EU AI Act: Compliance-Pflicht ab 2. August – bis zu 35 Mio. Bußgeld
26.06.2026 - 11:40:11 | boerse-global.de
Das BSI soll künftig schädlichen Datenverkehr umleiten und Incident Response Teams direkter einsetzen dürfen. Auch das Bundeskriminalamt und die Bundespolizei erhalten klarere Befugnisse in der Cyber-Abwehr.
Cybersicherheit wird zur Pflicht im Arbeitsschutz
Der Schutz der Informationstechnik ist kein reines IT-Thema mehr. Seit Mitte Januar müssen Betreiber Cybersicherheit in ihrer Gefährdungsbeurteilung berücksichtigen. Die aktualisierte Technische Regel für Betriebssicherheit (TRBS 1115) macht das zur Pflicht. Betroffen sind nicht nur die physische Sicherheit von Anlagen, sondern auch IT- und OT-Umgebungen.
Das BSI warnt vor einer veränderten Bedrohungslage durch Künstliche Intelligenz. Die Technologie erlaube Angreifern, Schwachstellen nahezu autonom zu erkennen und Attacken schneller zu skalieren. Die Verteidigung bleibe hingegen oft an Betriebsgrenzen gebunden. Eine Reduzierung der Angriffsfläche und die Umsetzung des IT-Grundschutzes werden dringlicher.
Entlastung für kleine Unternehmen
Seit Ende Mai gibt es eine regulatorische Entlastung für kleine und mittlere Unternehmen. Die Pflicht zur Bestellung von Sicherheitsbeauftragten greift erst ab 50 Beschäftigten – zuvor lag der Schwellenwert bei 20 Personen. Das Ziel: Bürokratie abbauen. Dennoch bleibt die Gefährdungsbeurteilung nach dem Arbeitsschutzgesetz maßgeblich. Bei besonderen Risiken können Sicherheitsbeauftragte auch in kleineren Betrieben erforderlich sein.
Parallel plant die Bundesregierung eine Änderung bei Datenschutzbeauftragten. Die bisherige Pflicht ab 20 Personen mit automatisierter Datenverarbeitung soll zum Jahresende entfallen. Künftig gilt ausschließlich die risikobasierte Pflicht nach der DSGVO. Unternehmen ohne risikoreiche Datenverarbeitung würden entlastet.
Angesichts der neuen regulatorischen Anforderungen und der veränderten Bedrohungslage durch KI müssen Betriebe ihre IT-Sicherheit jetzt proaktiv verstärken. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Vorgaben ohne teure Investitionen erfüllen. IT-Sicherheit stärken und gesetzliche Anforderungen erfüllen
Ausfallzeiten kosten Milliarden
Die wirtschaftlichen Risiken sind enorm. Laut dem Resilience Risk Index 2026 stellen IT-Ausfallzeiten das größte Risiko für Unternehmen dar. Weltweit sind Firmen-PCs durchschnittlich bis zu 76 Tage im Jahr angreifbar. Etwa 20 Prozent der Endgeräte gelten als unzureichend geschützt. Die globalen Kosten für diese Ausfälle: rund 400 Milliarden US-Dollar.
Besonders kritisch ist der Patch-Verzug. Bei Betriebssystemen wie Windows 10 und 11 beträgt er im Schnitt 127 Tage. Zudem nutzen weiterhin etwa 10 Prozent der Unternehmen Windows 10, obwohl der Support im Oktober 2025 endete. In spezialisierten Bereichen wie Biogasanlagen führen veraltete Systeme oft dazu, dass Anlagen innerhalb weniger Minuten kompromittiert werden können.
Fristen für NIS2 und EU AI Act laufen
Unternehmen müssen komplexe Meldefristen beachten. Die NIS2-Richtlinie ist bereits seit Oktober 2024 nationales Recht. Bei schwerwiegenden Vorfällen verlangt die DORA-Verordnung eine Erstmeldung an die BaFin innerhalb von vier Stunden. Die NIS2-Richtlinie fordert eine Frühwarnung an das BSI innerhalb von 24 Stunden nach Kenntniserlangung.
Neben der NIS2-Richtlinie rückt vor allem der EU AI Act mit seinen strengen Compliance-Anforderungen und hohen Bußgeldern in den Fokus der Unternehmen. Ein kostenloser Umsetzungsleitfaden verschafft Ihnen jetzt den nötigen Überblick über alle relevanten Fristen, Pflichten und Risikoklassen. EU AI Act Umsetzungsleitfaden kostenlos herunterladen
Für Anbieter von Hochrisiko-KI-Systemen nähert sich ein wichtiger Stichtag: Ab dem 2. August 2026 greifen die Compliance-Anforderungen des EU AI Acts. Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Unternehmen sollten bis dahin eine vollständige Inventur und Risikoanalyse ihrer KI-Systeme durchführen.
