EU-Kommission verschiebt KI-Compliance-Fristen bis 2027

Die europäische IT-Sicherheitsbranche steht vor einer entscheidenden Wende. Nach dem Rekord-Event it-sa 2025 in Nürnberg hat die EU-Kommission mit ihrem „Digitalen Omnibus“ die Deadline für Hochrisiko-KI-Systeme neu gesetzt. Statt August 2026 gilt nun ein Stichtag im Dezember 2027 – vorausgesetzt, die nötigen Standards liegen vor.

Rekordmesse it-sa 2025: KI-Angst dominiert die Hallen

Vom 7. bis 9. Oktober verwandelte sich Nürnberg in das Epizentrum der globalen Cybersicherheit. Mit 28.267 Fachbesuchern und 993 Ausstellern aus 64 Ländern brach die Leitmesse alle Rekorde. Das beherrschende Thema war unübersehbar Künstliche Intelligenz – als Bedrohung und Verteidigungswerkzeug zugleich.

In den Kongresshallen drehten sich die hitzigsten Debatten jedoch um die praktische Umsetzung des EU-KI-Gesetzes. Die Branche zeigte sich verunsichert. Noch fehlten die harmonisierten Normen für Konformitätsbewertungen, während der ursprüngliche Stichtag im August 2026 näher rückte. Diese Atmosphäre der Dringlichkeit erwies sich als Vorbote für die regulatorischen Korrekturen, die wenige Wochen später folgten.

Viele Unternehmen unterschätzen, welche konkreten Pflichten die EU-KI-Regeln jetzt schon mit sich bringen – von Risikoklassifizierung bis zur Dokumentation. Ein kostenloser Umsetzungsleitfaden fasst die wichtigsten Anforderungen, Übergangsfristen und praktischen To‑dos für Entwickler, CISOs und Compliance-Teams kompakt zusammen. So vermeiden Sie Bußgelder und treffen heute schon die richtigen Entscheidungen für Ihre KI-Governance. Jetzt kostenlosen KI-Umsetzungsleitfaden sichern

Der „Digitale Omnibus“: Neuer Fahrplan für KI-Sicherheit

Als direkte Reaktion auf die Industriebedenken präsentierte die EU-Kommission am 19. November 2025 ihr „Digitales Omnibus“-Paket. Es soll Überschneidungen zwischen KI-Gesetz, DSGVO und Data Act bereinigen. Eine zentrale Entscheidung: Die Kommission lehnte einen pauschalen Stopp der Fristen („Stop-the-Clock“) ab, wie ihn einige Digitalminister gefordert hatten.

Stattdessen führt der Vorschlag einen konditionalen Aufschub ein. Die Frist für Hochrisiko-KI-Systeme (Anhang III) ist nun an die Verfügbarkeit der EU-Harmonisierungsnormen geknüpft. Sind diese nicht rechtzeitig da, verschiebt sich der Stichtag vom August 2026 auf 2. Dezember 2027. Für in Produkte eingebettete Systeme (Anhang I) wird sogar ein neuer Termin im August 2028 erwartet.

Was bedeutet das für deutsche Unternehmen?

Für CISOs und Compliance-Verantwortliche bedeutet die Entwicklung Luft zum Atmen, aber keine Entwarnung. Die inhaltlichen Anforderungen des KI-Gesetzes bleiben unverändert streng.

Die wichtigsten Neuerungen im Überblick:

• Hinweisgeber-Portal aktiv: Die EU-KI-Behörde hat ihr Meldeportal für Verstöße und Sicherheitsrisiken bereits Ende 2025 gestartet. Die Durchsetzungsinfrastruktur wird also unabhängig von Fristverschiebungen aufgebaut.
• Bias-Erkennung und DSGVO: Der Omnibus-Entwurf entschärft einen großen Konfliktpunkt: Künftig soll die Verarbeitung besonderer personenbezogener Daten zur Erkennung von Verzerrungen für alle KI-Systeme zulässig sein, nicht nur für Hochrisiko-Anwendungen.
• Abhängigkeit von Normen: Der „konditionale Aufschub“ macht die Unternehmen abhängig von der Arbeit der Normungsgremien. Experten raten, interne Governance bereits an Entwürfe wie ISO/IEC 42001 anzupassen, statt auf die finale EU-Veröffentlichung zu warten.

Ausblick 2026: Der „Digitale Fitness-Check“ steht an

Im Fokus des kommenden Jahres steht der „Digitale Fitness-Check“ der Kommission. Diese umfassende Überprüfung der EU-Digitalgesetze läuft noch bis 11. März 2026. Die Branche hofft, dass der Pragmatismus der it-sa – symbolisiert durch Preisträger wie das Hardware-Startup Infrafon – auch hier Gehör findet.

Die Botschaft zum Jahresende ist klar: Die Deadlines haben sich verschoben, das Ziel nicht. Der „Digitale Omnibus“ ersetzt die Panik vor 2026 durch einen strukturierten, aber fordernden Weg bis 2027. Unternehmen sollten die gewonnene Zeit nutzen, um ihre KI-Governance zu festigen – und nicht ihre Compliance-Programme auf Eis zu legen.

PS: Die neuen Fristen entlassen Sie nicht von Pflichten zur Risikoanalyse, Kennzeichnung und Dokumentation Ihrer KI-Systeme. Ein kompaktes Gratis‑E‑Book erklärt Schritt für Schritt, wie Sie Ihre Systeme korrekt klassifizieren, welche Nachweise erforderlich sind und wie Sie Übergangsfristen praktisch managen – ideal für IT‑Leitung und Compliance-Teams. Gratis E‑Book zur KI‑Verordnung herunterladen