Zahnräder ineinander und bilden gemeinsam eine europäische Architektur für digitale Resilienz. Die Rollenverteilung:

Während die NIS2-Richtlinie darauf abzielt, die allgemeine Widerstandsfähigkeit von Unternehmen und kritischen Infrastrukturen gegen Cyberangriffe systematisch zu erhöhen, setzt DORA spezifisch am Finanzsektor an, um die Stabilität dieses systemkritischen Bereichs auch bei schweren IT-Störungen zu garantieren.

Parallel dazu verschiebt der Cyber Resilience Act (CRA) die Verantwortung in Richtung der Produzenten, indem er Sicherheit als verpflichtende Eigenschaft direkt im Produktdesign verankert. Den Rahmen für die technologische Zukunft bildet schließlich der EU AI Act, der Innovationen im Bereich der Künstlichen Intelligenz ermöglicht und gleichzeitig den Schutz von Grundrechten sicherstellt.

Gemeinsam markieren sie einen klaren Paradigmenwechsel: von reaktiver IT-Sicherheit hin zu strategischer Cyber-Resilienz. 

Bestehende Regulierungen bleiben relevant

Neben diesen aktuellen EU-Vorgaben behalten auch bereits länger bestehende Vorgaben ihre zentrale Bedeutung und bilden oft die Grundlage für neue Anforderungen:

• DSGVO – bleibt maßgeblich für alle Fragen rund um personenbezogene Daten, insbesondere bei KI-Systemen und Sicherheitsvorfällen
• IT-Sicherheitsgesetz / BSIG & BSI-Grundschutz – Referenzrahmen für viele technische und organisatorische Maßnahmen
• ISO/IEC 27001 – international anerkannter Standard für Informationssicherheits-Managementsysteme (ISMS)
• MaRisk / BAIT / VAIT (Finanzsektor) – ergänzen DORA auf nationaler Aufsichtsebene
• Branchenspezifische Sicherheitsstandards (B3S) für KRITIS-Betreiber

Diese Regelwerke sorgen dafür, dass neue Regulierung nicht im luftleeren Raum entsteht, sondern auf bestehenden Sicherheits- und Governance-Strukturen aufbaut. 

Fazit: Regulierung als Navigationssystem, nicht als Bremse

Nach Jahren der Vorbereitung erreichen viele zentrale EU-Regelwerke im Jahr 2026 ihre volle Wirkung. Mit der nationalen Umsetzung von NIS2, dem Inkrafttreten weiterer Vorgaben aus DORA, dem Cyber Resilience Act und dem EU AI Act endet die Phase der Übergangsfristen. Für Unternehmen bedeutet das: IT-Compliance wird vom Projekt zur dauerhaften Managementaufgabe.

Die neuen Anforderungen greifen dabei zunehmend ineinander und bilden ein zusammenhängendes System digitaler Resilienz: 

• Management-Verantwortung: Cybersecurity wird zur expliziten Pflichtaufgabe der Unternehmensführung.
• Produktsicherheit: Digitale Produkte müssen über ihren gesamten Lebenszyklus hinweg nachweisbare Sicherheitsanforderungen erfüllen.
• Vertrauenswürdige KI: Klare Risikoklassen und Transparenzpflichten schaffen verbindliche Rahmenbedingungen für den Einsatz von Künstlicher Intelligenz.

Damit definieren die europäischen Regelwerke einen gemeinsamen Rahmen dafür, wie sichere IT-Infrastrukturen, resiliente Organisationen und vertrauenswürdige digitale Technologien künftig gestaltet werden sollen.

Unternehmen, die Regulierung ausschließlich als Pflichtprogramm betrachten, werden sie vor allem als Belastung wahrnehmen. Wer sie dagegen als strategischen Orientierungsrahmen nutzt, kann daraus einen echten Mehrwert ziehen – in Form von höherer Stabilität, klareren Prozessen und größerem Vertrauen bei Kunden und Partnern. 

Weiterführende Links zum Thema IT-Regulierung 

• IT-Regulierung – Überblick und Entwicklungen
• KRITIS: Bedeutung und Schutz
• Buy European – IT made in Europe
• Alle aktuellen Forenbeiträge der it-sa Expo&Congress 2025