Cyberresilienz-Verordnung: CRA tritt in Kraft, Bundestag regelt KI
12.06.2026 - 17:06:56 | boerse-global.de
Gleich mehrere Gesetze und Verordnungen treten in Kraft oder werden verabschiedet – mit weitreichenden Folgen für Unternehmen.
Am 11. Juni trat die Cyberresilienz-Verordnung (CRA) offiziell in Kraft. Hersteller müssen nun verbindliche Sicherheitsstandards für Produkte mit digitalen Komponenten nachweisen. Parallel dazu berät der Bundesrat am heutigen Freitag über die nationale Umsetzung dieser Vorgaben.
Bundestag verabschiedet Durchführungsgesetz zum EU AI Act
Anzeige: Wer die neuen Cyberresilienz- und KI-Pflichten ignoriert, riskiert Bußgelder bis zu 10 Mio. Euro. Dieser Report liefert Checklisten und Leitfäden für CRA, EU AI Act und NIS2 – konkret und sofort anwendbar. Jetzt kostenlosen Compliance-Report anfordern
Ein weiterer Meilenstein folgte am 11. Juni: Der Bundestag verabschiedete das Durchführungsgesetz zum EU AI Act. Damit ist die Bundesnetzagentur offiziell als zentrale Aufsichtsbehörde für KI-Systeme in Deutschland benannt.
Branchenverbände wie die Bitkom begrüßten die Rechtssicherheit, warnen aber vor einem „Flickenteppich“ bei der Umsetzung durch die Bundesländer. Flankierend veröffentlichte die EU-Kommission am 10. Juni den finalen Verhaltenskodex zur Kennzeichnung von KI-Inhalten. Ab dem 2. August werden die Transparenzvorgaben verbindlich: Unternehmen müssen KI-generierte Inhalte mit maschinenlesbaren Metadaten und Wasserzeichen versehen.
NIS2-Umsetzung: Nur 14,3 Prozent der Unternehmen erfüllen die Anforderungen
Trotz der seit Dezember 2025 geltenden NIS-2-Gesetzgebung zeigt sich in der Praxis ein erheblicher Nachholbedarf. Branchenberichten zufolge erfüllen lediglich 14,3 Prozent der betroffenen Unternehmen die Anforderungen vollständig.
Um den Unterstützungsbedarf zu ermitteln, startete das BSI am 10. Juni eine Umfrage unter den rund 29.500 betroffenen Betrieben. Experten betonen: Technische Compliance allein reicht nicht. Entscheidend sind Mitarbeiterverhalten und eine gelebte Sicherheitskultur. Die Dringlichkeit wird durch mögliche Sanktionen unterstrichen – in Bulgarien wurden bereits Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes verhängt.
„Shadow AI“ und Drittanbieter: Die wachsenden Governance-Risiken
Ein wachsendes Problem für die IT-Compliance ist die Nutzung nicht genehmigter KI-Werkzeuge. Eine aktuelle Studie von Freshworks belegt: 71 Prozent der IT-Verantwortlichen berichten von „Shadow AI“ in ihren Organisationen – obwohl 92 Prozent die Bedeutung von Transparenz betonen. 86 Prozent der Unternehmen haben bereits negative Vorfälle im Zusammenhang mit KI registriert.
Verschärft wird die Lage durch Sicherheitslücken bei externen Dienstleistern. Laut einer Untersuchung von BlueVoyant meldeten 81 Prozent der IT-Entscheider Sicherheitsverletzungen, die ihren Ursprung bei Drittanbietern hatten. Regulierungen wie NIS2 und die Finanzmarkt-Richtlinie DORA adressieren diese Risiken durch verschärfte Kontrollpflichten.
Gerichte prüfen Verhältnismäßigkeit: Bußgeld gegen Deutsche Wohnen drastisch reduziert
Dass Aufsichtsbehörden und Gerichte die Verhältnismäßigkeit von Sanktionen prüfen, zeigte ein Urteil des Berliner Landgerichts vom 11. Juni. Das Gericht reduzierte ein ursprüngliches Millionen-Bußgeld gegen das Immobilienunternehmen Deutsche Wohnen wegen DSGVO-Verstößen von 14,5 Millionen Euro auf 900.000 Euro. Ausschlaggebend war unter anderem die Kooperationsbereitschaft des Unternehmens.
Anzeige: Shadow AI und Drittanbieter-Risiken sind die größten Governance-Lücken – 71% der IT-Verantwortlichen berichten von nicht genehmigten KI-Tools. Unser Toolkit zeigt, wie Sie diese Risiken kontrollieren und NIS2-konform werden. Toolkit für KI-Governance jetzt sichern
Digitale Souveränität: SAP erhält BSI-Zulassung für VS-NfD-Daten
Im Bereich der Cloud-Infrastruktur gibt es Fortschritte bei der digitalen Souveränität. SAP erhielt am 10. Juni vom BSI die Nutzungsgenehmigung für die Verarbeitung von Daten mit dem Geheimhaltungsgrad „Verschlusssache – Nur für den Dienstgebrauch“ (VS-NfD) auf ihrer Cloud-Infrastruktur in Walldorf.
Dies markiert einen wichtigen Schritt für den Einsatz von Cloud-Lösungen im öffentlichen Sektor. Für die Privatwirtschaft besteht unter NIS2 weiterhin kein pauschales Verbot von US-Cloudanbietern – sofern sensible Datenströme angemessen klassifiziert und geschützt werden.
