Digital Omnibus Act: EU bremst KI-Regulierung deutlich ab

Brüssel signalisiert eine regulatorische Kehrtwende. Nach Jahren zunehmender Compliance-Anforderungen will die EU-Kommission Unternehmen entlasten – doch die IT-Sicherheit bleibt eine Führungsaufgabe mit erheblichem Haftungsrisiko.

Für Vorstände und IT-Sicherheitschefs europäischer Unternehmen kam die Nachricht überraschend: Die EU-Kommission hat Ende November mit dem “Digital Omnibus Act” einen Kurswechsel eingeleitet. Nach Jahren der regulatorischen Verdichtung durch DSGVO, NIS2, DORA und AI Act will Brüssel nun konsolidieren statt verschärfen. Analysen führender Wirtschaftskanzleien zeigen: Die überbordenden Berichtspflichten sollen gebündelt, die Implementierung komplexer KI-Regeln realistischer gestaltet werden.

Doch ist die Erleichterung berechtigt? Experten warnen vor vorschneller Entwarnung. Die IT-Sicherheit von KI-Systemen bleibt trotz verlängerter Fristen ein haftungskritisches Minenfeld – und neue Bedrohungsszenarien zeichnen sich bereits ab.

Die Fristverschiebungen beim AI Act mögen wie Entlastung wirken – doch die Pflichten bleiben komplex und fehleranfällig. Das kostenlose E‑Book “KI‑Verordnung” fasst kompakt zusammen, welche Anforderungen, Kennzeichnungspflichten und Übergangsfristen jetzt gelten und wie Sie Ihr System korrekt klassifizieren und dokumentieren. Enthalten sind praxisnahe Checklisten für Compliance‑Manager und Entwickler sowie konkrete Umsetzungsschritte für Vorstand und IT. KI-Verordnung: Kostenlosen Umsetzungsleitfaden herunterladen

Das Herzstück des Vorschlags ist ein “Single Entry Point” für Cyber- und Datenvorfälle. Bisher mussten Unternehmen bei einem Sicherheitsvorfall oft zeitgleich an verschiedene Behörden melden – unter DSGVO, NIS2 und DORA, mit unterschiedlichen Fristen und Formaten.

Die geplante Reform geht dabei einen revolutionären Schritt: Die extrem enge 72-Stunden-Meldefrist der DSGVO soll auf 96 Stunden verlängert werden. Damit würden die Datenschutzvorgaben endlich mit anderen Cyber-Regularien harmonisiert. Für Krisenstäbe bedeutet das konkret: mehr Zeit für forensische Analysen statt bürokratischer Panik.

“Vorstände können im Ernstfall Ressourcen auf die Eindämmung konzentrieren, statt Formulare auszufüllen”, analysiert die Kanzlei Latham & Watkins. Die administrative Doppelarbeit würde entfallen.

AI Act: Aufschieben statt Abschaffen

Noch weitreichender sind die Änderungen beim AI Act. Die Kommission schlägt vor, die Compliance-Fristen für Hochrisiko-KI-Systeme um bis zu 16 Monate zu verschieben. Statt im August 2026 würden die Pflichten nun erst im Dezember 2027 oder sogar August 2028 greifen.

Die Begründung: Es fehlen schlicht harmonisierte Standards. Wie sollen Unternehmen Vorgaben umsetzen, wenn die technischen Normen dafür noch gar nicht existieren?

Hinzu kommt eine Entwicklung, die bisher kaum wahrgenommen wurde: Die “AI Liability Directive” ist Geschichte. Die umstrittene KI-Haftungsrichtlinie wurde bereits im Oktober 2025 offiziell zurückgezogen, bestätigt die Kanzlei Taylor Wessing. Die Richtlinie hätte Klägern bei KI-Schäden erhebliche Beweiserleichterungen verschafft. Ihr Wegfall nimmt erheblichen Haftungsdruck von Unternehmensführungen – zumindest vorerst.

Kann man sich zurücklehnen? Keinesfalls.

Die reale Bedrohung: Wenn Mitarbeiter zu Gegnern werden

Ein Report des Datenkonzerns Experian vom 25. November zeichnet ein ernüchterndes Bild. Während 87 Prozent der befragten Führungskräfte “Responsible AI” als strategischen Wettbewerbsvorteil sehen, geben 76 Prozent zu, bei der praktischen Umsetzung zu scheitern.

Besonders alarmierend: Experian prognostiziert für 2026 einen Anstieg von Insider-Betrug, bei dem Mitarbeiter ihr KI-Wissen gegen das eigene Unternehmen einsetzen. Die Bedrohung kommt nicht nur von außen – sie sitzt womöglich bereits im eigenen Haus.

Und auch die regulatorische Landschaft bleibt ein Flickenteppich. Die NIS2-Richtlinie sollte ursprünglich im Oktober 2024 in nationales Recht überführt sein. Doch auch Ende 2025 ist das in vielen EU-Staaten nicht geschehen. Die Kommission hat bereits im Mai gegen 19 Mitgliedstaaten Vertragsverletzungsverfahren eingeleitet.

Was bedeutet das für international agierende Vorstände? Eine komplexe Rechtslage: In einigen Ländern gelten bereits scharfe Sanktionen und persönliche Haftungsregeln, in anderen herrscht noch Unklarheit.

DORA: Finanzsektor ohne Gnadenfrist

Für Banken und Versicherungen gibt es ohnehin keine Pause. Der Digital Operational Resilience Act (DORA) ist seit Januar 2025 in Kraft und entfaltet nun seine volle Wirkung. DORA kennt kein Pardon bei der IT-Sicherheit von Drittanbietern – und dazu gehören zunehmend auch KI-Provider.

Vorstände im Finanzsektor müssen sicherstellen, dass ihre KI-Systeme den strengen Resilienz-Anforderungen genügen, unabhängig von den Erleichterungen des Digital Omnibus. Die Aufsicht schaut hier besonders genau hin.

Atempause statt Freibrief

Der Digital Omnibus Act ist ein spätes Eingeständnis: Das bisherige Tempo der Digitalregulierung hat die Wirtschaft überfordert. Für Vorstände öffnet sich ein Zeitfenster, um KI-Governance neu zu ordnen, ohne das Damoklesschwert sofortiger Sanktionen fürchten zu müssen.

Doch die Verantwortung bleibt bestehen. Die Kombination aus fragmentierter NIS2-Umsetzung, aktiven DORA-Pflichten und neuen Bedrohungsszenarien wie KI-gestütztem Insider-Betrug verlangt weiterhin höchste Wachsamkeit.

Der Rückzug der KI-Haftungsrichtlinie ist kein Freibrief, sondern eine Atempause. Die Frage ist: Werden Unternehmen sie nutzen, um ihre IT-Sicherheitsarchitekturen wetterfest zu machen? Oder wiegen sie sich in falscher Sicherheit?

Die Handlungsempfehlungen für Vorstände:

Monitoring: Der Digital Omnibus ist noch nicht Gesetz. Verfolgen Sie den Gesetzgebungsprozess genau und passen Sie Ihre Compliance-Roadmap laufend an.

Harmonisierung: Nutzen Sie die geplante Vereinheitlichung der Meldewege, um interne Incident-Response-Pläne zu konsolidieren. Ein einheitlicher Prozess spart im Ernstfall wertvolle Zeit.

Investition: Die gewonnene Zeit beim AI Act ist keine Einladung zum Abwarten. Bauen Sie jetzt robuste Data-Governance-Strukturen auf – der Experian-Report identifiziert genau hier die Hauptschwachstelle europäischer Unternehmen.

PS: Die Verschiebung der KI-Haftungsregeln ist nur eine Atempause – jetzt gilt es, Governance, Dokumentation und Risikoklassifizierung zu schärfen. Der praxisnahe Umsetzungsleitfaden zur EU‑KI‑Verordnung fasst Kennzeichnungspflichten, notwendige Dokumentation und Übergangsfristen übersichtlich zusammen und bietet Checklisten für Vorstand, Compliance und IT-Verantwortliche. So nutzen Sie die Zeit strategisch und reduzieren Ihr Haftungsrisiko. Jetzt KI-Umsetzungsleitfaden gratis anfordern