Cyber Resilience Act, AI Act, NIS2 oder CBAM: Seit Anfang 2026 greifen zahlreiche neue EU-Vorschriften für Unternehmen. Einige gelten bereits, andere folgen im Laufe des Jahres und auch 2027 steht schon im Fokus der Regulierung.
Manfred GodekManfredGodek
Neue EU-Regeln wie Cyber Resilience Act, AI Act oder Data Act greifen zunehmend in Produktentwicklung, IT-Sicherheit und Lieferketten von Industrieunternehmen ein.Weinzierl - KI-generiert
Anzeige
Summary:
Mehrere neue EU-Regeln treten 2026 und 2027 in Kraft und betreffen Industrieunternehmen direkt. Dazu gehören Cyber Resilience Act, AI Act, Data Act, NIS2 sowie Nachhaltigkeits- und Haftungsvorschriften. Unternehmen müssen ihre Compliance-Strukturen in Entwicklung, IT-Sicherheit und Lieferketten anpassen.
Interessant: Neben der Einführung neuer Regularien diskutiert die EU gleichzeitig über Entlastungen für Unternehmen. Diese Mischung aus Reglementierung
und Deregulierung erschwert Planungen und Investitionsentscheidungen. Viele der
neuen Vorschriften greifen direkt in Entwicklung, Produktion oder digitale
Infrastruktur ein. Wer Maschinen, Anlagen oder andere Produkte mit Software
entwickelt, internationale Lieferketten nutzt oder digitale Dienste betreibt,
muss sich mit einer ganzen Reihe neuer Vorgaben befassen.
Viele dieser
Regelwerke greifen ineinander. Digitale Sicherheit, Datenzugang, Produkthaftung
und Nachhaltigkeitsanforderungen betreffen häufig dieselben Produkte oder
Lieferketten. Deshalb müssen Unternehmen nicht nur einzelne Vorschriften
umsetzen, sondern ihre Compliance-Strukturen insgesamt weiterentwickeln – von
der Produktentwicklung über IT-Sicherheit bis zum Lieferkettenmanagement.
Mit der
Umsetzung der NIS-2-Richtlinie (EU 2022/2555) gelten seit Ende 2025
deutlich strengere Anforderungen an das Cyber-Risikomanagement. Erfasst werden nicht
mehr nur klassische Betreiber kritischer Infrastrukturen, sondern auch n
wesentlicher Dienste nun auch Anbieter digitaler Dienste, die zuvor nicht unter
die Regelungen fielen, etwa Cloud-Dienste, Rechenzentren oder
Online-Marktplätze. Sicherheitsmaßnahmen müssen insgesamt verstärkt, diese Maßnahmen dokumentiert und IT-Zwischenfälle
innerhalb kurzer Fristen gemeldet werden. Gilt für: Betreiber
wesentlicher und wichtiger Einrichtungen, vor allem mittlere und große
Unternehmen in kritischen Sektoren (z. B. Energie, Verkehr, Gesundheit,
digitale Infrastruktur).
Anzeige
Noch stärker
greift der Cyber Resilience Act (CRA) (EU 2024/2847) in die
Produktentwicklung ein. Hersteller müssen künftig sicherstellen, dass ihre
Produkte über den gesamten Lebenszyklus hinweg sicher betrieben werden können.
Der CRA ist zwar schon seit 2024 in Kraft. Aber erst ab September 2026 gelten erste
Pflichten, etwa Meldepflichten für Sicherheitsvorfälle, und ab 2027 die
komplette Verordnung. Ab dem 11. Juni 2026 kann eine
Konformitätsbewertungsstelle („Notified Body“) prüfen, ob ein Produkt die
Sicherheitsanforderungen des Cyber Resilience Act erfüllt und damit die
Voraussetzungen für die CE-Kennzeichnung vorliegen. Gilt
für: Hersteller, Importeure und Händler von Produkten mit digitalen
Elementen (z. B. Software, IoT-Geräte, Maschinen mit digitaler Steuerung).
KI & Datenwirtschaft (AI Act & Data Act)
Fokus: „Access by Design“ und Hochrisiko-Systeme
Die EU reguliert den Umgang mit Daten und Künstlicher Intelligenz neu, um Transparenz und Nutzerrechte zu stärken.
AI Act (ab August 2026): Umfangreiche Pflichten für Hochrisiko-KI-Systeme, inklusive Risikomanagement, Dokumentation von Trainingsdaten und Gewährleistung menschlicher Kontrolle.
Data Act (ab September 2026): Vernetzte Produkte (IoT, Maschinen, Fahrzeuge) müssen nach dem Prinzip „Access by Design“ konstruiert sein, um Nutzern den technischen Zugang zu erzeugten Daten zu ermöglichen.
Kennzeichnungspflicht: KI-generierte Inhalte müssen klar als solche erkennbar sein
Maschinenverordnung rückt näher
Die neue EU-Maschinenverordnung (EU 2023/1230)
ersetzt schrittweise die bisherige Maschinenrichtlinie und gilt ab 2027
verbindlich. Es steigen die Anforderungen an die technische Dokumentation und
Risikobewertung. Zudem wird auf die zunehmende Digitalisierung von Maschinen
Rechnung fokussiert. Die Verordnung enthält unter anderem neue Anforderungen an
Software- und Netzwerk-Sicherheit, etwa bei Updates sowie an autonome
Funktionen und an die Interaktion zwischen Mensch und Maschine. Für Unternehmen mit
komplexen Maschinen oder automatisierten Produktionsanlagen kann dies dazu
führen, dass bestehende Konformitätsbewertungen überarbeitet werden müssen.
Gilt
für:
Hersteller, Importeure und Händler von Maschinen und sicherheitsrelevanten
Maschinenkomponenten.
Mit der neuen EU-Maschinenverordnung und der novellierten Produkthaftungsrichtlinie passt die EU den Rechtsrahmen an die Digitalisierung an.
Maschinenverordnung (ab 2027): Verbindliche Anforderungen an Software-Updates, autonome Funktionen und die Mensch-Maschine-Interaktion.
Erweiterte Haftung: Die Produkthaftung gilt nun explizit auch für Software, KI-Systeme und fehlerhafte Updates,
Offenlegungspflicht: Hersteller können gerichtlich verpflichtet werden, technische Unterlagen offenzulegen, wenn ein Produkt plausibel als Schadensursache gilt.
Recht auf Reparatur: Hersteller müssen für bestimmte Gruppen Ersatzteile vorhalten und Reparaturen langfristig ermöglichen.
Datenzugang und KI unter Regulierung
Anzeige
Für den Umgang mit Daten
und künstlicher Intelligenz gibt es ebenfalls neue Pflichten. Der EU Data
Act (EU 2023/2854) verpflichtet Hersteller vernetzter Produkte, Nutzern
Zugang zu den von ihren Geräten erzeugten Daten zu ermöglichen. Betroffen sind
auch viele Industrieprodukte wie Maschinen, Fahrzeuge oder IoT-Geräte. Ab
September 2026 müssen neue Produkte bereits so konstruiert sein, dass dieser
Datenzugang technisch möglich ist („access by design“). Gilt für:
Hersteller vernetzter Produkte, Anbieter verbundener digitaler Dienste sowie
Dateninhaber. Parallel dazu greift der AI Act (EU 2024/1689) mit ab
August 2026 umfangreichen Anforderungen für sogenannte Hochrisiko-KI-Systeme. Transparenz
ist essenziell: KI-generierte Inhalte müssen klar gekennzeichnet sein, und die
Funktionsweise von KI-Systemen muss erklärbar sein. Anbieter werden
verpflichtet, ein Risikomanagement zu etablieren, Trainingsdaten zu
dokumentieren und sicherzustellen, dass menschliche Kontrolle über
KI-Entscheidungen möglich bleibt. Gilt
für: Anbieter von KI-Systemen sowie Unternehmen, die KI-Systeme einsetzen
oder in Verkehr bringen.
Neben der Digitalisierung
bleibt Nachhaltigkeit ein zentraler Regulierungstreiber. Am 1. Januar 2026 ist
der CO₂-Grenzausgleichsmechanismus CBAM (EU 2023/956) in eine neue Phase
gestartet. Für bestimmte emissionsintensive Importgüter müssen Unternehmen
künftig CO₂-Zertifikate erwerben. Ziel ist es, Wettbewerbsverzerrungen durch
unterschiedliche Klimastandards zu vermeiden. Auch Berichtspflichten nehmen zu.
Gilt für: Unternehmen, die bestimmte CO₂-intensive Güter aus
Drittstaaten in die EU importieren (z. B. Stahl, Zement, Aluminium, Dünger).
Im Rahmen der
Corporate Sustainability Reporting Directive (CSRD) (EU 2022/2464) müssen
Unternehmen erstmals über das Geschäftsjahr 2025 berichten. Um sogenanntes Greenwashing
zu verhindern, dürfen Umweltversprechen nur noch abgegeben werden, wenn sie
nachprüfbar belegt sind. Gilt für: große
Unternehmen und kapitalmarktorientierte Unternehmen mit mehr als 1.000
Beschäftigte. Nachhaltigkeitssiegel müssen nach der EmpCo-Richtlinie („Empowering
Consumers for the Green Transition“) (EU 2024/825) auf einem anerkannten
Zertifizierungssystem beruhen oder von staatlichen Stellen festgesetzt sein.
Einen Gesetzentwurf zur Änderung des Gesetzes gegen den unlauteren Wettbewerb
hat die Bundesregierung bereits vorgelegt. Gilt für: Unternehmen,
die mit Umwelt- oder Nachhaltigkeitsaussagen werben.
Anzeige
Cybersicherheit & IT-Compliance (NIS2 & CRA)
Fokus: Produktsicherheit und Infrastruktur-Schutz
Ab 2026 verschärfen sich die Anforderungen an die digitale Belastbarkeit drastisch. Während die NIS2-Richtlinie bereits seit Ende 2025 strengere Risikomanagement- und Meldepflichten für mittlere sowie große Unternehmen in kritischen Sektoren (z. B. Energie, Verkehr, Gesundheit) vorschreibt , rückt der Cyber Resilience Act (CRA) die Produktentwicklung in den Fokus.
September 2026: Erste Meldepflichten für Sicherheitsvorfälle unter dem CRA treten in Kraft.
Ab 11. Juni 2026: Konformitätsbewertungsstellen („Notified Bodies“) können Produkte für die CE-Kennzeichnung nach CRA-Standards prüfen.
Betroffene: Hersteller von Software, IoT-Geräten und Maschinen mit digitaler Steuerung.
Produkthaftung
und Reparaturpflicht
Die neue EU-Produkthaftungsrichtlinie
(EU 2024/2853), die bis Dezember 2026 umgesetzt werden muss, erweitert den
Haftungsrahmen deutlich. Sie gilt künftig ausdrücklich auch für digitale
Produkte, Software oder KI-Systeme einschließlich Software-Updates. Wenn ein
Geschädigter plausibel darlegt, dass ein Produkt einen Schaden verursacht haben
könnte, kann ein Gericht den Hersteller verpflichten, relevante technische
Unterlagen offenzulegen. Parallel dazu wird das sogenannte Recht auf Reparatur
gestärkt. Hersteller bestimmter Produktgruppen müssen künftig Ersatzteile
bereitstellen und Reparaturen über längere Zeiträume ermöglichen. Gilt für: Hersteller,
Importeure und Händler von Produkten einschließlich Software und KI-Systemen.
Regulierung
wird zur Managementaufgabe
Anzeige
Gleichzeitig verspricht
die EU, Unternehmen an anderer Stelle regulatorisch zu entlasten und schließt
Vereinfachungen bereits beschlossener Regeln nicht aus. Solange aber unklar
ist, ob einzelne Vorgaben verschoben werden, müssen sich Unternehmen
vorsorglich auf die ursprünglich vorgesehenen Termine einstellen. Für viele
Unternehmen wird Regulierung damit zu einer strategischen Managementaufgabe.
Wer frühzeitig analysiert, welche Vorgaben tatsächlich relevant sind, kann neue
Anforderungen in bestehende Prozesse integrieren, bevor sie zum operativen
Problem werden.
Nachhaltigkeit & Lieferketten (CBAM & CSRD)
Fokus: CO₂-Importe und Greenwashing-Schutz
Nachhaltigkeit wird durch neue Berichts- und Grenzausgleichspflichten zur harten Compliance-Vorgabe.
CBAM (seit Januar 2026): Importeure von emissionsintensiven Gütern wie Stahl, Aluminium oder Zement müssen CO₂-Zertifikate erwerben.
CSRD-Berichtspflicht: Große Unternehmen (> 1.000 Beschäftigte) müssen erstmals für das Geschäftsjahr 2025 umfassende Nachhaltigkeitsberichte vorlegen.
Anti-Greenwashing (EmpCo-Richtlinie): Umweltbezogene Werbeaussagen sind nur noch zulässig, wenn sie auf anerkannten Zertifizierungssystemen basieren oder staatlich festgelegt sind.
Welche EU-Regulierung betrifft Unternehmen ab 2026 besonders stark? – Zu den wichtigsten Regelwerken zählen Cyber Resilience Act, AI Act, Data Act, NIS2-Richtlinie, CBAM sowie die Maschinenverordnung.
• Warum wird die EU-Regulierung für Unternehmen komplexer? – Viele neue Regelwerke greifen ineinander und betreffen gleichzeitig IT-Sicherheit, Produktentwicklung, Datenzugang und Lieferketten.
• Welche Rolle spielt die EU-Regulierung bei KI-Systemen? – Der AI Act führt neue Anforderungen für Hochrisiko-KI ein, darunter Transparenzpflichten, Risikomanagement und menschliche Kontrolle über KI-Entscheidungen.
• Wie verändert die EU-Regulierung die industrielle Produktentwicklung? – Vorgaben wie der Cyber Resilience Act oder der Data Act verlangen, dass Sicherheitsanforderungen und Datenzugang bereits bei der Produktentwicklung berücksichtigt werden.
