Drei Gesetze, null Gnade

Drei Gesetze, null Gnade

By Lukas Uhl ·

Drei Gesetze, eine Deadline-Falle

Die meisten Unternehmen kämpfen sich durch eine große Compliance-Umstellung gleichzeitig. Europäische Unternehmen bekommen gerade drei auf einmal - und die Fristen warten nicht darauf, dass jemand aufholt.

NIS2. AI Act. CSRD.

Was diesen Regulierungswellen von früheren unterscheidet: die drei Regelwerke überschneiden sich kaum. Sie erfordern fundamental verschiedene interne Fähigkeiten - Cybersicherheitsdokumentation, KI-Governance, ESG-Dateninfrastruktur. Ein Unternehmen, das NIS2 gut aufgestellt ist, hat oft null Überblick über seine KI-Act-Pflichten. Ein Unternehmen, das CSRD kennt, hat selten seinen KI-Toolstack inventarisiert.

Und das sagt niemand in den Consultancy-Broschüren: Das ist kein Rechtsproblem. Es ist ein Umsatzproblem.

Die Unternehmen, die jetzt vorne sind, nutzen Compliance bereits als Vertriebsargument. Die Unternehmen, die warten, verlieren gerade Aufträge - ohne es zu merken.

Was jedes Gesetz wirklich fordert

NIS2: Die 30.000-Unternehmen-Ausweitung

NIS2 hat nicht einfach die alte NIS-Richtlinie aktualisiert - es hat sie durch etwas dreimal so Großes ersetzt. Während die alte Richtlinie in Deutschland schätzungsweise 1.000 Unternehmen erfasste, sind es bei NIS2 über 30.000.

Die Eintrittsschwelle: Tätigkeit in erfassten Sektoren (Fertigungsindustrie, Lebensmittelproduktion, Logistik, digitale Infrastruktur, Gesundheitswesen, Energie und mehr) mit entweder mehr als 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz. Diese Schwelle trifft einen erheblichen Teil des deutschen Mittelstands - Unternehmen, die bisher keinen Kontakt mit europäischer Cybersicherheitsregulierung hatten.

Was NIS2 konkret fordert, ist klar umrissen: Sicherheitsvorfälle innerhalb von 24 Stunden nach Entdeckung melden, dokumentierte Risikomanagementprozesse, Lieferkettensicherheitsbewertungen (das bedeutet: IT-Dienstleister gehen in den Prüfprozess) - und, entscheidend, Haftung auf Geschäftsführerebene. Unter NIS2 können Geschäftsführer persönlich für Cybersicherheitsversagen in die Pflicht genommen werden. Das ist ein grundlegender Wandel gegenüber dem Modell, IT-Sicherheit als IT-Abteilungsproblem zu behandeln.

Die Bußgeldobergrenze: 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen. Deutschland hat NIS2 mit dem NIS2UmsuCG in nationales Recht umgesetzt - das BSI baut seine Durchsetzungsinfrastruktur aktiv aus.

Ein konkretes Beispiel: Ende 2024 stellte ein mittelständisches deutsches Logistikunternehmen bei einem Vendor-Audit fest, dass einer seiner IT-Dienstleister seit über vier Jahren ungeprüfte Netzwerkzugänge hatte. Unter NIS2 ist genau diese Art von Lieferkettensicherheitslücke eine meldepflichtige Risikoexposition. Das Unternehmen verbrachte 14 Wochen und rund 80.000 Euro an externen Beraterkosten damit, das Problem rückwirkend zu dokumentieren und zu beheben. Unternehmen, die den Inventarisierungsprozess früher begonnen hatten, zahlten einen Bruchteil davon.

Die Lektion: NIS2 ist nicht willkürlich strafend. Es macht undokumentierte Komplexität teuer - und die sitzt in fast jedem gewachsenen Unternehmen irgendwo.

AI Act: Die Pflicht, die kaum jemand liest

Der EU AI Act ist die erste umfassende KI-Regulierung der Welt und bereits teilweise in Kraft. Was die meisten Unternehmen übersehen: Man muss keine KI bauen, um ihm zu unterliegen.

Wer KI-Tools nutzt, die in die Hochrisikoklasse fallen - dazu gehören KI-Systeme in der Personalauswahl, Kreditvergabe, bei sicherheitskritischen Infrastrukturprozessen und mehr - trägt Pflichten nach dem AI Act, unabhängig davon, ob man das Tool selbst entwickelt oder off-the-shelf gekauft hat.

Die höchstriskanten Anwendungen (Echtzeit-Biometrie-Überwachung, Social-Scoring-Systeme) sind seit August 2024 bereits verboten. Hochrisiko-KI-Systeme unterliegen ab August 2026 schrittweise Anforderungen:

  • Technische Dokumentation für regulatorische Prüfungen
  • Eingebaute Mechanismen zur menschlichen Aufsicht
  • Konformitätsbewertungen vor Inbetriebnahme oder wesentlichen Updates
  • Registrierung im EU-KI-Datenbank für bestimmte Kategorien

Die Höchststrafe: 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Für ein Unternehmen mit 50 Millionen Euro Umsatz sind das potenziell 3,5 Millionen Euro Bußgeld - nicht für die Entwicklung gefährlicher KI, sondern für deren Einsatz ohne angemessene Governance.

Das praktische Problem: Die meisten mittelständischen Unternehmen haben keinen systematischen Überblick über die KI-Tools, die ihre Teams täglich nutzen. Marketing nutzt KI-Contentgenerierung. Finanzen nutzt algorithmische Prognosen. HR nutzt KI-gestützte Bewerbervorauswahl. Operations nutzt automatisierte Routing- und Dispositionssysteme. Jedes davon muss gegen die Risikoklassen des AI Acts bewertet werden.

Ein B2B-SaaS-Unternehmen in München hat diese Übung Anfang 2025 intern durchgeführt. Sie fanden 23 verschiedene KI-Tools im aktiven Einsatz in ihrer 140-Personen-Organisation - darunter drei, die eine sofortige Prüfung nach den Hochrisikoklassifizierungen des AI Acts erforderten. Keines der drei war in der IT-Abteilung bekannt. Alle waren von einzelnen Teams ohne zentrale Prüfung eingeführt worden.

CSRD: Das Lieferkettenproblem, vor dem niemand warnt

CSRD ersetzt die alte NFRD und schreibt strukturierte Nachhaltigkeitsberichterstattung vor. Große Unternehmen - mehr als 250 Mitarbeitende oder 40 Millionen Euro Umsatz, EU-börsennotiert - sind für Geschäftsjahre ab Januar 2024 bereits betroffen.

Aber hier liegt das Missverständnis, das die meisten KMUs teuer bezahlen werden: Man kann CSRD-Pflichten haben, ohne eine einzige Größenschwelle zu erfüllen.

Wer Kunden hat, die selbst CSRD-pflichtig sind, muss für deren Lieferkettenberichterstattung ESG-Daten liefern. Die Kunden fordern das zunehmend ein - unabhängig von der Größe des Lieferanten: CO2-Emissionen je Produktkategorie, Arbeitsbedingungen, Herkunftsländer der wichtigsten Lieferanten, Governance-Dokumentation.

Das spielt sich gerade in deutschen Automotive- und Retaillieferketten aus. Ein deutscher Tier-2-Automobilzulieferer mit 120 Mitarbeitenden - weit unterhalb der CSRD-Schwelle - erhielt Anfang 2025 eine formale ESG-Datenanfrage seines OEM-Kunden. Die Anfrage umfasste 47 konkrete Datenpunkte, die der OEM für seine eigene CSRD-Berichterstattung benötigt. Der Zulieferer hatte davon intern fast nichts erfasst.

Die Kosten für die rückwirkende Rekonstruktion von 18 Monaten historischer ESG-Daten: rund 35.000 Euro externe Unterstützung plus drei Monate interner Teamzeit. Die Kosten für den Aufbau eines leichtgewichtigen ESG-Datenerfassungsprozesses von Anfang an: unter 5.000 Euro und zwei Wochen Einrichtungsaufwand.

CSRD erzeugt einen Compounding-Vorteil für frühe Akteure. Wer jetzt anfängt, hat saubere Aufzeichnungen wenn Kunden fragen. Wer wartet, rekonstruiert die Vergangenheit unter Zeitdruck - teuer, lückenhaft, und mit Lieferantenbeziehungen auf dem Spiel.

Warum Compliance ein Umsatzhebel ist

Die Standardperspektive auf Compliance ist defensiv: Bußgelder vermeiden, Rechtsexposition minimieren, den Betrieb aufrechterhalten.

Diese Perspektive missversteht, was gerade am Markt passiert.

NIS2-Compliance wird zur Vertriebsvoraussetzung. Unternehmenskunden - besonders in Finance, Healthcare und öffentlichem Sektor - fordern zunehmend NIS2-Zertifizierungen oder äquivalente Dokumentation als Voraussetzung für Lieferantenbeziehungen. Ein mittelständisches SaaS-Unternehmen berichtete Anfang 2026, dass drei Enterprise-Sales-Prozesse ins Stocken geraten waren, weil die Einkaufsabteilungen NIS2-konforme IT-Sicherheitsdokumentation vor Vertragsabschluss verlangten. Das Vertriebsteam hatte das richtige Produkt zum richtigen Preis. Die Timeline ging verloren, weil Compliance nicht bereit war.

KI-Governance wird zum Enterprise-Vertrauenssignal. Mit zunehmender KI-Verbreitung in Betriebsabläufen fragen Enterprise-Käufer: “Wie steuert ihr den KI-Einsatz in euren Prozessen?” Unternehmen, die strukturierte AI-Act-Compliance-Dokumentation vorweisen können - KI-Tool-Inventar, Risikoklassifizierungen, Aufsichtsmechanismen - haben eine konkrete, glaubwürdige Antwort. Unternehmen, die das nicht können, wirken operational unreif - unabhängig von der Produktqualität.

CSRD-Daten werden zum Beschaffungsfilter. Die Verschiebung ist in deutschen Automotive- und Retail-Lieferketten bereits sichtbar. Lieferanten ohne ESG-Dokumentation werden in Vendor-Selection-Prozessen nachgereiht. Die Anforderungen steigen jährlich: Die 2026-Anforderungen sind strenger als 2024. Unternehmen, die jetzt schon Daten erfassen, haben einen wachsenden Vorsprung. Unternehmen, die spät anfangen, jagen einem sich bewegenden Ziel hinterher.

Die Compliance-Vorreiter geben nicht mehr für Rechtsberatung aus. Sie wandeln Compliance-Infrastruktur in kompetitiven Differenzierungsvorteil um - und gewinnen Aufträge, die compliance-träge Mitbewerber verlieren.

Dieses Muster sehen wir in jedem operativen Bereich: Systeme früh aufbauen statt spät nachsteuern zahlt sich immer aus. Compliance ist keine Ausnahme.

Das System: Drei Phasen, kein aufgeblähtes Beraterbudget

Phase 1: Scope-Klarheit (Wochen 1-2)

Bevor auch nur ein Euro ausgegeben wird, eine Frage je Regelwerk beantworten: Sind wir betroffen - und wie genau?

Die Sektorklassifizierungen in NIS2, die Nutzungsfallkategorien im AI Act und die Größenberechnungen in CSRD haben alle Feinheiten, die eine schnelle Websuche nicht auflöst. Primärquellen nutzen.

Drei-Spalten-Audit:

  • Spalte A: Was das Gesetz abdeckt
  • Spalte B: Was das eigene Unternehmen tut
  • Spalte C: Wo sich beides wirklich überschneidet

Im Zweifel konservativ einschätzen. Von Betroffenheit ausgehen, bis eine fundierte Einschätzung etwas anderes ergibt. Die Kosten einer falschen Annahme, nicht betroffen zu sein, sind dramatisch höher als die Kosten einer vorsorglichen Prüfung.

NIS2: BSI-NIS2-Selbsttest unter bsi.bund.de. 20 Minuten. Erste klare Antwort.

AI Act: Alle KI-Tools der letzten 12 Monate auflisten - Anbieter für Anbieter, Use Case für Use Case. Dann die AI-Act-Compliance-Dokumentation jedes Anbieters suchen. Die großen Anbieter (Microsoft, Google, Salesforce, SAP) haben das veröffentlicht. Lücken in der Dokumentation sind der Startpunkt.

CSRD: Kundenliste prüfen. Gibt es Kunden mit mehr als 250 Mitarbeitenden oder 40 Millionen Euro Umsatz, EU-börsennotiert? Wenn ja: eine E-Mail an den Einkauf schicken und fragen, welche ESG-Daten sie 2025 und 2026 von Lieferanten benötigen werden. Deren Antwort zeigt genau, welche Basisdaten aufgebaut werden müssen.

Phase 2: Inventur und Gap-Analyse (Wochen 3-6)

Sobald der Scope klar ist, zeigt strukturierte Inventur, womit man es wirklich zu tun hat.

Für NIS2: jedes kritische IT-System, jeden Lieferanten mit Netzwerkzugang, jeden Datenfluss der sensible Betriebsprozesse berührt. Diese Inventur zeigt fast immer Komplexität, die vorher nicht sichtbar war - Lieferantenzugänge, die nie formal geprüft wurden, Berechtigungen, die vor Jahren vergeben und nie widerrufen wurden, Einzelpunkte des Versagens in kritischen Systemen.

Für den AI Act: Jeden KI-Tool nach Risikolevel kategorisieren. Die meisten fallen in minimale oder begrenzte Risikokategorien und erfordern nur grundlegende Dokumentation. Hochrisikotools benötigen tiefere Prüfung. Die Inventur selbst dauert bei einem Unternehmen unter 200 Personen typischerweise zwei bis drei Wochen.

Für CSRD: Welche ESG-Daten werden schon erhoben, auch informal? Energieverbrauch in Betriebskostenabrechnungen. Einstellungs- und Fluktuationsdaten in HR-Systemen. Herkunftsländer der wichtigsten Lieferanten in Beschaffungsunterlagen. Die Basisdaten sind oft weiter, als Unternehmen erwarten - sie sind nur nicht in berichtbares Format gebracht.

Die Gap-Analyse priorisiert nach zwei Variablen: Bußgeldschwere und Umsetzungsvorlaufzeit. NIS2-Vorfälle können sofortige Durchsetzungsmaßnahmen auslösen. CSRD benötigt 18-24 Monate Basisdatenerfassung vor dem ersten belastbaren Bericht. Der AI Act hat mit August 2026 für Hochrisiko-KI-Systeme den nächsten harten Schnitt.

Nicht alles braucht externe Berater. Viele NIS2-Anforderungen - ein dokumentierter Incident-Response-Plan, eine Lieferantenrisikobewertung - können intern gelöst werden, wenn jemand das Ownership übernimmt. Das Spezialisten-Budget gehört dahin, wo technische Komplexität oder Rechtsauslegung echte Expertise erfordert.

Phase 3: Compliance in den Betrieb einbauen

Die Unternehmen, die Compliance gut managen, haben keine Compliance-Abteilung. Sie haben Compliance-Gewohnheiten, die in bestehende Abläufe integriert sind.

Quartalsreview-Zyklen, die bereits im Kalender stehen. Ein definierter Verantwortlicher je Regelwerk - keine Neueinstellung, sondern eine bestehende Person mit expliziter Verantwortung und 2-3 Stunden monatlicher Kapazität. Dokumentationssysteme, die nicht vom Wissen oder der weiteren Anwesenheit einzelner Personen abhängen.

Die Implementierungsarbeit ist eine Einmalinvestition. Der laufende Aufwand, wenn das System einmal steht, sind wenige Stunden pro Monat je Regelwerk. Die Kosten, das nicht zu tun - hektischer Aufwand wenn Durchsetzung kommt oder ein Kunde unter Vertriebsdruck nach Dokumentation fragt - liegen ein Vielfaches über der Upfront-Investition.

Für den Kontext, wie das in der Praxis aussieht: KI-Implementierung im Mittelstand folgt demselben Muster. Einmalige Einrichtungsinvestition, dauerhafter operativer Vorteil. Compliance-Infrastruktur ist nicht anders.

Die entscheidende Unterscheidung

Der Unterschied zwischen Unternehmen, die Compliance als Bürde erleben, und solchen, die sie als Vorteil nutzen, ist nicht Budget oder Unternehmensgröße. Es ist die Frage, ob Compliance als einmaliges Projekt oder als fortlaufende operative Fähigkeit behandelt wird.

Einmalige Projekte enden. Dann kommt eine Gesetzesänderung, ein neues Hochrisiko-Tool, eine CSRD-Anforderung der nächsten Stufe - und das Projekt beginnt von vorn. Operative Fähigkeiten passen sich an. Sie skalieren. Sie werden billiger pro Einheit Compliance-Ergebnis im Laufe der Zeit.

Das ist keine theoretische Unterscheidung. Die Automobillieferanten, die heute ESG-Daten sauber erfassen, werden 2027 keine Rekonstruktionsprojekte machen müssen, wenn die nächste CSRD-Erweiterung kommt. Die SaaS-Unternehmen, die heute einen KI-Inventarisierungsprozess haben, können nächstes Jahr neue KI-Tools in Stunden statt Wochen bewerten. Der Aufbau kostet Zeit. Der Betrieb kostet fast nichts.

Eine Aktion diese Woche

Ein Regelwerk auswählen. Das Scope-Assessment machen.

Kein Beratergespräch. Kein vollständiges Audit. Nur eine Frage beantworten: Sind wir betroffen oder nicht?

  • NIS2: BSI NIS2-Selbsttest unter bsi.bund.de. 20 Minuten.
  • AI Act: Alle KI-Tools der letzten 12 Monate auflisten. AI-Act-Dokumentation der Anbieter suchen. Lücken notieren.
  • CSRD: Einen Großkunden anschreiben. Fragen, welche ESG-Daten er 2026 von Lieferanten benötigt.

Eine Frage. Eine Stunde. Dann weiß man, wo man steht.

Die Unternehmen, die 2024 angefangen haben, sind vorn. Die Unternehmen, die jetzt anfangen, holen auf. Die Unternehmen, die 2026 anfangen, zahlen Premiumraten für beschleunigte Nachholarbeit - und verlieren in der Zwischenzeit weiter Aufträge an konforme Mitbewerber.

Compliance ist kein bürokratisches Pflichtprogramm mehr. Es ist die operative Grundlage, die bestimmt, ob Unternehmenskunden einem Lieferanten vertrauen können.

Du willst das systematisch angehen, ohne eine interne Compliance-Funktion aufzubauen? Genau das ist die Art von operativer Infrastrukturarbeit, die wir bei UHL Systems machen. Wir erfassen die Anforderungen, identifizieren die schnellen Gewinne und bauen die Prozesse, die aus Compliance ein nachhaltiges System statt einer wiederkehrenden Krise machen. Kostenfreies Strategiegespräch buchen - kein Pitch, nur eine ehrliche Einschätzung wo du stehst und was es braucht.

Weitere Artikel

Das Vertriebssystem das ohne dich läuft

Das Vertriebssystem das ohne dich läuft

Jeder Mittelständler kennt das Problem: Ohne den Chef läuft der Vertrieb nicht. Hier ist das System, das das ändert - ohne neue Mitarbeiter.

Preise Erhöhen Ohne Kunden Zu Verlieren

Preise Erhöhen Ohne Kunden Zu Verlieren

Eine 10% Preiserhöhung kann deinen Gewinn um 50% steigern. Warum die meisten Unternehmen es nie tun - und das System das funktioniert.

Webinar-Funnel: Schnellster Weg zu High-Ticket

Webinar-Funnel: Schnellster Weg zu High-Ticket

Consultants bloggen und mailen kalt ohne ROI. Webinar-Funnels komprimieren den Kaufentscheid von 90 auf 7 Tage. So baust du das System Schritt für Schritt.

// cache bust 1774510518