Wie in jedem neuen Jahr kommen gesetzliche Veränderungen auf Unternehmen zu. Neben dem viel diskutierten EU AI Act treten verschiedene Regulierungen in Kraft, die Unternehmen beachten müssen. Die Rechtsanwälte Rouben Ebeling und Stephan Ulbrich ordnen ein, was KMU und große Unternehmen zu NIS-2 oder der EUDR wissen müssen und worauf es bei den Sicherheitsanforderungen für digitale Produkte ankommt.
Stephan Ulbrich ist Partner der Kanzlei Trilegis in Freiburg und als General Counsel für verschiedene Unternehmen im Einsatz. Rouben Ebeling ist als Syndikusrechtsanwalt im Legal Department der Haufe Group tätig.
EU AI Act verstehen und umsetzen: Was Unternehmen jetzt tun müssen
Wie sollten Unternehmen auf den EU AI Act reagieren? Abwarten oder proaktiv handeln?
Rouben Ebeling: Abwarten ist eigentlich keine Option mehr. Unternehmen müssen spätestens jetzt prüfen, welche KI-Systeme als Hochrisiko Systeme im Rahmen des AI Act gelten, und frühzeitig Managementsysteme für Transparenz, Dokumentation und menschliche Aufsicht einrichten. Auch wenn Behörden erst ab Mitte 2027 kontrollieren, gilt die Verordnung voraussichtlich ab 2. August 2026. Wer jetzt startet, ist klar im Vorteil.
EU AI Act in der Produktion: Welche Schritte müssen Unternehmen jetzt berücksichtigen bzw. umsetzen?
Stephan Ulbrich: Wer erst jetzt handelt, ist definitiv kein Early Adopter mehr. Unternehmen, die aktuell unsicher sind, ob sie die Anforderungen erfüllen, stelle ich zumeist die gleiche Frage: Ich gehe davon aus, dass ihr bisher keine unsicheren Produkte herausgebracht habt? Demzufolge wird es auch in der Umsetzung des AI Acts wohl kaum Probleme geben. Vielmehr kodifiziert der AI Act nun, was sichere Produkte sind. Was Unternehmen verunsichert, ist die breite Formulierung des AI Acts, mit vielen unbestimmten Rechtsbegriffen. Das bringt Interpretationsspielraum und wenig Klarheit, da die gesicherte Kasuistik fehlt. Wichtig ist trotzdem abzugleichen, wie die bisherigen Maßnahmen zu dem neuen System passen.
IT-Abteilung und Rechtsabteilung sollten also näher zusammenrücken?
Rouben: Auf jeden Fall. Je enger der Austausch zwischen den beiden Abteilungen ist, desto besser ist der Output und pragmatischer das Ergebnis. Nur so kann die Rechtsabteilung sicherstellen, dass die Herausforderungen und Anpassungen gering bleiben, egal wie sich die EU-Verordnungen ändern. Denn der Kern der Verordnung und damit der grundsätzliche Regelungsinhalt wird sich nicht mehr ändern.
Wie relevant sind die Änderungen, die mit dem Digital Omnibus-Paket kommen?
Rouben: Derzeit ist der Digital Omnibus noch ein Vorschlag zum Abbau regulatorischer Anforderungen im Bereich der Digitalgesetzgebung z. B. EU AI Act, DSGVO und Data-Act, der vom EU-Parlament und Rat der EU verabschiedet werden muss. Als Rechtsabteilung versuchen wir frühzeitig zu informieren, ohne zu alarmieren. Der Digital Omnibus hat für uns zunächst deutlich weniger Priorität als die EUDR – zumal er ja eigentlich vereinfachen und nicht verkomplizieren soll.
Unsere Empfehlung
Report Management Challenges 2026
Alles zu den wichtigsten Trends und Herausforderungen für das Top-Management 2026 im neuen Report.
Top-Management Report 2026
Entwaldungsverordnung (EUDR): Was Unternehmen sofort prüfen müssen
Wie sollten Unternehmen konkret auf die EUDR reagieren, die zum Jahreswechsel in Kraft tritt?
„Wer noch nie von der EUDR gehört hat, sollte schnell jemanden anrufen, der sich damit auskennt. Ansonsten: Weitermachen. Die politische Situation ist anders als letztes Jahr. Das Portal funktioniert jetzt, daher wird es keine vollständige Verschiebung geben.“
Rouben Ebeling
Hinweis:
Anm. d. Redaktion: Am 26.11.25 hat das EU-Parlament beschlossen, dass große Unternehmen die EUDR erst ab 30.12.2026 und kleine und mittelgroße Unternehmen ab 30.06.2027 anwenden müssen. Der EU-Rat muss dem noch zustimmen, doch eine Verschiebung ist derzeit zu erwarten.
Stephan: Eine wichtige Frage ist, wo das eigene Unternehmen in der Lieferkette steht. Ist man eines der großen Unternehmen, muss man schnellstmöglich umsetzen und vollumfassend einhalten. Steht man weiter unten, wo sich ein mittelständisches oder kleines Unternehmen häufig befindet, sollte man wissen was zu tun ist, ohne vielleicht selbst in der Pflicht zu sein. Denn: OEMs und Tier 1-Unternehmen werden kommen und Forderungen stellen, um die eigenen Pflichten zu erfüllen: Damit ist der Lieferant durch die Hintertür in der Pflicht zur Umsetzung, wenn er weiter Geschäfte machen will.
Wie kann ein KMU mit den Pflichten der EUDR umgehen?
Stephan: Die meisten Anforderungen sind vermutlich bereits erfüllt – es ist alles eine Frage des Framings bzw. der Dokumentation. Unterm Strich muss das Unternehmen sicherstellen, dass das Produkt aus nachhaltigen Quellen kommt. Die meisten meiner Mandant:innen setzen das bereits um. Insgesamt sehe ich zumeist „Acht von zehn Punkten“ als erfüllt an. Die zwei restlichen Punkte mögen nervig sein, sind aber in der Regel ebenfalls pragmatisch umsetzbar. Grundsätzlich geht es darum, richtig zu labeln, was die Unternehmen bereits seit langem erfüllen und gegebenenfalls bei einigen wenigen Punkten nachzubessern.
Rouben: Ein KMU aus dem Schwarzwald, das Kautschuk verarbeitet, sollte doch grundsätzlich wissen, wo sein Rohstoff herkommt. Das ist bereits heute gute Geschäftspraxis und sichert das Unternehmen gegen Risiken der Lieferkette ab. Trotzdem gilt: Je größer der Abnehmer, desto größer die Strahlkraft und damit die Verpflichtungen zur Dokumentation. Um EUDR-konform zu sein muss vielleicht das Lieferantenmanagement professionalisiert werden. Aber im Grundsatz sollte vieles hierfür schon gelebte Praxis sein.
Werden die Pflichten der EUDR kontrolliert?
„Das ist wie mit Radarkontrollen – nur weil kein Blitzer steht, fährst du nicht 80 km/h in der Innenstadt.“
Stephan Ulbrich
Stephan: Vieles ist im Bereich der Kontrolle noch ungewiss. Trotzdem gilt das oben gesagte: Die Gesetzgebung normiert die neuen Leitplanken, die es auch ohne Kontrollen zu beachten gilt. Es ist notwendig und sicher pragmatisch, aber trotzdem nachvollziehbar so zu dokumentieren, dass ein neutraler Dritter das Einhalten der Norm erkennen kann. Große Konzerne wählen sicher einen umfassenden 100%-Ansatz; kleine und mittlere Unternehmen wählen vielleicht lieber – mangels Ressourcen – eine schlankere Umsetzung. Grundsätzlich gilt: Wer tätig war und sich mit den Themen beschäftigt hat, hat wenig zu befürchten. Wer gar nichts tut und damit mutwillig die Anforderungen ignoriert, trägt im Verletzungsfall ein immenses Risiko für ein empfindliches Bußgeld.
Cyber Resilience Act (CRA): Sicherheitsanforderungen für digitale Produkte
Ab Dezember 2027 müssen alle Anforderungen des Cyber Resilience Acts vollständig erfüllt sein. Was müssen Unternehmen tun?
Rouben: Grundsätzlich müssen Unternehmen sicherstellen, dass ihre digitalen Produkte den Anforderungen des CRA entsprechen. Produkte müssen so gestaltet sein, dass sie nicht leicht gehackt oder manipuliert werden können– Bereits ab September 2026 gilt zudem: Für bestehende Produkte müssen bekannte ausgenutzte Schwachstellen veröffentlicht und der Bundesnetzagentur gemeldet werden.
Stephan: Klingt wieder nach viel Bürokratie, aber auf der anderen Seite wird „Gutes Design“ nun belohnt. Wer absichtlich unsicher oder ungenau entwickelt, könnte vom Markt verdrängt werden. Der Cyber Resilience Act formalisiert damit, was gute Softwareunternehmen ohnehin bereits tun: Security by design. Zudem wird der Umgang mit Fehlern wichtiger: Transparenz bei Sicherheitsproblemen wird in Zukunft das Vertrauen eher stärken als Verschweigen.
NIS-2-Richtlinie: Pflichten für kritische Sektoren und deren Zulieferer
Welche Kernanforderungen der NIS-2-Richtlinie sind für Unternehmen im kritischen Sektor besonders herausfordernd?
Rouben: Die größte Herausforderung ist die Unsicherheit, da die Richtlinie nun in nationales Recht umgesetzt werden wird. Dabei ist am Anfang oft unklar, was genau am Ende dabei rauskommt und dann wirklich eingehalten werden muss. Im Kern müssen die Unternehmen ein Managementsystem schaffen, das Sicherheitsrisiken, nicht nur bei Software, monitort und früh warnt, wenn Sicherheitsprobleme auftreten. Die Anforderungen für kritische Infrastrukturprovider sind dabei größer: So muss z. B. ein Stadtwerk, das Strom für eine Stadt bereitstellt, seine Software überwachen, um sicherzustellen, dass die kritische Infrastruktur verfügbar bleibt.
Monitoring-Systeme gehörten doch schon vor NIS-2 zum Standard?
Rouben: Genau, Unternehmen im kritischen Sektor haben das bereits heute, weil es notwendig ist. Niemand möchte in der Schlagzeile lesen: Das Netz des Stadtwerk war unsicher, wurde empfindlich gestört, und jetzt steht die ganze Stadt im Dunkeln. Die Anforderungen zum Monitoring gab es bereits mit NIS-1 für Unternehmen der kritischen Infrastruktur. NIS-2 erweitert das jetzt allerdings auch auf weniger kritische Sektoren.
Trifft NIS-2 auch Zulieferer?
Rouben: Ja. Zumindest dann, wenn ein großer Kunde ein Unternehmen ist, welches unter den Anwendungsbereich der NIS-2 fällt. Dann gilt: Als Lieferant der Software muss ich ebenfalls die Anforderungen erfüllen, obwohl ich selbst nicht von der NIS-2 betroffen bin. Das ist eine automatische Kettenreaktion.
KI und Compliance 2026: Chancen, Risiken für Unternehmen
Kann KI helfen, Compliance einzuhalten oder ist es eher ein Risiko?
Rouben: KI analysiert große Datenmengen gut, wenn sie richtig trainiert ist. Eine KI, die z. B. automatisiert alle Kanäle absucht, auf denen neue Gesetze veröffentlicht werden und eine Management summary erstellt, schafft ein gutes Frühwarnsystem und unterstützt ungemein. Rechtsabteilung und Fachbereiche können ihre Kapazitäten damit auf die clevere Umsetzung konzentrieren. Bei der EUDR kann KI Lieferanten bewerten und beim Risikoscore helfen– auch das spart manuelle Arbeit. Insgesamt ist die KI – richtig eingesetzt – hervorragend geeignet mit regulatorischen Anforderungen und Prozessen umzugehen.
Viele Unternehmen sorgen sich um Datenschutz
Rouben: Und das vollkommen zurecht. Personenbezogene Daten dürfen ohne Erlaubnis nicht in KI-Systemen verwendet werden. Ein KI-System ist zunächst auch eine Software. Unternehmen müssen dringend KI-Kompetenzen z. B. durch Schulungen bei den Mitarbeitenden aufbauen. Dazu zählen neben richtiger Anwendung wie das prompten auch Datenschutz und Informationssicherheit. Man muss regelmäßig erklären: Was darf ich hochladen und was nicht? Die Alternative ist eine vernünftige, DSGVO- und informationssichere KI; dann besteht ein Großteil der Probleme, die die Datensicherheit betreffen, nicht mehr.
Shadow AI in Unternehmen: Wie sollte die Geschäftsführung reagieren?
Stephan: Die Frage lautet eigentlich: Warum nutzen Mitarbeitende Shadow AI also KI-Tools, die vom Unternehmen nicht autorisiert wurden? Sie nutzen es, weil es gut, schnell und effizient ist. Wenn man das verbietet, hat das eigene Unternehmen eigentlich automatisch einen Wettbewerbsnachteil. Die Lösung ist für mich: Sichere KI-Tools bereitstellen, die DSGVO-konform sind und der Shadow AI den Rang ablaufen.
„Statt es zu verbieten, stelle eine großartige Alternative bereit – dann hat keiner einen Grund, auszuweichen.“
Stephan Ulbrich
Unsicherheiten und Haftungsrisiken
Unsicherheiten in vielen Bereichen bestimmen den Alltag: Was heute geplant ist, wird morgen verschoben.
Rouben: Das ist eine große Herausforderung. Die Frage ist: Woran orientiert man sich? An seinem Business Case oder nur daran, wozu Gesetze verpflichten? Wer nur den Regulierungen folgt, für den wird es schnell unplanbar. Wichtig ist also die Umsetzung der Verordnung dem Business Case anzupassen und nicht andersherum.
Unternehmensrisiken und Rechtsunsicherheit: Wie sollten Firmen auf unklare Vorschriften und potenziell hohe Bußgelder reagieren?
Stephan: Das Problem ist, dass die EU in ihrer Normgebung unbestimmte Rechtsbegriffe mit Bußgeldern kombiniert, die sich teilweise am Umsatz orientieren. Das ist die schlimmste Kombination: Unklare Rechtslage und fast unbegrenztes oder extrem hohes Risiko. Leider scheint zumindest das hohe Bußgeld von der EU gewollt zu sein: im Zweifel sorgen empfindliche Bußgelder dafür, dass der:die Anwender:in die Verordnung ernst nimmt. Hier gilt meiner Meinung nach umso mehr das gesunde Augenmaß: wer gar nichts tut hat ein hohes Risiko für sehr hohe Bußgelder. Wer sich Mühe in der Umsetzung gibt und entsprechende Ergebnisse vorweisen kann minimiert damit auch sein Bußgeldrisiko.
Welche Handlungsempfehlung hast du für deine Mandanten?
Stephan: Das was ich zumeist rate: Gesunden Menschenverstand und Pragmatismus walten zu lassen. Der Rechtsberatende des Vertrauens ist einer von vielen, die dem Unternehmenden helfen, eine strategisch vernünftige Entscheidung umzusetzen. Es gilt für eine ordnungsgemäße Geschäftstätigkeiten Mittel und Wege zu finden, pragmatisch die EU-Gesetze einzuhalten – ohne dabei riesige Abteilungen als Wasserkopf aufzubauen. Kopf anschalten, gesunden Menschenverstand nutzen, vernünftige Risikoabwägungen treffen, dann funktioniert es.
„Der gesunde Menschenverstand sollte die maßgebende Entscheidungsgewalt sein.“
Rouben Ebeling
