EU AI Act: Neue Fristen für Hochrisiko-KI beschlossen

Digital Omnibus Deal: Zeitgewinn mit Tücken

Nach zähen Verhandlungen in Brüssel haben sich die EU-Mitgliedstaaten Mitte Mai auf den sogenannten Digital Omnibus Deal geeinigt. Das Paket bringt vor allem für Unternehmen mit Hochrisiko-KI eine deutliche Verschiebung der Fristen. Statt wie ursprünglich geplant im August 2026 müssen betroffene Organisationen nun erst bis zum 2. Dezember 2027 die vollständige Konformität nachweisen – sofern ihre Systeme unter Anhang III der EU-KI-Verordnung fallen.

Angesichts der neuen Fristen und strengen Regeln der EU-KI-Verordnung benötigen Unternehmen jetzt einen klaren Fahrplan für die Umsetzung. Dieser kompakte Leitfaden erklärt Ihnen die wichtigsten Risikoklassen und Pflichten des AI Acts auf einen Blick. EU AI Act Umsetzungsleitfaden jetzt kostenlos herunterladen

Noch mehr Zeit haben Hersteller, deren KI in bereits regulierte Produkte integriert ist: Für sie gilt der 2. August 2028 als Stichtag.

Doch der Aufschub ist kein Freifahrtschein. Bereits am 2. August 2026 treten neue Transparenzpflichten für generative KI in Kraft – zunächst für neu entwickelte Modelle. Bestehende Systeme müssen bis zum 2. Dezember 2026 nachgerüstet sein, inklusive verpflichtender Wasserzeichen für KI-generierte Inhalte.

Der TÜV-Verband warnt vor einer Zersplitterung des Rechtsraums. Branchenausnahmen könnten die Arbeit von Informationssicherheitsbeauftragten (ISBs) erheblich erschweren, insbesondere bei grenzüberschreitenden Geschäften.

Rekordstrafe als Warnsignal

Dass die Aufsichtsbehörden es ernst meinen, zeigt ein spektakulärer Fall: Gegen den Anbieter Yango verhängten die Behörden im Mai 2026 ein Bußgeld von 100 Millionen Euro. Grund waren unerlaubte Datentransfers nach Russland. Der Fall macht deutlich: Die EU schöpft den Strafrahmen des AI Acts aus – maximal 35 Millionen Euro oder sieben Prozent des globalen Jahresumsatzes.

Vom Firewall-Wächter zum Compliance-Orchestrator

Die Anforderungen an ISBs haben sich fundamental gewandelt. Wer heute in der Industrie führende Positionen besetzen will, braucht mehr als klassisches IT-Wissen. Siemens und Siemens Energy suchen derzeit Fachkräfte mit über acht Jahren Erfahrung in der Sicherheit operationeller Technologie (OT). Gefragt sind Zertifikate wie der Global Industrial Cybersecurity Professional (GICSP) und Kenntnisse der Norm IEC 62443 für industrielle Kommunikationsnetze.

Hinzu kommt eine neue Herausforderung: Shadow AI – die unautorisierte Nutzung von KI-Tools durch Mitarbeiter. Sicherheitsforscher von Mimecast registrierten zuletzt über 10.000 unerlaubte Datenextraktionsversuche pro Stunde in ihrem Kundenstamm. Besonders alarmierend: 43 Prozent dieser Vorfälle betrafen das Hochladen proprietären Quellcodes in externe KI-Systeme.

BSI warnt vor kritischen Sicherheitslücken

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlug Mitte Mai 2026 gleich mehrfach Alarm. Zu den akuten Bedrohungen zählen:

• Eine schwerwiegende Schwachstelle in Android 14 bis 16, die ein sofortiges Update erforderte
• Fortgesetzte Angriffe auf Ivanti Endpoint Manager Mobile
• Neue Sicherheitslücken in der BitLocker-Verschlüsselung bei physischem Gerätezugriff
• Der Linux-Kernel-Fehler „Dirty Frag", der unbefugten Root-Zugriff ermöglicht

Gleichzeitig zertifizierte das BSI erstmals quantensichere Netzwerkverschlüsselung – ein Meilenstein für die Zukunft der IT-Sicherheit.

Die aktuellen Warnungen des BSI verdeutlichen, wie verwundbar moderne Mobilgeräte gegen gezielte Hackerangriffe geworden sind. Mit fünf einfachen, sofort umsetzbaren Maßnahmen sichern Sie Ihr Android-Smartphone effektiv gegen Viren und Datenmissbrauch ab. Gratis-Ratgeber: 5 Schutzmaßnahmen für Ihr Smartphone

Cyber-Risiko wird Chefsache

Die Unternehmensführung hat die strategische Bedeutung von Cybersicherheit erkannt. Eine Studie von Zscaler vom März 2026 zeigt: 79 Prozent der S&P-500-Unternehmen behandeln Cyberrisiken in ihren Prüfungsausschüssen – ein deutlicher Anstieg gegenüber 71,2 Prozent im Jahr 2024.

Doch die Kehrseite: Nur wenige Unternehmen haben spezialisierte Technologie- oder Cyber-Ausschüsse eingerichtet. Sicherheit wird oft noch als Finanzfrage betrachtet, nicht als Kernaufgabe operativer Resilienz.

Besonders der deutsche Mittelstand hinkt hinterher. Schätzungen zufolge betreiben rund 70 Prozent der deutschen Unternehmen ihre ERP-Systeme nicht DSGVO-konform. Häufige Mängel: falsche Serverstandorte, fehlende TLS-1.3-Verschlüsselung oder unzureichende Löschkonzepte gemäß Artikel 17 der Datenschutz-Grundverordnung.

KI-Produktivität versus Sicherheitsrisiko

Die Produktivitätsgewinne durch KI sind unbestreitbar. Eine Forsa-Studie im Auftrag des TÜV-Verbands ermittelte: 54 Prozent der KI-nutzenden Unternehmen melden deutliche Effizienzsteigerungen. Gleichzeitig klafft eine wachsende KI-Kluft: 72 Prozent der befragten Firmen sehen einen dringenden Bedarf an anwendungsorientiertem KI-Wissen.

Für ISBs bedeutet das: Sie müssen die Lücke zwischen Produktivität und Sicherheit schließen – und sicherstellen, dass neue Tools nicht zu Einfallstoren werden.

Flickenteppich statt Bundesgesetz

Auch jenseits der EU wird die Regulierungslandschaft unübersichtlicher. In den USA verabschiedeten 2025 acht Bundesstaaten neue Datenschutzgesetze – darunter Delaware, Iowa, Maryland, Minnesota und Tennessee. Jeder Staat setzt eigene Akzente: Maryland verbietet etwa Geofencing nahe medizinischer Einrichtungen, Minnesota verlangt detaillierte Dateninventare.

Im Frühjahr 2026 kam Colorados KI-Transparenzgesetz hinzu, das im August 2026 in Kraft tritt. Ein einheitliches US-Bundesdatenschutzgesetz rückt damit in weite Ferne. Unternehmen bleibt nur der „höchste gemeinsame Nenner" als Compliance-Strategie.

Die Folgen von Nachlässigkeit sind dramatisch: 81 Prozent der deutschen Unternehmen wurden 2025 Opfer von Cyberangriffen. Der Informationssicherheitsbeauftragte ist längst nicht mehr nur technischer Wachposten – er ist zum strategischen Risikomanager geworden.

Ausblick: Krypto-Agilität und autonome Systeme

Bis 2027 zeichnen sich zwei zentrale Themen ab: Krypto-Agilität – die Fähigkeit, Verschlüsselung schnell an neue Bedrohungen anzupassen – und Agentic AI, also autonome Systeme, die komplexe Aufgaben mit minimaler menschlicher Kontrolle erledigen.

Die verlängerten Fristen des EU AI Acts bieten eine Chance: Unternehmen können jetzt sichere Entwicklungsprozesse für KI aufbauen. Wer die Zeit nutzt, um über reine Compliance hinauszugehen und echte operative Resilienz aufzubauen, wird für die nächste Bedrohungsgeneration gewappnet sein – von Blockchain-Angriffen bis zu großflächigen Cloud-Ausfällen, wie sie zuletzt Rechenzentren im Nahen Osten erschütterten.

Die Grenzen zwischen menschlicher und maschineller Aktivität verschwimmen. Der ISB der Zukunft wird daran gemessen, ob er Sicherheit in dieser hybriden Welt gewährleisten kann.

de | wirtschaft | 69353654 |