EU verschärft KI-Regeln: Hohe Strafen für Unternehmen ab August

Die Europäische Kommission hat neue Leitlinien für Hochrisiko-KI vorgelegt – und der Druck auf Unternehmen wächst. Wer nicht rechtzeitig handelt, dem drohen Millionenstrafen.

Die neuen Vorgaben kommen zu einem brisanten Zeitpunkt. Denn während die digitale Transformation in Europa auf Hochtouren läuft, klafft die Sicherheitslücke immer weiter auf. Aktuelle Studien zeigen: Jedes achte Unternehmen in Österreich wurde bereits erfolgreich angegriffen. Besonders betroffen: der deutsche Industriesektor.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Gratis Cyber-Security-Leitfaden jetzt herunterladen

Die neue Bedrohungslage: KI-gesteuerte Angriffe nehmen zu

Eine Erhebung von KPMG unter knapp 1.400 österreichischen Firmen offenbart ein düsteres Bild. Ein Viertel der Unternehmen meldete einen Anstieg von Cyberangriffen. Malware (78 Prozent) und Phishing (69 Prozent) bleiben die Einfallstore Nummer eins. Doch die Täter werden raffinierter.

Besonders perfide: CEO-Fraud – Angreifer geben sich als Chef aus – wurde in 57 Prozent der Fälle registriert. Schockanrufe folgen mit 52 Prozent dicht dahinter. Die Hälfte aller Attacken geht auf das Konto organisierter Kriminalität, zehn Prozent stehen im Verdacht staatlicher Steuerung.

Die größte Sorge der Unternehmen: KI-gestützte Angriffe. Die Hälfte der Befragten sieht darin die größte Herausforderung. 61 Prozent berichten von Sicherheitsvorfällen, die direkt mit dem internen Einsatz Künstlicher Intelligenz zusammenhängen.

Deutsche Industrie besonders verwundbar

Der Industriesektor trifft es härter als andere Branchen. Eine Untersuchung von Rockwell Automation zeigt: 60 Prozent der deutschen Hersteller wurden im vergangenen Jahr Opfer mindestens eines Cyberangriffs – der Spitzenwert unter den großen europäischen Volkswirtschaften.

Dabei sehen 87 Prozent der Unternehmen die digitale Transformation als unverzichtbar an. Doch die Sicherheitsmaßnahmen halten mit der Entwicklung nicht Schritt. Aktuelle Beispiele wie die Ransomware-Attacke auf Foxconn oder der Trellix-Vorfall Mitte April zeigen: Die Bedrohung ist real und allgegenwärtig.

Neue EU-Leitlinien: Was Unternehmen jetzt wissen müssen

Die am 20. Mai veröffentlichten Leitlinien der EU-Kommission bringen Klarheit – aber auch neue Pflichten. Sie definieren erstmals konkret, welche KI-Systeme als hochriskant gelten. Ein Beispiel: Die Emotionserkennung per Smartwatch fällt nun explizit unter diese Kategorie.

Der sogenannte „KI-Omnibus" vom 7. Mai verschob zwar einige Fristen – etwa für Hochrisiko-Produkte auf August 2028. Doch die Kernpflichten bleiben bestehen. Bereits ab 2. August 2026 gelten Transparenzregeln: Chatbots müssen gekennzeichnet werden, Deepfakes und KI-generierte Inhalte sind klar zu deklarieren.

Die neuen EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihre Rechts- und IT-Abteilung darauf vorbereitet? Ein kostenloser Umsetzungsleitfaden zum EU AI Act zeigt Ihnen alle Risikoklassen, Pflichten und Fristen im kompakten Überblick. Kostenloses E-Book zum EU AI Act sichern

Die Strafen für Verstöße sind happig. Bei verbotenen Praktiken drohen bis zu 35 Millionen Euro oder sieben Prozent des globalen Jahresumsatzes. Für Transparenzverstöße sind es immerhin noch 15 Millionen Euro oder drei Prozent des Umsatzes.

Doch die Unternehmen sind schlecht vorbereitet. Rund 78 Prozent der europäischen Firmen haben keine formale KI-Governance-Struktur. 83 Prozent führen kein Pflichtregister ihrer KI-Systeme.

NIS-2: Nur jedes dritte Unternehmen ist compliant

Neben der KI-Regulierung bereitet die Umsetzung der NIS-2-Richtlinie weiterhin Kopfzerbrechen. Obwohl das deutsche Umsetzungsgesetz seit Dezember 2025 in Kraft ist, offenbarte die Registrierungsfrist beim BSI am 6. März ein erschreckendes Bild: Nur 38 Prozent der rund 29.000 betroffenen Unternehmen hatten sich fristgerecht gemeldet.

Die Konsequenzen sind drastisch. Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des Umsatzes drohen. Neu ist die persönliche Haftung für Vorstände: Sie müssen Sicherheitsschulungen absolvieren und selbst für die Meldung von Vorfällen sorgen. Die Frist für die Meldung schwerwiegender Incidents: 24 Stunden.

Auch die Datenschutzbehörden verschärfen den Kurs. Die niederländische Aufsicht verhängte kürzlich eine Million Euro Strafe gegen Yango wegen unerlaubter Datentransfers nach Russland. Der Europäische Gerichtshof urteilte zudem am 19. März: Anfragen nach der DSGVO können als Rechtsmissbrauch gelten, wenn sie nur der Schadensersatzgenerierung dienen – das sogenannte „DSGVO-Hopping".

Mittelstand zwischen Bürokratie und Chancen

Besonders kleine und mittlere Unternehmen kämpfen mit der neuen Regulierung. Auf einer Konferenz in Düsseldorf Mitte Mai wurde deutlich: Während Großkonzerne zu 57 Prozent KI einsetzen, tun dies nur 25 Prozent der kleineren Firmen. Die Sorge vor überbordender Bürokratie ist groß.

Doch es gibt auch positive Beispiele. Ein Mittelständler mit 300 Mitarbeitern spart durch KI jährlich 70.000 Euro ein – bei Kosten von nur 20.000 Euro. Die Botschaft: Wer sich frühzeitig mit den neuen Regeln auseinandersetzt, kann die Compliance-Pflicht in einen Wettbewerbsvorteil verwandeln.

Ausblick: Die Uhr tickt

Die kommenden Monate werden entscheidend. Nach den Transparenzpflichten im August 2026 folgen die vollständigen Regeln für Hochrisiko-KI-Systeme Anfang Dezember 2027. Die Bundesnetzagentur wird die Einhaltung aktiv überwachen.

Für viele Unternehmen rückt die Integration von Sicherheitslösungen in den Fokus. Neue, KI-gesteuerte Systeme versprechen, Reaktionszeiten von Tagen auf Minuten zu verkürzen. IT-Dienstleister schnüren zudem modulare Sicherheitspakete, die auch kleineren Firmen die Einhaltung von NIS-2 und DSGVO ermöglichen – ohne Milliarden-Infrastruktur.

Eines ist klar: Wer jetzt handelt, kann aus der Not eine Tugend machen. Denn wer nachweisen kann, dass er die neuen Regeln ernst nimmt, wird sich im Wettbewerb einen entscheidenden Vorteil verschaffen.

de | wirtschaft | 69389473 |