Compliance-Zukunft 2027/28: Was kommt nach AI Act + NIS2

Veröffentlicht: 26. April 2026 · Letzte Aktualisierung: 2. Mai 2026· Kategorie: Übergreifend

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

2027: EU AI Act Anhang I (eingebettete KI) + GPAI-Bestand-Compliance
2028: NIS2 3-Jahres-Nachweis-Pflicht (12/2028) für wesentliche Einrichtungen
Cyber Resilience Act (CRA): Hardware/Software ab 2027 mit CE-Pflichten
Data Act + Data Governance Act: bereits in Anwendung — Auswirkungen auf B2B
Trends: Compliance as Code, KI-gestützte Audit-Automatisierung, ESG-Pflicht-Reporting

Hauptartikel: Hauptartikel: Compliance-Fristen-Roadmap — der vollständige Pillar-Artikel zum Thema.

1. AI Liability Directive (AILD)

Erwartet 2027/28 in Kraft. Beweislast-Erleichterung bei KI-Schäden für Geschädigte. Wirkt komplementär zu EU AI Act.

2. Cyber Resilience Act (CRA)

VO 2024/2847, anwendbar 11.12.2027. Cybersecurity-Anforderungen an alle Produkte mit digitalen Elementen. Kombiniert mit NIS2 + DORA.

3. EU Data Act

VO 2023/2854, anwendbar 12.09.2025 (DACH-Berichtspflichten 09/2026). Data-Sharing zwischen Geräten + Anbietern. Auswirkungen auf IoT + Cloud.

4. Digital Services Act 2.0

Erwartet ab 2027 Reform: strengere Plattform-Pflichten, Transparenz für AI-Empfehlungs-Systeme.

5. ePrivacy Verordnung (endlich?)

In Diskussion seit 2017. Erwartet 2027/28 Verabschiedung. Wird § 25 TDDDG ersetzen.

6. EU Pay Transparency Re-Evaluation

2029: erste EU-Bewertung der Effektivität der Directive 2023/970. Mögliche Verschärfungen.

Zusammenfassung

Kernpunkte dieses Artikels:

Der Compliance-Horizont 2027-2028 wird vom Cyber Resilience Act (VO (EU) 2024/2847, voll anwendbar 11.12.2027) und der AI Liability Directive dominiert.
CRA zwingt jeden Hersteller vernetzter Produkte zu Security-by-Design, SBOM und 24-monatigem Patch-Management.
Die AI Liability Directive verändert die Haftungs-Logik für KI-Einsatz fundamental — Beweislast-Erleichterung für Geschädigte.
EU Data Act (anwendbar ab 12.09.2025), DSA 2.0 und ePrivacy-Verordnung kommen 2027/28 zusätzlich auf die Roadmap.

Bauen Sie 2026 die NIS2- und EU-AI-Act-Fundamente konsequent aus — das ist die beste Vorbereitung auf CRA und AILD, statt bis zur Frist zu warten.

Häufig gestellte Fragen

Was ist der Cyber Resilience Act und wann muss ich umsetzen?

VO (EU) 2024/2847, in Kraft seit 11.12.2024, voll anwendbar **11.12.2027**. Adressiert: alle Hersteller von 'Produkten mit digitalen Elementen' — Software, Hardware mit Software, IoT-Geräte. KMU-Relevanz: hoch wenn Sie Software oder Geräte herstellen/vertreiben. Pflichten: Cybersecurity-by-Design, regelmäßige Vulnerability-Updates während Produkt-Lifecycle, Vorfall-Meldung 24h, Konformitätsbewertung + CE-Kennzeichnung. Vorbereitung: SBOM (Software Bill of Materials) implementieren, Vulnerability-Management-Prozess, Patch-Management-Pflicht 24 Monate nach Inverkehrbringen. Verstoß: bis 15 Mio. EUR oder 2.5% Weltumsatz.

Was bringt die AI Liability Directive 2027?

Erwartet 2027/28: Beweislast-Erleichterung für Geschädigte bei KI-verursachten Schäden. Bisher: Geschädigter muss Verschulden + Kausalität beweisen — bei undurchsichtigen KI-Systemen praktisch unmöglich. AILD-Effekt: Vermutung der Kausalität bei Verstößen gegen EU AI Act + Offenlegungspflicht für Anbieter zu Beweismitteln. Auswirkung auf KMU: 1) Erhöhtes Schadenersatzrisiko für KI-Anbieter UND -Betreiber. 2) D&O-Versicherung-Ausweitung erforderlich. 3) Bessere Doku notwendig (FRIA, Logging Art. 12 EU AI Act). 4) Versicherungs-Markt für 'KI-Haftpflicht' entwickelt sich. Vorbereitung: KI-Inventar pflegen, FRIA-Prozesse etablieren, Versicherungs-Berater einbinden.

Wie wirkt sich der EU Data Act auf mein Unternehmen aus?

VO (EU) 2023/2854, anwendbar seit 12.09.2025, DACH-Berichtspflichten ab 09/2026. Hauptbetroffen: IoT-Hersteller, Cloud-Anbieter, Daten-Mittler. KMU-Relevanz mittelmäßig — aber Sie sollten als 'Datennutzer' wissen: 1) Nutzer von IoT-Daten haben Recht auf Zugang + Übertragbarkeit (analog DSGVO Art. 20 für Maschinendaten). 2) B2B-Datentransfers werden erleichtert. 3) Cloud-Switching wird vereinfacht (Anti-Lock-in-Bestimmungen). 4) Datenwirtschaft-Vertragsklauseln-Pflicht ab 250 MA. Vorbereitung: AVV-Vorlagen prüfen, Cloud-Verträge auf Switch-Klauseln aktualisieren, Daten-Governance auf Maschinendaten ausweiten.

Was kommt nach EU Pay Transparency 2026?

Erwartete Folge-Welle 2027-2029: 1) **EU-weite Mindestlohn-Indexierung** (ggf. EU-RL 2027). 2) **Beförderungs-Transparenz** — Kriterien für Beförderungen müssen transparent kommuniziert werden. 3) **Bonus-/Sonderzahlungs-Transparenz** — Differenzen zwischen Geschlecht/Demografie öffentlich. 4) **Pflicht-Mediation** bei festgestelltem Pay-Gap >5%. 5) **EU-weite Frauenquote für Aufsichtsräte** (RL 2022/2381 wirkt schon). Außerdem: erste Bewertung der EU Pay Transparency 2029 möglicherweise Verschärfung. Vorbereitung: Pay-Equity-Audit-Tooling implementieren, Job-Evaluation-Methodik formalisieren, transparente Beförderungs-Kriterien dokumentieren.

Quellen

Verordnung (EU) 2024/2847 (Cyber Resilience Act, anwendbar 11.12.2027), eur-lex.europa.eu (CRA)
Verordnung (EU) 2023/2854 (Data Act, anwendbar 12.09.2025), eur-lex.europa.eu (Data Act)
Verordnung (EU) 2024/1689 (KI-Verordnung), Stufenplan Art. 113, eur-lex.europa.eu (KI-VO)
BSI-Gesetz 2025 (BSIG, konsolidiert), gesetze-im-internet.de/bsig_2025
EU-Kommission, Digital Omnibus 19.11.2025 (Trilog läuft, Stand 02.05.2026 nicht beschlossen), commission.europa.eu

Stand: 02.05.2026

Werkzeuge & Selbsttests

Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. Compliance-Fristen-Kalender 2026-2028 Alle relevanten Compliance-Deadlines (DSGVO, AI Act, NIS2, HinSchG, AGG).