Der Sommer 2026 markiert im europäischen Digitalrecht weniger den Start vollkommen neuer Regelungen als vielmehr den Zeitpunkt, an dem bereits beschlossene Regelwerke in die Unternehmenspraxis umgesetzt werden müssen. Nachdem Unternehmen im den vergangenen Jahren insbesondere durch den Digital Operational Resilience Act (DORA) ihre Resilienz- und Governance-Strukturen schrittweise nachschärfen, verdichtet sich nun die regulatorische Landschaft erneut. Damit wird aus strategischer Vorbereitung konkrete Compliance‑Arbeit: Fristen, Meldewege, Produkt‑ und Organisationspflichten müssen nun in laufende Prozesse integriert sein.
Im Zentrum stehen dabei insbesondere die KI‑Verordnung und der Cyber Resilience Act (CRA). Aber auch Fragen der Informationssicherheit und HR-Compliance bedürfen einer aufmerksamen Prüfung durch die unternehmensinternen Compliance-Abteilungen.
Rückblick Frühjahr: Pflicht zur Registrierung nach NIS-2 bis zum 06. März 2026
Seit dem 6. Dezember 2025 gilt in Deutschland das Gesetz zur Umsetzung der NIS‑2‑Richtlinie, die das nationale Cybersicherheitsrecht modernisiert und einen deutlich erweiterten Kreis von Unternehmen zu Informationssicherheitsmaßnahmen verpflichtet. NIS‑2 ist damit bereits operativ relevant ein und verknüpfen die Anforderungen ausdrücklich mit Governance‑, Nachweis‑ und Meldeprozessen. Für betroffene Unternehmen endete die Frist zur Erstregistrierung im BSI-Portal drei Monate nach Inkrafttreten des deutschen Umsetzungsgesetzes gem. § 33 Abs. 1 BSIG bzw. § 34 Abs. 1 bereits am 06. März 2026 ab. Verspätung können nach § 65 Abs. 2 Nr. 6 und Nr. 8 mit Bußgeld geahndet werden.
Pay Transparency Richtlinie: Umsetzungsfrist zum 7. Juni 2026
Der Sommer 2026 beginnt mit Ablauf der Frist für Mitgliedsstaaten zur Übersetzung der Entgelttransparenzrichtlinie in nationales Recht zum 7. Juni 2026. Unternehmen müssen zu diesem Zeitpunkt zwar primär diese Umsetzung abwarten, sollten jedoch bereits strukturell vorbereitet sein. Die Richtlinie führt umfassende Transparenzpflichten ein, etwa im Bewerbungsprozess, sowie neue Auskunftsrechte für Beschäftigte und Berichtspflichten zu geschlechtsspezifischen Entgeltunterschieden. Auch wenn viele konkrete Anforderungen erst mit nationaler Umsetzung praktisch greifen, entsteht bereits im Sommer 2026 erheblicher Handlungsdruck, insbesondere im Hinblick auf Vergütungsstrukturen, Dokumentation und HR-Prozesse. Die Entgelttransparenz wird damit zu einem weiteren Compliance-Baustein, der – anders als die Digitalregulierung – stärker in interne Organisations- und Personalstrukturen hineinwirkt.
Umsetzung der Pflichten des AI-Acts bis zum 2. August 2026?
Der 02. August 2026 gilt als maßgeblicher Stichtag des AI-Acts. Ab diesem Zeitpunkt müssen nach noch geltendem Recht Hochrisiko-KI-Systeme vollständig den regulatorischen Anforderungen entsprechen. Unternehmen, die solche Systeme entwickeln oder einsetzen, sind verpflichtet, umfassende Risikomanagementstrukturen zu etablieren, die Qualität und Governance der verwendeten Daten sicherzustellen und eine belastbare technische Dokumentation vorzuhalten. Hinzu kommen Anforderungen an Transparenz, menschliche Aufsicht sowie an die Robustheit und Sicherheit der Systeme. Diese Pflichten greifen unmittelbar in Entwicklungsprozesse, Produktdesign und interne Kontrollstrukturen ein und machen KI-Compliance erstmals zu einer operativen Daueraufgabe. Durch den sich im Gesetzgebungsverfahren befindlichen Digital Omnibus ist aber eine Verschiebung der High-Risk-Pflichten auf Ende 2027 bzw. 2028 möglich.
Anpassung der internen Prozesse an die E-Evidence Verordnung bis zum 18. August 2026
Ebenfalls im August 2026 tritt das deutsche Gesetz zur Durchführung der e-Evidence-Verordnung in Kraft. Für betroffene Anbieter elektronischer Kommunikationsdienste sowie bestimmte Plattformdienste bedeutet dies, dass sie ab diesem Zeitpunkt in der Lage sein müssen, europäische Herausgabe- und Sicherungsanordnungen rechtssicher zu bearbeiten. Praktisch erfordert dies die Einrichtung belastbarer Prozesse zur Identifikation, Sicherung und Übermittlung von Daten sowie klare Zuständigkeiten im Umgang mit behördlichen Anfragen aus anderen Mitgliedstaaten. Anders als viele andere Digitalregulierungen adressiert die Verordnung keinen breiten Unternehmenskreis, stellt für die betroffenen Akteure jedoch eine unmittelbar wirksame und organisatorisch anspruchsvolle Verpflichtung dar.
Erste Umsetzungspflichten aus dem CRA im Juni und September 2026
Der CRA regelt die Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, ist seit Dezember 2024 in Kraft und sieht eine gestaffelte Anwendung der Pflichten bis Ende 2027 vor. Im Sommer 2026 verdichtet sich erstmals die operative Umsetzung: Bereits jetzt müssen Unternehmen intern sicherstellen, dass sie über belastbare Prozesse zur Erkennung, Bewertung und Klassifizierung von Schwachstellen verfügen. Dies umfasst insbesondere den Aufbau technischer Monitoring-Strukturen sowie klar definierter Verantwortlichkeiten entlang des gesamten Produktlebenszyklus. Der Fokus liegt hier noch auf der organisatorischen und prozessualen Einsatzfähigkeit, denn ab Juni 2026 können Konformitätsbewertungsstellen die Einhaltung der CRA-Anforderungen prüfen. Bei Verstößen drohen nicht nur Bußgelder, sondern auch Verkaufsverbote für die betroffenen Produkte.
Ab September 2026 tritt hierzu die zentrale, unmittelbar verpflichtende Vorgabe aus Art 14 CRA hinzu, aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden zu melden. Damit wird aus vorbereitender Cybersicherheitsorganisation eine rechtlich bindende Echtzeit-Verantwortung. Entscheidend ist nicht mehr nur die Fähigkeit zur Absicherung von Produkten „by design“, sondern die kontinuierliche Überwachung im Betrieb, einschließlich funktionierender Incident-Response-Prozesse, klarer Meldewege und der Fähigkeit, regulatorische Anforderungen unter Zeitdruck zuverlässig zu erfüllen.
Umsetzung des Data Acts bis zum 12. September 2026
Parallel dazu treten ab dem 12. September 2026 zentrale Vorschriften des Data Acts in die Anwendung. Ab diesem Zeitpunkt sind Unternehmen verpflichtet, Produkte mit digitalen Elementen sowie verbundene Dienste so zu gestalten, dass durch Nutzung entstehende Daten für Nutzer zugänglich, übertragbar und technisch nutzbar gemacht werden können. Diese „Access-by-Design“-Anforderung ist nicht lediglich programmatischer Natur, sondern verlangt bis zum Stichtag konkrete technische Umsetzungen. Bereits in den Monaten davor – also insbesondere im Sommer 2026 – müssen Unternehmen ihre Systeme entsprechend vorbereitet haben. Konkret bedeutet dies, dass Daten über geeignete Schnittstellen strukturiert bereitgestellt werden müssen, Zugriffs- und Berechtigungskonzepte implementiert sind und Interoperabilität gewährleistet werden kann. Der „Digital-Omnibus“ soll jedoch eine Entlastung der konkreten Pflichten bewirken.
Ausblick: Entlastung durch die Omnibus-Pakete?
Unter dem Begriff „Omnibus“ verfolgt die EU-Kommission das Ziel, bestehende Regulierungswerke gebündelt zu überarbeiten, zu vereinfachen und besser aufeinander abzustimmen, ohne dabei die grundlegenden Zielsetzungen aufzugeben. Anders als klassische Einzelreformen handelt es sich bei Omnibus-Paketen um querschnittliche Gesetzgebungsvorhaben, die mehrere Rechtsakte gleichzeitig adressieren und insbesondere auf Reduktion von Komplexität und administrativen Belastungen abzielen.
Bereits beschlossen ist das Omnibus-Paket im Bereich der Nachhaltigkeitsregulierung, das insbesondere die Corporate Sustainability Reporting Directive (CSRD) und die Corporate Sustainability Due Diligence Directive (CSDDD) betrifft. Hier wurden die Anwendungsbereiche deutlich angepasst, etwa durch erhöhte Schwellenwerte bei der CSRD, wodurch viele Unternehmen vorerst aus dem Anwendungsbereich herausfallen. Gleichzeitig wurde die Umsetzung der CSDDD zeitlich nach hinten verschoben, sodass die entsprechenden Sorgfaltspflichten erst später greifen werden. Dieses Paket ist bereits wirksam und führt kurzfristig zu einer spürbaren Entlastung im Bereich der Nachhaltigkeits-Compliance.
Daneben befinden sich weitere Omnibus-Initiativen im Gesetzgebungsverfahren, insbesondere der sogenannte Digital Omnibus sowie der Omnibus on AI. Diese zielen darauf ab, die kumulierten Anforderungen der digitalen Regulierung – insbesondere im Zusammenspiel von AI Act, Data Act und angrenzenden Regelwerken – besser handhabbar zu machen. Während beim Data Act vor allem inhaltliche Präzisierungen und punktuelle Entlastungen diskutiert werden, steht beim AI Act insbesondere eine Verschiebung der Fristen für Hochrisiko-KI-Systeme im Raum.
Fazit
Der Sommer 2026 markiert den Übergang von Vorbereitung zu verbindlicher operativer Umsetzung zentraler EU-Digitalregulierung. Mehrere Regelwerke greifen zeitgleich und erfordern integrierte Lösungen in Technik, Prozessen und Governance.
Zugleich zeigen die Omnibus-Initiativen, dass Fristen und Anforderungen weiterhin in Bewegung sind und punktuellen Entlastungen, aber ohne grundlegende Abkehr vom Regulierungsniveau bringen. Unternehmen sollten daher kurzfristige Umsetzung mit strategischer Anpassungsfähigkeit verbinden und regulatorische Entwicklungen eng verfolgen.
NIS-2 jetzt umsetzen
KINAST Informationssicherheitsberatung für NIS-2-regulierte Einrichtungen
Ganzheitliche Beratung zu Cybersicherheit, Risikomanagement, Incident Response und regulatorischer Umsetzung.
