Compliance-Fristen 2026-2027
Der Compliance-Fristen-Kalender 2026-2027 zeigt alle Deadlines für AI Act, NIS2, DORA, CRA und DSGVO auf einen Blick. Damit sehen Sie sofort, welche Termine bereits gelten, welche Stichtage 2026 und 2027 operativ wichtig werden und warum die KI-Kompetenz nach Art. 4 nicht mehr aufgeschoben werden sollte.
Chronologischer Überblick
Letzte Aktualisierung: 23. März 2026
Dieser Kalender bündelt die belastbaren Stichtage aus Art. 113 AI Act, der DORA-Verordnung, der NIS2-Richtlinie und dem Cyber Resilience Act. DSGVO-Pflichten laufen parallel weiter, haben für 2026 bis 2027 aber keinen neuen EU-weiten Einführungsstichtag wie die hier aufgeführten Regime.
DORA, Verordnung (EU) 2022/2554
Seit dem 17. Januar 2025 müssen Banken, Versicherer, Wertpapierhäuser und andere Finanzunternehmen ihre digitale operationelle Resilienz nach DORA organisieren. Das betrifft unter anderem ICT-Risikomanagement, Incident Reporting, Tests und das Management kritischer ICT-Drittdienstleister.
AI Act, Art. 4, Art. 5 und Art. 113 EU-VO 2024/1689
Seit dem 2. Februar 2025 gelten sowohl die Pflicht zur KI-Kompetenz nach Art. 4 als auch die Verbote nach Art. 5. Unternehmen müssen also schon heute Schulung, Leitplanken und Eskalationswege für den KI-Einsatz dokumentierbar aufsetzen.
AI Act, Kapitel V und Art. 113 EU-VO 2024/1689
Seit dem 2. August 2025 gelten die Regeln für General-Purpose-AI-Modelle. Für viele Unternehmen ist das vor allem relevant, wenn sie Modelle entwickeln, vertreiben oder tief in eigene Produkte integrieren.
NIS2-Richtlinie, Art. 41 Richtlinie (EU) 2022/2555
Die NIS2-Richtlinie musste bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Für Deutschland ist deshalb nicht ein frei wählbarer Termin in 2026 entscheidend, sondern die Frage, ab wann Ihr Unternehmen nach deutschem Umsetzungsrecht erfasst ist und welche technischen sowie organisatorischen Nachweise fehlen.
CRA, Kapitel IV und Art. 71 EU-VO 2024/2847
Ab dem 11. Juni 2026 gelten im Cyber Resilience Act bereits die Regeln zur Benennung von Konformitätsbewertungsstellen. Für Hersteller ist das der operative Startpunkt, um Zertifizierungs- und Nachweiswege vorzubereiten.
AI Act, Art. 6 Abs. 2, Art. 8 bis 15, Art. 50 und Art. 113
Ab dem 2. August 2026 greifen insbesondere die Pflichten für Hochrisiko-KI nach Anhang III sowie die Transparenzpflichten nach Art. 50. Wer KI in HR, kritischer Infrastruktur, Bildung, Bonitätsprüfung oder vergleichbaren Risikobereichen einsetzt, sollte lange vorher Prozesse, Dokumentation und Schulung ausrollen.
CRA, Art. 14 und Art. 71 EU-VO 2024/2847
Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle nach dem CRA melden. Das ist besonders für Software-Anbieter, IoT-Hersteller und Managed-Service-Modelle relevant.
AI Act, Art. 6 Abs. 1 und Art. 113 EU-VO 2024/1689
Ab dem 2. August 2027 werden die AI-Act-Pflichten auch für bestimmte KI-Systeme als Sicherheitskomponenten regulierter Produkte nach Anhang I anwendbar. Das betrifft vor allem Hersteller mit starkem Produkt- und Konformitätsbezug.
CRA, Art. 71 EU-VO 2024/2847
Ab dem 11. Dezember 2027 gilt der Cyber Resilience Act vollständig. Hersteller und Importeure digitaler Produkte müssen dann das gesamte Sicherheits- und Schwachstellenmanagement in ihre Produkt- und Update-Prozesse integriert haben.
Fristenübersicht als Tabelle
Die Tabelle verdichtet die operative Frage: Was gilt bereits, was kommt 2026 oder 2027 und welche Teams sollten jetzt aktiv werden?
| Datum | Regime | Pflicht | Priorität |
|---|---|---|---|
| 17. Januar 2025 | DORA, Verordnung (EU) 2022/2554 | DORA gilt für den Finanzsektor | Sofort prüfen |
| 2. Februar 2025 | AI Act, Art. 4, Art. 5 und Art. 113 EU-VO 2024/1689 | AI Act Art. 4 und Art. 5 sind anwendbar | Sofort prüfen |
| 2. August 2025 | AI Act, Kapitel V und Art. 113 EU-VO 2024/1689 | AI Act GPAI-Pflichten greifen | Sofort prüfen |
| EU-Stichtag 17. Oktober 2024 | NIS2-Richtlinie, Art. 41 Richtlinie (EU) 2022/2555 | NIS2 musste auf nationaler Ebene umgesetzt werden | Sofort prüfen |
| 11. Juni 2026 | CRA, Kapitel IV und Art. 71 EU-VO 2024/2847 | CRA-Kapitel IV startet | Vorbereiten |
| 2. August 2026 | AI Act, Art. 6 Abs. 2, Art. 8 bis 15, Art. 50 und Art. 113 | AI Act Hochrisiko-Pflichten werden breit relevant | Vorbereiten |
| 11. September 2026 | CRA, Art. 14 und Art. 71 EU-VO 2024/2847 | CRA-Meldepflichten für Schwachstellen und Vorfälle | Vorbereiten |
| 2. August 2027 | AI Act, Art. 6 Abs. 1 und Art. 113 EU-VO 2024/1689 | AI Act Anhang-I-Produkte folgen | Vorbereiten |
| 11. Dezember 2027 | CRA, Art. 71 EU-VO 2024/2847 | CRA gilt vollständig | Vorbereiten |
Was bedeutet das konkret?
Fristenmanagement ist kein reiner Rechtskalender. Hersteller müssen Produkt- und Security-Prozesse verdichten, Finanzunternehmen DORA mit KI-Governance verzahnen und allgemeine Unternehmen vor allem ihre Schulungs-Deadlines 2026 ernst nehmen. Ergänzend helfen Ihnen auch die Beiträge zu Art. 4 AI Act, Art. 5 AI Act, Art. 50 AI Act und unsere Seite für Unternehmen.
Hersteller müssen AI Act und CRA zusammendenken, sobald KI in digitale Produkte, Geräte oder Software eingebettet ist. Entscheidend sind Produktklassifizierung, technische Dokumentation, Schwachstellenprozesse und klare Verantwortlichkeiten zwischen Produkt, Security und Compliance.
Für Finanzunternehmen ist DORA bereits operative Realität. Wenn zusätzlich KI für Beratung, Betrugserkennung, Risikobewertung oder Backoffice-Prozesse eingesetzt wird, kommen AI-Act-Fragen hinzu. Schulung, Modell-Governance und Incident-Prozesse sollten deshalb nicht getrennt, sondern als ein Resilienz-Programm geführt werden.
IT-Dienstleister, Managed Service Provider und Softwarehäuser geraten oft gleichzeitig in CRA-, NIS2- und AI-Act-Logiken. Wer Kunden betreut, Systeme baut oder digitale Dienste betreibt, braucht ein belastbares Fristen- und Rollenmodell statt isolierter Einzelprojekte.
Für nahezu alle Unternehmen ist Art. 4 des AI Act der erste akute Termin. Sobald Mitarbeitende Tools wie ChatGPT, Copilot oder andere KI-Systeme im Auftrag des Unternehmens nutzen, muss KI-Kompetenz organisatorisch abgesichert werden. Das betrifft nicht nur Entwickler, sondern auch HR, Vertrieb, Einkauf, Assistenz und Führungskräfte.
Handlungsempfehlung
Ein belastbarer Plan kombiniert Rechtsfristen mit operativen Aufgaben. Wer erst kurz vor August oder September 2026 startet, arbeitet fast sicher im Krisenmodus. Sinnvoller ist es, die Pflichtschulung nach Art. 4 sauber zu dokumentieren und darauf aufbauend Produkt-, Security- und Governance-Arbeit zusammenzuführen.
| Zeitraum | Schwerpunkt | Konkrete Schritte |
|---|---|---|
| Jetzt bis Q2 2026 | AI Act Art. 4 und bestehende DORA-/NIS2-Lücken schließen | KI-Nutzung inventarisieren und risikorelevante Teams benennen • Grundschulung für alle KI-Nutzer ausrollen • Richtlinien, Freigaben und Dokumentation vereinheitlichen |
| Q3 2026 | CRA-Meldepflichten und AI-Act-Hochrisiko vorbereiten | Schwachstellen- und Incident-Workflows prüfen • Produkt-, Security- und Rechtsbereiche auf denselben Stichtag ausrichten • Vertiefte Rollenschulungen für Hochrisiko- und Produktteams starten |
| Q4 2026 bis Q2 2027 | Nachweise, Audits und technische Dokumentation verdichten | Kontrollnachweise und Zuständigkeiten auditfähig machen • Lieferketten- und Drittanbieterfragen nachschärfen • Wiederholungsschulungen und Update-Mechanismen etablieren |
| Q3 2027 bis Q4 2027 | CRA-Vollanwendung und produktbezogene AI-Act-Pflichten finalisieren | Release- und Update-Prozesse an CRA koppeln • Produktdokumentation und Security-by-Default prüfen • Führungskräfte-Reporting für 2028 vorbereiten |
Warum integrierte Schulung?
Viele Unternehmen haben die relevanten Begriffe bereits auf dem Radar, aber nicht die betroffenen Rollen. Genau deshalb funktionieren isolierte Einzelmaßnahmen selten: DORA wird in der IT verortet, der AI Act im Datenschutz oder in Legal, CRA im Produktteam und NIS2 in der Security. In der Praxis greifen diese Regime aber in dieselben Prozesse ein: Freigaben, Incident Handling, Dokumentation, Lieferantensteuerung und Mitarbeiterschulung.
Für den deutschen Mittelstand ist deshalb der pragmatische Weg meist besser als das große Transformationsprogramm: zuerst den Mindeststandard nach Art. 4 sichern, dann risikorelevante Teams vertiefen und die Nachweise so strukturieren, dass ein Audit oder eine Kundenanfrage nicht erst eine Projektgruppe auslöst. Eine strukturierte Einordnung finden Sie auch im Beitrag AI-Act-Checkliste für Unternehmen sowie in unserem Überblick zur KI-Kompetenz im Team.
Kostenloses Erstgespräch
Im Erstgespräch ordnen wir Ihren Status zwischen Art. 4, DORA, NIS2 und CRA ein und zeigen, wie Sie Schulung, Nachweislogik und Rollout ohne Parallelprojekt organisieren.
FAQ
Die häufigsten Rückfragen drehen sich nicht um die Existenz der Fristen, sondern um Priorisierung, Mittelstandstauglichkeit und den Unterschied zwischen bereits geltenden Pflichten und künftigen Vollanwendungen.
2026 sind vor allem drei Termine relevant: der 11. Juni 2026 für erste CRA-Regeln, der 2. August 2026 für breite AI-Act-Pflichten bei Hochrisiko-KI und Transparenz sowie der 11. September 2026 für CRA-Meldepflichten bei aktiv ausgenutzten Schwachstellen und schweren Vorfällen.
Der AI Act ist seit dem 1. August 2024 in Kraft, gilt aber stufenweise. Art. 4 und Art. 5 gelten seit 2. Februar 2025, GPAI-Regeln seit 2. August 2025, der Hauptteil für viele Unternehmen seit 2. August 2026 und bestimmte produktbezogene Fälle erst ab 2. August 2027. Einen kompakten Überblick finden Sie auch unter /eu-ai-act-fristen.
Für den Mittelstand ist meist Art. 4 AI Act der dringendste Punkt, weil er bereits gilt und nahezu jede Organisation mit KI-Nutzung erfasst. Danach folgen je nach Geschäftsmodell DORA, NIS2 oder CRA. Besonders häufig unterschätzt werden Schulung, Dokumentationspflichten und die Frage, welches Team für Vorfälle oder Eskalationen verantwortlich ist.
Ja. Diese Seite wird bei belastbaren Änderungen an Verordnungstexten, Leitlinien oder deutschen Umsetzungsregeln aktualisiert. Der aktuelle Stand dieser Seite ist 23. März 2026.
Weil ein pauschaler Deutschland-Stichtag in 2026 ohne belastbare Rechtsgrundlage irreführend wäre. Die verbindliche EU-Umsetzungsfrist der NIS2-Richtlinie lag bereits auf dem 17. Oktober 2024. Für Unternehmen zählt deshalb, wann und wie das deutsche Umsetzungsrecht den eigenen Sektor und die eigene Unternehmensgröße tatsächlich erfasst.
Nein. Eine kurze Rundmail ersetzt keine belastbare KI-Kompetenz nach Art. 4. Unternehmen sollten mindestens Schulungsinhalt, Teilnehmerkreis, Zeitpunkt, Kursversion und interne Regeln nachvollziehbar dokumentieren.
CTA
Wenn Ihr Unternehmen bereits KI nutzt, ist die wichtigste Deadline nicht irgendwann 2027, sondern die bereits geltende Pflicht zur KI-Kompetenz. Starten Sie mit einer integrierten Schulung, bevor Hochrisiko-, CRA- oder sektorale Anforderungen zusätzlichen Druck erzeugen.