Compliance-Fristen 2026-2027 — Alle Termine im Überblick

Die Compliance-Fristen 2026-2027 umfassen über 15 regulatorische Deadlines aus AI Act, NIS2, CRA, DORA und angrenzenden EU-Regimen — ein chronologischer Überblick. Für Unternehmen ist der Kernpunkt einfach: 2026 ist das Umsetzungsjahr, 2027 das Jahr der letzten großen Übergangsfristen. Wer erst nach dem Sommer 2026 mit Struktur, Schulung und Nachweisen beginnt, arbeitet in mehreren Regimen bereits gegen laufende oder unmittelbar bevorstehende Pflichten an.

Dieser Beitrag bündelt die wichtigsten Termine mit Rechtsgrundlage, trennt zwischen bereits geltenden Pflichten und kommenden Stichtagen und zeigt, was bis wann umgesetzt sein sollte. Für die Vertiefung einzelner AI-Act-Termine ist der Beitrag KI-Schulung Fristen 2026 sinnvoll; den Gesamtfahrplan des AI Acts finden Sie auf EU AI Act Fristen, die operative Schulungsseite unter EU AI Act Schulung, die Schnittstelle zu Cyber-Regimen in AI Act, NIS2 und DSGVO im Vergleich und den Governance-Rahmen im ISO-42001-Hub.

Chronologischer Fristenkalender 2026-2027

Die schnellste Antwort auf die Frage nach den wichtigsten Compliance-Fristen 2026-2027 ist diese Tabelle. Sie enthält nur die Termine, die für deutsche Unternehmen operativ am relevantesten sind oder 2026/2027 als Prüf- und Umsetzungsfenster bestimmen.

Datum	Regulierung	Pflicht / Meilenstein	Rechtsgrundlage	Praxisfolge
17. Januar 2025	DORA	Volle Anwendbarkeit der Verordnung	Art. 64 VO (EU) 2022/2554	Finanzunternehmen müssen seitdem nicht mehr vorbereiten, sondern operativ erfüllen.
2. Februar 2025	AI Act	Kapitel I und II gelten, inklusive Art. 4 und Art. 5	Art. 113 Buchst. a VO (EU) 2024/1689	KI-Kompetenz und Verbote sind bereits laufende Pflicht.
2. August 2025	AI Act	GPAI-Regeln, AI Office-Struktur und weitere Kapitel anwendbar	Art. 113 Buchst. b VO (EU) 2024/1689	Für GPAI-Anbieter beginnt die regulatorische Hauptphase schon vor 2026.
6. Dezember 2025	NIS2 Deutschland	NIS-2-Umsetzungsgesetz tritt in Kraft	BSI-Portalhinweis zum NIS-2-Umsetzungsgesetz	Registrierungs- und Meldepflichten laufen in Deutschland seit diesem Datum.
6. März 2026	NIS2 Deutschland	Spätestes Erstregistrierungsfenster von drei Monaten	aus dem Inkrafttreten am 6. Dezember 2025 abgeleitet	Wer betroffen ist und bis Anfang März 2026 nicht registriert war, hat ein erstes Fristproblem.
11. Juni 2026	CRA	Kapitel IV über Konformitätsbewertungsstellen gilt	Art. 71 Abs. 2 VO (EU) 2024/2847	Der Markt bereitet die spätere Produktaufsicht und Logik der Konformitätsbewertung vor.
2. August 2026	AI Act	Allgemeine Hauptanwendung der Verordnung	Art. 113 Abs. 1 VO (EU) 2024/1689	Für viele Hochrisiko-Anwendungen endet die Vorbereitungsphase.
11. September 2026	CRA	Meldepflichten für aktiv ausgenutzte Schwachstellen und schwere Vorfälle	Art. 71 Abs. 2 i. V. m. Art. 14 VO (EU) 2024/2847	Hersteller brauchen spätestens dann belastbare Meldewege.
2. August 2027	AI Act	Art. 6 Abs. 1 und korrespondierende Pflichten gelten	Art. 113 Buchst. c VO (EU) 2024/1689	KI als Sicherheitskomponente in regulierten Produkten wird voll erfasst.
2. August 2027	AI Act	Bestands-GPAI-Modelle von vor dem 2. August 2025 müssen angepasst sein	Art. 111 Abs. 3 VO (EU) 2024/1689	Für frühe GPAI-Modelle endet die Übergangsfrist.
11. Dezember 2027	CRA	Vollständige Anwendung des Cyber Resilience Act	Art. 71 Abs. 2 Satz 1 VO (EU) 2024/2847	Produkt-Compliance wird zum Marktzugangsthema.
31. Dezember 2027	MDR	Ende zentraler MDR-Übergangsfristen für bestimmte Hochrisiko-Altprodukte	VO (EU) 2023/607 zu MDR/IVDR-Übergängen	MedTech-Unternehmen müssen Altportfolios spätestens dann sauber umgestellt haben.

Die Tabelle zeigt auch, warum 2026 und 2027 als Bündeljahre wahrgenommen werden: Nicht jedes Regime startet in diesem Zeitraum neu, aber genau in diesen Quartalen laufen Schulung, Registrierung, Meldelogik, Produkt-Compliance und Managementverantwortung gleichzeitig zusammen. Wer dafür einen übergreifenden Governance-Rahmen sucht, sollte AI Act und Cyber-Regime mit AI Act, NIS2 und DSGVO im Vergleich und dem ISO-42001-Hub gemeinsam betrachten.

Q1 2026: Deutschland zieht NIS2 operativ hoch, DORA läuft bereits, AI-Act-Verbote gelten schon

Q1 2026 ist vor allem deshalb kritisch, weil drei Regime nicht erst angekündigt werden, sondern bereits wirksam sind. DORA gilt seit dem 17. Januar 2025, Art. 4 und die Verbote des AI Acts gelten seit dem 2. Februar 2025 und in Deutschland gelten Registrierungs- und Meldepflichten unter NIS2 seit dem 6. Dezember 2025.

Für NIS2 in Deutschland ist der praktisch wichtigste Frühtermin das Erstregistrierungsfenster. Das BSI stellt seit Inkrafttreten des NIS-2-Umsetzungsgesetzes das Portal für Registrierung und Meldungen bereit. Wenn ein betroffenes Unternehmen seine Erstregistrierung innerhalb von drei Monaten erledigen musste, ergibt sich daraus für den ersten Schwung der Stichtag 6. März 2026. Diese Frist ist rechtlich aus dem Inkrafttretensdatum abgeleitet und für viele Unternehmen der erste echte NIS2-Testfall.

Im Finanzsektor ist die Lage noch klarer. DORA ist kein 2026-Projekt, sondern seit Januar 2025 das laufende Betriebsmodell. Institute, Versicherer, Zahlungsdienstleister und weitere Finanzunternehmen müssen in Q1 2026 also nicht überlegen, ob DORA relevant wird, sondern ob Incident Governance, Drittparteiensteuerung, Testprogramm und Management-Evidenz belastbar genug sind. Wer die Spezialregeln vertiefen will, findet den Einstieg in DORA Verordnung.

Der AI Act setzt im selben Quartal einen anderen Akzent. Die Verbote aus Art. 5 und die Pflicht zur ausreichenden KI-Kompetenz nach Art. 4 gelten bereits. Das ist für viele Unternehmen die unterschätzte Altfrist im Jahr 2026: Die Schulungspflicht ist nicht „bald“, sondern schon seit mehr als einem Jahr aktiv. Genau deshalb wird Compliance-Schulung 2026 Pflicht in vielen Teams zu spät diskutiert. Praktisch heißt das: Management, Fachbereiche, Einkauf, IT und Compliance brauchen spätestens jetzt dokumentierte Mindestkompetenz für den beruflichen KI-Einsatz.

Q2 2026: Letztes sauberes Vorbereitungsfenster vor der AI-Act-Hauptstufe

Q2 2026 ist das letzte Quartal, in dem sich Unternehmen noch ohne unmittelbaren Hauptstichtag neu sortieren können. Juristisch wichtig ist in diesem Quartal vor allem der 11. Juni 2026, denn ab dann gilt im CRA Kapitel IV über Konformitätsbewertungsstellen. Für viele Hersteller ist das kein Endkundentermin, aber ein klares Signal: Die europäische Aufsichts- und Bewertungsarchitektur für Produkt-Compliance läuft an.

Oft wird Q2 2026 mit den AI-Act-Codes of Practice verbunden. Hier ist Präzision wichtig: Die Codes sind keine neue harte 2026-Frist für alle Unternehmen. Für die Praxis ist Q2 2026 trotzdem relevant, weil dieses Quartal das letzte ruhige Umsetzungsfenster vor dem 2. August 2026 ist. Unternehmen sollten daher spätestens bis Ende Juni drei Dinge abgeschlossen haben:

1. Ein belastbares KI-Inventar mit Rollenklärung als Anbieter, Betreiber, Einführer oder Händler.
2. Eine Vorprüfung, ob Anhang-III-Hochrisiko-KI oder produktintegrierte KI betroffen ist.
3. Eine dokumentierte Schulungs- und Freigabelogik für neue KI-Use-Cases.

Für viele mittelständische Unternehmen ist genau hier der eigentliche Bundle-Fall sichtbar: NIS2, AI Act und ISO 42001 greifen ineinander. Wer AI Act nur als Rechtsfrage betrachtet, baut keine belastbare Governance. Wer NIS2 nur als IT-Projekt behandelt, übersieht KI-Rollen, Dokumentation und menschliche Aufsicht. Der inhaltliche Hintergrund dazu steht in AI Act, NIS2 und DSGVO im Vergleich und im ISO-42001-Überblick.

Q3 2026: 2. August 2026 ist die zentrale AI-Act-Deadline, 11. September 2026 folgt direkt mit dem CRA

Q3 2026 ist der dichteste Fristenblock des gesamten Kalenders. Am 2. August 2026 gilt der AI Act grundsätzlich, und für viele Unternehmen ist das die Hauptdeadline für Hochrisiko-KI, Governance, Nachweise und interne Freigabeverfahren. Zwar gelten einzelne Teile früher oder später, aber im Management-Kalender ist der 2. August 2026 der operative Kipppunkt.

Besonders betroffen sind Unternehmen mit KI in Recruiting, Kreditprüfung, Versicherungsbewertung, kritischer Infrastruktur, Bildung, Medizin und sicherheitsnahen Prozessen. Wer dort keine belastbare Klassifizierung, Risiko- und Dokumentationslogik hat, wird ab August 2026 aus einer Vorbereitungsdiskussion in ein akutes Compliance-Thema gedrückt. Als Vorarbeit lohnt sich die AI Act Checkliste für Unternehmen.

Nur gut fünf Wochen später folgt bereits der zweite große Termin: Am 11. September 2026 starten unter dem CRA die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle. Für Hersteller von Produkten mit digitalen Elementen ist das eine andere Pflichtart als beim AI Act. Jetzt geht es nicht primär um Rollen, Risikoklassen und Schulungslogik, sondern um Incident Intake, Eskalation, Verantwortlichkeiten und externe Meldungen. Wer seine Produktsecurity nur technisch, aber nicht regulatorisch organisiert hat, wird hier regelmäßig scheitern. Die Details dazu vertieft CRA Fristen.

Im selben Quartal wirkt NIS2 weiter. Die Registrierungspflicht endet nicht mit März 2026 als Thema; vielmehr beginnt dann die zweite Phase: Nachweisfähigkeit im Betrieb, Vorfallsteuerung, Lieferantenkontrolle und Managementberichterstattung. Gerade Unternehmen, die sowohl CRA- als auch NIS2-relevant sind, sollten Incident- und Vulnerability-Prozesse nicht doppelt aufbauen. Ein gemeinsames Intake mit getrennten Rechtsprüfungen ist fast immer effizienter als zwei parallele Meldeketten.

Q4 2026: Kein neuer Universalstichtag, aber das Quartal der Aufsichtsrealität

Q4 2026 hat weniger Schlagzeilendaten als Q3, ist aber operativ oft härter. Spätestens jetzt zeigt sich, ob AI Act, NIS2, CRA und DORA als isolierte Projekte oder als integriertes Compliance-Programm umgesetzt wurden. In diesem Quartal laufen typischerweise interne Audits, Nachweisanforderungen von Kunden, Lieferantenanfragen, Vertragsanhänge und Management-Reviews zusammen.

Wichtig ist außerdem eine häufige Fehlannahme zu GPAI-Modellen: Q4 2026 ist nicht die vollständige Endfrist für alle GPAI-Modelle. Für Anbieter von General-Purpose-AI-Modellen, die bereits vor dem 2. August 2025 auf den Markt kamen, läuft die eigentliche Übergangsfrist nach Art. 111 Abs. 3 erst am 2. August 2027 ab. Das bedeutet: Wer in Q4 2026 mit großen Sprachmodellen, Assistenzsystemen oder eingebetteten Foundation-Modellen arbeitet, sollte prüfen, ob die eigene Lieferkette auf dieses 2027-Fenster sauber vorbereitet ist.

Für deutsche Unternehmen kommt in Q4 2026 noch ein strategischer Punkt hinzu: Viele Kunden und Partner behandeln AI Act, NIS2 und CRA dann nicht mehr als Zukunftsthema, sondern als Beschaffungsanforderung. Lieferantenfragebögen, Sicherheitsanhänge, Vertragszusicherungen und Schulungsnachweise werden deshalb ab Ende 2026 deutlich häufiger. Genau an dieser Stelle zahlt sich ein dokumentierter Kurs- und Nachweisprozess aus. Für die Schulungsebene ist EU AI Act Schulung der direkte Einstieg.

2027: Letzte große Übergangsfristen unter AI Act, CRA und MedTech-Regimen

Das Jahr 2027 ist kein „Nachlaufjahr“, sondern die zweite Hälfte des Fristenpakets. Am 2. August 2027 passieren im AI Act gleich zwei zentrale Dinge: Zum einen gilt Art. 6 Abs. 1 mit den korrespondierenden Pflichten, also die volle Einbindung bestimmter KI-Systeme als Sicherheitskomponenten in bereits regulierte Produkte. Zum anderen endet nach Art. 111 Abs. 3 die Übergangsfrist für GPAI-Modelle, die vor dem 2. August 2025 auf den Markt kamen.

Für Unternehmen mit KI in Produkten, Maschinen, Medizinprodukten oder vergleichbaren regulierten Umgebungen ist dieser Termin oft wichtiger als der 2. August 2026. Hier verschiebt sich der Schwerpunkt von allgemeiner KI-Governance zur Schnittstelle aus Produktrecht, technischer Dokumentation, Konformitätsbewertung und Änderungsmanagement.

Am 11. Dezember 2027 wird der CRA vollständig anwendbar. Dann genügt kein Meldeprozess mehr; dann müssen Hersteller die gesamte Produkt-Compliance beherrschen: Security by Design, Supportlogik, Schwachstellenmanagement, technische Dokumentation, Konformitätsbewertung und Marktbereitstellung. Für Produktunternehmen ist das einer der teuersten Fristenpunkte des gesamten Zyklus.

Im Gesundheitsbereich kommt zusätzlich die MDR-Perspektive dazu. Durch die Übergangsregeln aus VO (EU) 2023/607 enden zentrale Übergangsfristen für bestimmte Hochrisiko-Altprodukte am 31. Dezember 2027; weitere Kategorien laufen später aus. Wer KI in Medizinprodukten nutzt, hat deshalb keinen einzelnen AI-Act-Termin, sondern eine doppelte Fristenarchitektur aus AI Act und MDR.

Zur CSRD ist für 2027 eine präzise Einordnung nötig: Ursprünglich war 2027 das erste Berichtsjahr für börsennotierte KMU mit Berichtsbezug auf das Geschäftsjahr 2026. Stand 24. März 2026 ist diese Welle politisch in Bewegung und auf EU-Ebene mit Verschiebungsinitiativen verknüpft. Wer CSRD plant, sollte 2027 daher nicht als stabilen neuen Fixtermin behandeln, sondern als Regime mit laufender politischer Anpassung.

Branchenspezifische Fristen: Finanzsektor, Medizinprodukte, Automotive

Branchenspezifische Fristen sind gefährlich, weil sie im allgemeinen Compliance-Kalender oft untergehen. Tatsächlich laufen 2026 und 2027 gerade in regulierten Branchen mehrere Normen gleichzeitig.

Finanzsektor: DORA gilt seit dem 17. Januar 2025 vollständig. Für Banken, Versicherer, Zahlungsdienstleister und weitere beaufsichtigte Häuser ist 2026 deshalb kein Einführungsjahr mehr, sondern das Jahr der Evidenz. Die Aufsicht interessiert sich nicht nur für Richtlinien, sondern für Vorfallklassifikation, Testprogramme, Register kritischer Drittparteien und Managementverantwortung. Wer zugleich KI nutzt, muss DORA mit AI Act und häufig auch mit NIS2-Schnittstellen zusammendenken. Dafür ist DORA vs. NIS2 ein guter Anschlussartikel.

Medizinprodukte: Im MedTech-Bereich reicht der AI Act allein nie aus. KI als Sicherheitskomponente oder Bestandteil eines Medizinprodukts trifft auf MDR, klinische Dokumentation, Qualitätsmanagement und Vigilanz. Operativ wichtig sind hier der 2. August 2027 aus dem AI Act und die MDR-Übergänge bis 31. Dezember 2027 für bestimmte Altprodukte. MedTech-Unternehmen sollten ihr Portfolio deshalb nicht nur nach KI-Risikoklasse, sondern zugleich nach Produktklasse und Zulassungsstand segmentieren.

Automotive: Im Fahrzeugbereich sind UNECE R155 für Cybersecurity-Management und UNECE R156 für Software-Updates bereits seit Juli 2024 für alle neuen Fahrzeugtypen bzw. Typgenehmigungen praktisch gesetzt. Für 2026 und 2027 bedeutet das: Jede neue KI-Funktion, jede Over-the-Air-Aktualisierung und jede softwarebezogene Produktänderung läuft nicht nur gegen den AI Act, sondern zugleich gegen Typgenehmigung, Änderungsmanagement und Cybersecurity-Nachweise. Automotive-Unternehmen haben daher keinen singulären AI-Act-Stichtag, sondern einen fortlaufenden Produkt-Compliance-Takt.

Aktionsplan: Was bis wann umgesetzt sein muss

Der beste Aktionsplan für Compliance-Fristen 2026-2027 ist nicht „alles gleichzeitig“, sondern eine saubere Priorisierung nach Regime und Nachweisart.

Bis Ende Q2 2026

1. KI-Inventar, Rollenklärung und Schulungsmatrix aufbauen.
2. NIS2-Betroffenheit, Registrierung und Meldewege vollständig prüfen.
3. DORA-relevante Drittparteien, Incident Governance und Management-Reporting nachziehen.
4. Produktportfolio auf CRA- und AI-Act-Relevanz segmentieren.

Bis 2. August 2026

1. Hochrisiko-KI und risikonahe Use Cases klassifizieren.
2. Interne Freigabeprozesse, Dokumentation und menschliche Aufsicht verbindlich machen.
3. Schulungsnachweise für Management, Fachbereiche, Einkauf und IT revisionsfest ablegen.
4. Vertrags- und Lieferantenprüfungen für KI- und Produktlieferanten aktualisieren.

Bis 11. September 2026

1. CRA-Meldeprozess für Schwachstellen und schwere Sicherheitsvorfälle testen.
2. Verantwortlichkeiten zwischen Product Security, Legal, Compliance und Support schriftlich festlegen.
3. Vorlagen für Erstmeldung, Nachmeldung und Kundenkommunikation vorbereiten.

Bis 2. August 2027

1. Produktintegrierte KI an der Schnittstelle zu Produktrecht vollständig bewerten.
2. Alte GPAI-Modelle und Lieferketten auf Übergangsfristen prüfen.
3. MedTech- und produktnahe Altbestände auf Änderungs- und Konformitätsbewertungsbedarf priorisieren.

Bis 11. Dezember 2027

1. CRA-Produkt-Compliance vollständig in Entwicklung, Release und Support verankern.
2. Technische Dokumentation, Konformitätsbewertung und Lifecycle-Security abschließen.
3. Governance-Stränge aus AI Act, NIS2, CRA und DORA in ein gemeinsames Evidenzmodell überführen.

Für den Mittelstand ist der pragmatische Weg fast immer ein Bündelansatz: Erst Basisschulung und Rollenklärung, dann Regime-Mapping, danach Dokumentation und Incident-Prozesse. Genau deshalb werden 2026 und 2027 oft als Startpunkt für integrierte Compliance-Programme gelesen und nicht nur als Sammlung isolierter Stichtage.

Fazit

Die wichtigste Aussage zu den Compliance-Fristen 2026-2027 lautet: Die kritischen Termine liegen nicht nur im Kalender, sondern in der Reihenfolge der Umsetzung. Q1 2026 betrifft bereits laufende Pflichten, Q3 2026 ist der dichteste Fristenblock, und 2027 beendet mehrere Übergangslogiken gleichzeitig. Wer diese Sequenz sauber plant, vermeidet Doppelarbeit und reduziert Aufsichts-, Haftungs- und Marktzugangsrisiken spürbar.

Wenn Sie aus dem Fristenkalender einen belastbaren Schulungs- und Umsetzungsplan machen wollen, ist unsere EU AI Act Schulung der schnellste Einstieg. Sie schafft eine dokumentierte Basis für KI-Kompetenz, Rollenverständnis und Management-Nachweis und lässt sich mit NIS2-, CRA- und DORA-Projekten sinnvoll verbinden.