Kurz gesagt: Der EU-AI-Act macht aus Ideen Produkte – und aus Produkten Verantwortung. Er zwingt niemanden zur Perfektion, sondern zu nachweislich vernünftigem Handeln. Genau das ist die Abkürzung zu robusteren Releases, weniger Rückrufen und mehr Vertrauen.

1) Vom „Wow“ zur Wirklichkeit: Worum es beim EU-AI-Act wirklich geht

In Europa ist etwas Bemerkenswertes passiert: Künstliche Intelligenz ist von der Bühne der Demos, Prototypen und „Wow“-Momente heruntergestiegen und hat den nüchternen Maschinenraum der Verantwortung betreten. Der EU-AI-Act sorgt bei manchen für Schweißperlen und bei anderen für Schulterzucken. Beide Reaktionen greifen zu kurz. Wer nur Regulierung sieht, übersieht den eigentlichen Kern: Der AI-Act ist die Bauordnung für KI-Produkte. Niemand verbietet Ihnen, kreativ zu bauen; definiert werden nur tragende Wände, Fluchtwege und nicht brennbare Materialien. Architekten hassen Bauordnungen nicht – sie nutzen sie, um ambitionierte Entwürfe in reale, sichere Gebäude zu verwandeln. Genauso funktioniert guter KI-Produktbau unter dem AI-Act.

Es gibt Regulierungstexte, die man einmal liest, abnickt und dann in den Schrank stellt. Und es gibt Gesetze wie den Cyber Resilience Act (CRA): Er verändert, wie Produkte mit digitalen Funktionen in Europa entwickelt, gebaut, ausgeliefert, gepflegt und aus dem Verkehr gezogen werden. Der CRA ist kein weiteres „nice to have“ in Sachen IT-Security, sondern die neue Grundlinie, an der sich künftig jedes „Produkt mit digitalen Elementen“ messen lassen muss – vom smarten Heizkörperthermostat über Routers, Türschlösser, Kameras, Medizingeräte-Software bis hin zu industriellen Steuerungen, Entwicklungswerkzeugen, Passwortmanagern oder Betriebssystemen.

Der CRA ist seit Ende 2024 im EU-Amtsblatt veröffentlicht und in Kraft; die Pflichten greifen gestaffelt: Die Melde- und Vulnerability-Management-Pflichten gelten 21 Monate nach Inkrafttreten, die übrigen Pflichten nach 36 Monaten – also spätestens Ende 2027 muss das Regelwerk in der Breite erfüllt sein. Wer ab dann Produkte in der EU „in Verkehr bringt“ (Hersteller), importiert (Importeure) oder weiterverkauft (Händler), bewegt sich nur noch innerhalb dieses neuen Spielraums. Das gilt auch für Unternehmen außerhalb der EU, die ihre Soft- oder Hardware hier vermarkten: Sie benötigen einen in der EU ansässigen Bevollmächtigten und unterliegen denselben Regeln.

Man hört es inzwischen auf fast jeder Konferenz und liest es in beinahe jeder Vorstandsvorlage: NIS2 und DORA sind gekommen, um zu bleiben. Zwei europäische Regelwerke, zwei unterschiedliche juristische Instrumente, ein gemeinsames Ziel: Europas digitale Widerstandskraft deutlich erhöhen. Auf den ersten Blick wirken beide wie Geschwister – beide verlangen strukturiertes Risikomanagement, Meldeprozesse, technische und organisatorische Schutzmaßnahmen, Verantwortlichkeit des Managements sowie einen klaren Blick auf die Lieferkette. Wer aber tiefer einsteigt, merkt schnell: Es sind keine Zwillinge, sondern eher zwei präzise Werkzeuge mit unterschiedlicher Klinge. NIS2 spannt den großen Bogen über viele Sektoren und Kategorien kritischer und wichtiger Einrichtungen; DORA wählt den chirurgischen Schnitt in das Betriebssystem der Finanzbranche und ihrer ICT-Dienstleister – inklusive Aufsicht über kritische Drittanbieter. Wer beides gleichzeitig erfüllen muss, steht vor der Aufgabe, Überschneidungen klug zu nutzen und Unterschiede bewusst zu adressieren. Genau darum geht es in diesem Beitrag: Was unterscheidet NIS2 und DORA, wo überlappen sie, und wie setzt man sie mit möglichst wenig Reibungsverlusten um?

Warum jetzt? Das gemeinsame „Warum“ hinter NIS2 und DORA

Beide Regelwerke sind Antworten auf eine Realität, die niemand mehr wegdiskutieren kann: Cyberangriffe sind zum Betriebsrisiko Nummer eins geworden, Lieferketten sind verwundbar, kritische Dienste hängen an digitaler Infrastruktur, die teils über Jahre zu wenig priorisiert wurde. Dazu kommt eine europäische Zielsetzung, Abhängigkeiten zu reduzieren und Mindeststandards hochzuziehen, damit ein Ausfall nicht zum Dominoeffekt wird. NIS2 setzt dabei in der Breite an und will, dass jeder kritische oder wichtige Player in Europa ein Mindestniveau erreicht – von Energie bis Gesundheit, von Verkehr bis Digitalinfrastruktur. DORA nimmt die Finanzbranche in den Fokus, weil operationale Resilienz dort unmittelbar systemrelevant ist: Ein stundenlanger Ausfall von Zahlungsverkehr, Börsenhandel oder Marktinfrastruktur ist weit mehr als eine Unannehmlichkeit.

Sechs Monate sind vergangen, seit der Digital Operational Resilience Act (DORA) am 17. Januar 2025 in Kraft trat. Ein halbes Jahr, das für viele Unternehmen im Finanzsektor zugleich eine Compliance-Hürde und einen Prüfstein darstellte. Heute zeigt sich: Die ersten Erfahrungen sind klar – DORA ist kein Projekt mit Start- und Endpunkt, sondern der Beginn eines laufenden Transformationspfads. Was bisher gelungen ist, wo es noch hakt und warum die nächsten Monate entscheidend sind – all das erfährst du in diesem Artikel.

Die erste Phase: Anmeldung, Verwirrung und Umsetzungsstress

In den ersten Monaten galt es, die Basis zu schaffen: Das Register of Information (RoI) zu Drittdienstleistern musste bis Ende April 2025 eingereicht werden. Viele Unternehmen leisteten hier einen echten Sprint – doch schon damals war klar, dass die eigentliche Arbeit erst beginnt. Parallel dazu schärften nationale Behörden den Rahmen, indem sie detaillierte Anforderungen an Drittanbieter-Risikomanagement, Meldepflichten und interne Governance-Strukturen definierten. Besonders Asset Manager, Versicherer und kleinere Banken spüren seit Frühjahr 2025 einen deutlichen Umsetzungsdruck.

In der Welt der Cybersicherheit ist es ein offenes Geheimnis: Kein Unternehmen kann sich allein verteidigen. Die Angreifer arbeiten längst nicht mehr isoliert – sie tauschen sich aus, handeln im Darknet mit Schwachstellen und Angriffswerkzeugen und nutzen koordinierte Kampagnen, um möglichst viele Ziele gleichzeitig zu treffen. Wer darauf nur mit einer isolierten Verteidigungsstrategie reagiert, läuft Gefahr, in der Informationslücke zwischen den Organisationen unterzugehen. Genau hier setzt eine der Kernideen von DORA an: den strukturierten und sicheren Informationsaustausch im Finanzsektor zu fördern. Die Botschaft dahinter ist klar – Sicherheit wird zur Gemeinschaftsaufgabe.

Der Gedanke ist so einfach wie kraftvoll: Wenn ein Unternehmen eine Bedrohung erkennt oder einen Angriff erlebt, können andere davon profitieren, diese Informationen schnell zu kennen. Ob es sich um neue Phishing-Muster, Zero-Day-Schwachstellen oder komplexe Supply-Chain-Angriffe handelt – je früher andere potenzielle Opfer gewarnt sind, desto besser können sie reagieren. DORA will diesen Austausch nicht nur ermöglichen, sondern systematisieren. Das Ziel: Angriffszeiten verkürzen, Verteidigungsmaßnahmen beschleunigen und die kollektive Widerstandsfähigkeit des gesamten Sektors steigern.