EU einigt sich auf „Digital Omnibus“: Neue Fristen für KI-Startups

Die EU verschärft die KI-Regulierung – und gibt Unternehmen gleichzeitig mehr Zeit.

Nach neunstündigen Verhandlungen haben sich Europaparlament und Rat am 7. Mai auf den „Digital Omnibus on AI“ geeinigt. Das Abkommen verschiebt die Umsetzungsfristen für Hochrisiko-KI-Systeme deutlich nach hinten, während es gleichzeitig härtere Transparenzregeln und Verbote für bestimmte KI-Anwendungen einführt. Für deutsche Startups und Mittelständler bedeutet das: mehr Vorbereitungszeit – aber auch strengere Auflagen bei generativer KI.

Die neuen EU-Regeln stellen Unternehmen vor komplexe Herausforderungen bei der rechtssicheren Dokumentation ihrer Systeme. Dieser kostenlose Leitfaden zum EU AI Act unterstützt Sie dabei, die neuen Pflichten und Fristen für Ihr Unternehmen kompakt zu verstehen. EU AI Act in 5 Schritten verstehen

Mehr Zeit für Hochrisiko-Systeme

Die wichtigste Änderung betrifft die Compliance-Fristen. Standalone-Hochrisiko-KI-Systeme müssen nun erst bis zum 2. Dezember 2027 vollständig konform sein – eine Verlängerung um 16 Monate. Für KI in regulierten Produkten wie Medizingeräten oder Spielzeug gilt sogar der 2. August 2028 als Stichtag.

Besonders spannend: Die sogenannte „Sector-Exit“-Regelung für Maschinen. Auf Druck deutscher Verhandler wurde die Maschinenverordnung von Anhang I-A nach I-B verschoben. Die Folge: KI-gesteuerte Maschinen unterliegen künftig vor allem sektorspezifischen Prüfungen, nicht der doppelten Belastung durch KI-Act und Maschinenrichtlinie.

Der TÜV-Verband begrüßt die längeren Fristen. Kritiker warnen jedoch vor regulatorischer Zersplitterung. Die EU-Kommission soll daher bis August 2027 delegierte Rechtsakte vorlegen, die das Zusammenspiel mit bestehenden Regeln für Medizinprodukte klären.

Wasserzeichenpflicht ab Dezember 2026

Wer generative KI oder Bildmanipulations-Tools entwickelt, muss schnell handeln. Bereits am 2. Dezember 2026 treten die Transparenzpflichten nach Artikel 50(2) in Kraft. KI-generierte Inhalte müssen dann klar erkennbar sein – um Desinformation zu verhindern und Verbraucher zu schützen.

Gleichzeitig greift ein striktes Verbot bestimmter KI-Werkzeuge: Die Erstellung von Missbrauchsdarstellungen Minderjähriger (CSAM) und nicht-einvernehmlicher intimer Bilder – sogenannte „Nudification“-Tools – wird ab demselben Datum verboten. Die EU stuft diese Anwendungen als Hochrisiko ein und signalisiert Null-Toleranz.

Sandboxen und Cybersicherheit als Pflichtprogramm

Der KI-Act verlangt von jedem EU-Mitgliedstaat mindestens eine regulatorische Sandbox. Diese „Schutzzonen“ erlauben das Testen von KI-Anwendungen – etwa in der Medizin zur Klassifikation von Hirntumoren – mit sensiblen Daten unter Aufsicht. Gründer sollten diese Angebote nutzen, um ihre Compliance-Strategien vor dem Marktstart zu validieren.

Parallel dazu verschärft die EU die Cybersicherheit. Der Cyber Resilience Act verlangt robustes Schwachstellenmanagement. OpenAI hat mit seiner „Daybreak“-Plattform und GPT-5.5-Cyber ein Tool vorgestellt, das automatisch Sicherheitslücken identifiziert. Europäische Telekommunikations- und Finanzunternehmen erhalten darüber Zugang zu diesen Modellen.

Der Bedarf ist enorm: Das Bundeskriminalamt (BKA) bezifferte den Schaden durch Cyberangriffe in Deutschland 2025 auf über 200 Milliarden Euro. Fast 90 Prozent der Ransomware-Attacken trafen kleine und mittlere Unternehmen. Das Innenministerium plant daher ein neues Gesetz zur aktiven Cyberabwehr, das dem BKA Befugnisse zur Störung von Angreifer-Infrastruktur geben soll.

KI-Phishing: Die neue Bedrohung für Startups

Neben der Regulierung müssen Gründer mit einer weiteren Realität kämpfen: KI-gestützte Cyberkriminalität. Ermittler beobachten einen starken Anstieg raffinierter Phishing- und „Quishing“-Angriffe (QR-Code-Phishing). Kriminelle nutzen gestohlene persönliche Daten aus früheren Leaks, um täuschend echte Schreiben zu erstellen.

Neben den regulatorischen Hürden des AI Acts wächst die Gefahr durch hochprofessionelle Cyberangriffe, die gezielt Unternehmen ins Visier nehmen. Erfahren Sie in diesem kostenlosen E-Book, wie Sie aktuelle Bedrohungen abwenden und Ihre IT-Sicherheit ohne teure Investitionen nachhaltig stärken. Jetzt Gratis-E-Book zur Cyber-Security sichern

In der Schweiz und Deutschland warnen Behörden vor zweistufigen Angriffen: Zuerst werden Zugangsdaten via Phishing gestohlen, dann versuchen Täter, Verifizierungscodes durch Social Engineering zu erpressen. Unternehmen wie Google Cloud und Cloudflare bieten Premium-Phishing-Schutz an, der mit Echtzeit-Telemetrie und KI schädliche Hosts innerhalb von Minuten blockiert.

Ein „Cyber-Rating“ wird zunehmend zur Geschäftsvoraussetzung. Eine Analyse von Franke und Bornberg vom 12. Mai zeigt einen gereiften Markt für Cyber-Versicherungen: Über 200 Tarife stehen Gewerbekunden zur Verfügung. Erstmals erhalten Versicherer Spitzenbewertungen für ihre Deckungsqualität.

Der Fahrplan für Gründer

Das provisorische Abkommen soll nach formeller Annahme durch Rat und Parlament vor dem 2. August 2026 im Amtsblatt der EU veröffentlicht werden. Dann beginnt der Countdown für die verschiedenen Compliance-Stufen.

Startups sollten ihre Roadmap auf drei Säulen aufbauen:

1. Transparenz und Sicherheit (Ende 2026): Alle KI-generierten Inhalte mit Wasserzeichen versehen, verbotene Inhaltsfunktionen entfernen.
2. Infrastruktur und Dokumentation (August 2026 – 2027): Technische Dokumentation für Hochrisiko-Systeme erstellen, regulatorische Sandboxen nutzen.
3. Volle sektorale Compliance (2027–2028): Endgültige Zertifizierung für Standalone-Hochrisiko-Systeme und integrierte Produktanforderungen.

Die Botschaft ist klar: Compliance wird zum Wettbewerbsvorteil. Wer die neuen Fristen nutzt, kann KI-Sicherheit als Qualitätsmerkmal im globalen Markt positionieren. Wer sie ignoriert, riskiert nicht nur Bußgelder, sondern auch den Marktzugang.

de | wirtschaft | 69332751 |