Skip to content
Home

24. März 2026 | 10 min

Regulation Overload 2026: Wie Unternehmen NIS2, AI Act und DORA gleichzeitig bewältigen

Im März 2026 ist „Regulation Overload“ keine Zuspitzung mehr, sondern operative Realität. NIS2 hätte bis zum 17. Oktober 2024 in nationales Recht überführt werden müssen, DORA gilt seit dem 17. Januar 2025 unmittelbar für den Finanzsektor, und beim AI Act gelten seit Februar 2025 bereits erste Pflichten, während der nächste grosse Umsetzungsblock im August 2026 folgt. Unternehmen stehen damit nicht vor einer einzelnen Deadline, sondern vor drei Regimen mit unterschiedlichen Logiken, unterschiedlichen Aufsichten und unterschiedlichen Nachweisanforderungen.

Die Lage wird dadurch noch anspruchsvoller, dass sich die Rechtslandschaft parallel weiter bewegt. Bei NIS2 hat die Kommission Anfang 2026 bereits gezielte Änderungen vorgeschlagen, um die Rechtslage klarer und die Umsetzung praktikabler zu machen. Gleichzeitig arbeitet die EU beim AI Act noch an weiteren Leitlinien und Support-Instrumenten. Das zeigt vor allem eines: 2026 ist kein Jahr für isolierte Einzelprojekte, sondern für ein integriertes GRC-Betriebsmodell.

Das wichtigste in Kürze

  • 2026 treffen drei sehr unterschiedliche Regulierungslogiken gleichzeitig auf Unternehmen: NIS2 als horizontaler Cybersicherheitsrahmen, DORA als sektorspezifische Finanzmarktregulierung und der AI Act als risikobasiertes Regelwerk für KI.
  • NIS2 ist in der Umsetzung in den Mitgliedstaaten weiter uneinheitlich, DORA ist bereits voll anwendbar, und beim AI Act steht mit August 2026 der nächste grosse Anwendungsschritt bevor.
  • Die Überschneidungen liegen vor allem bei Governance, Risikomanagement, Incident Handling, Drittparteiensteuerung, Dokumentation, Training und Nachweisführung.
  • Für Finanzunternehmen ist DORA in den überlappenden Bereichen des Cybersicherheitsrisikomanagements und der Vorfallmeldung der speziellere Rechtsakt gegenüber NIS2.
  • Wer die drei Regime erfolgreich bewältigen will, braucht keine drei parallelen Compliance-Programme, sondern eine gemeinsame Kontrollarchitektur mit klaren sektor- und KI-spezifischen Ergänzungen.

Warum 2026 zum GRC-Stresstest wird

Nicht jedes Unternehmen fällt unmittelbar und vollständig unter alle drei Regelwerke. In der Praxis entsteht der Druck dennoch oft gleichzeitig: etwa in Konzernen mit Finanztochter, in Gruppen mit kritischer Infrastruktur, bei Technologieanbietern für regulierte Kunden oder bei Unternehmen, die KI in regulierten oder sicherheitskritischen Prozessen einsetzen. Die eigentliche Herausforderung ist deshalb weniger die Einzelfrage „Bin ich betroffen?“, sondern die Kombination aus mehreren Rollen, mehreren Jurisdiktionen und mehreren Aufsichtslogiken.

Hinzu kommt: Die drei Regime greifen an unterschiedlichen Stellen im Unternehmen. NIS2 adressiert die Organisation als Betreiber wesentlicher oder wichtiger Dienste. DORA adressiert die digitale operationale Resilienz von Finanzunternehmen und ihrer ICT-Drittparteien. Der AI Act adressiert je nach Rolle Anbieter, Betreiber, Importeure, Distributoren und in bestimmten Konstellationen auch Unternehmen, die ein KI-System wesentlich verändern oder unter eigener Marke in Verkehr bringen. Dadurch entstehen Überschneidungen nicht nur zwischen Gesetzen, sondern auch zwischen Funktionen, Verantwortlichkeiten und Nachweispflichten.

Drei Regime, drei unterschiedliche Steuerungslogiken

NIS2: Breite Cyber-Governance mit nationaler Umsetzung

NIS2 schafft einen einheitlichen EU-Rahmen für Cybersicherheit in 18 kritischen Sektoren. Die Richtlinie arbeitet mit den Kategorien wesentliche und wichtige Einrichtungen, verlangt Cyber-Risikomanagement, Lieferketten- und Sicherheitsmassnahmen sowie gestufte Meldepflichten. Besonders relevant aus GRC-Sicht ist, dass die Richtlinie die Verantwortung des Managements ausdrücklich betont: Leitungsorgane müssen Massnahmen billigen, ihre Umsetzung überwachen und sich zu Cyberrisiken schulen lassen.

Gleichzeitig bleibt NIS2 im März 2026 ein Regime mit nationalem Umsetzungsrisiko. Die Kommission hatte bereits 23 Mitgliedstaaten zur vollständigen Umsetzung aufgefordert, und die fortlaufenden Debatten über Klarstellungen zeigen, dass Unternehmen sich nicht auf ein vollkommen harmonisiertes Marktbild verlassen können. Für international tätige Gruppen ist das ein echtes GRC-Problem, weil Scope, Aufsichtspraxis und Nachweisführung je Land variieren können.

DORA: Direkte Resilienzpflicht für den Finanzsektor

DORA gilt seit dem 17. Januar 2025 unmittelbar und harmonisiert die Anforderungen an digitale operationale Resilienz für 20 Arten von Finanzunternehmen sowie für ICT-Drittparteien im Aufsichtsrahmen. Im Zentrum stehen ein belastbares ICT-Risikomanagement, Incident Reporting, Resilienztests und eine deutlich schärfere Steuerung von Technologieabhängigkeiten. Mit der Benennung kritischer ICT-Drittanbieter durch die europäischen Aufsichtsbehörden Ende 2025 ist dieser Drittparteifokus nicht mehr theoretisch, sondern konkret operationalisiert.

DORA ist zudem granularer als viele klassische Cyber-Regime. Das zeigt sich etwa bei den Meldepflichten: Für schwere ICT-Vorfälle sieht DORA sehr enge Taktungen vor, einschliesslich einer initialen Meldung innerhalb von vier Stunden nach Klassifizierung als major und spätestens 24 Stunden nach Entdeckung, einem Zwischenbericht nach 72 Stunden sowie einem Abschlussbericht nach einem Monat. Dazu kommen formalisierte Anforderungen an Register der ICT-Dienstleistungen, Testing und interne Governance.

AI Act: Risikobasierte KI-Regulierung mit gestaffelter Anwendung

Der AI Act folgt einer anderen Logik. Er ist kein reines Cyber-Regime, sondern ein risikobasiertes Regelwerk für KI-Systeme und General-Purpose-AI-Modelle. Seit dem 2. Februar 2025 gelten bereits Verbote für bestimmte unzulässige KI-Praktiken sowie Pflichten zur AI Literacy. Seit dem 2. August 2025 gelten die Governance-Regeln und Pflichten für General-Purpose-AI-Modelle. Ab dem 2. August 2026 greifen dann der Grossteil der Regeln, insbesondere für High-Risk-AI-Systeme nach Anhang III sowie Transparenzpflichten, während bestimmte High-Risk-Systeme in regulierten Produkten erst 2027 folgen.

Für GRC-Verantwortliche ist entscheidend, dass der AI Act nicht nur Entwickler betrifft. Je nach Rolle entstehen Pflichten für Anbieter, Betreiber, Importeure und Distributoren. Bei High-Risk-AI kommen dokumentiertes Risikomanagement, Daten- und Modellgovernance, Logging, menschliche Aufsicht, Transparenz und Konformitätsbewertung hinzu. Ausserdem werden ab August 2026 ernsthafte Vorfälle mit High-Risk-AI meldepflichtig, was den AI Act in die Nähe klassischer Incident- und Post-Market-Regime rückt.

Wo sich NIS2, DORA und AI Act wirklich überlagern

1. Governance und Verantwortung des Managements

Alle drei Regime verschieben Technologie- und Cyberthemen deutlich näher an die Unternehmensleitung. NIS2 macht Cyberrisiken explizit zur Aufgabe des Managements. DORA verankert Governance, interne Kontrollen und Resilienz als Führungsaufgabe im Finanzsektor. Der AI Act zwingt Organisationen dazu, KI-Nutzung aus der Experimentierzone in formale Governance, Rollenklärung und dokumentierte Aufsicht zu überführen. Der gemeinsame Nenner lautet: Technologieentscheidungen sind 2026 keine reine Fachbereichsfrage mehr, sondern ein Board-Thema.

2. Risikomanagement statt Checklisten-Compliance

NIS2 verlangt angemessene Cyber-Risikomanagementmassnahmen. DORA fordert ein strukturiertes ICT-Risikomanagement mit konkreten organisatorischen und technischen Elementen. Der AI Act verlangt für High-Risk-AI ein dokumentiertes Risikomanagementsystem über den Lebenszyklus hinweg. Wer diese Regime getrennt bearbeitet, baut meist dreifache Methodik und dreifache Dokumentation auf. Wer sie intelligent verbindet, schafft eine gemeinsame Risikotaxonomie und einen gemeinsamen Kontrollkatalog mit regulatorischen Zusätzen je Regime.

3. Incident Handling wird zum Multikanal-Prozess

Unter NIS2 gelten für signifikante Vorfälle gestufte Meldefristen von 24 Stunden, 72 Stunden und einem Monat. DORA verlangt für schwere ICT-Vorfälle noch engere Taktungen. Und beim AI Act kommen für High-Risk-AI ab August 2026 eigene Melde- und Untersuchungsprozesse für schwerwiegende Vorfälle hinzu. Für Unternehmen bedeutet das: Ein Incident Playbook, das nur zwischen „IT“ und „Legal“ unterscheidet, reicht nicht mehr. Notwendig ist eine zentrale Klassifikation mit regulatorischer Routing-Logik.

4. Drittparteien- und Lieferkettenrisiken werden zentral

NIS2 betont Lieferketten- und Sicherheitsmassnahmen. DORA geht bei ICT-Drittparteien noch weiter und macht die Abhängigkeit von Technologieanbietern zu einem Kernelement der Aufsicht. Beim AI Act verschiebt sich der Blick auf die KI-Wertschöpfungskette: Rollen entlang der Wertkette, Pflichten für General-Purpose-AI-Modelle und Transparenzpflichten für bestimmte Systeme machen klar, dass auch KI-Zukauf und KI-Integration reguliert werden. Der klassische Einkauf ohne regulatorische Tiefenprüfung ist damit 2026 endgültig überholt.

5. Nachweisführung wird zum eigentlichen Engpass

Fast alle Unternehmen unterschätzen nicht die Pflicht, sondern den Beweis. NIS2 verlangt nachweisbare Governance und umsetzbare Sicherheitsmassnahmen. DORA fordert belastbare Register, Vorfallsdaten, Testnachweise und Drittparteieninformationen. Der AI Act bringt technische Dokumentation, Logs, Transparenzinformationen und je nach Rolle zusätzliche Pflichtartefakte mit. Das eigentliche GRC-Thema 2026 ist daher nicht nur „Was müssen wir tun?“, sondern „Wie belegen wir es konsistent und wiederverwendbar?“

Warum viele Umsetzungsprogramme scheitern

Die häufigste Fehlannahme lautet, dass drei Regime automatisch drei Projekte bedeuten. Genau das erzeugt die Überlastung. In der Praxis entstehen dann drei Scope-Analysen, drei Kontrolllandschaften, drei Reporting-Logiken und drei verschiedene Managementberichte. Das Ergebnis ist nicht höhere Sicherheit, sondern regulatorische Reibung.

Die zweite grosse Fehlannahme ist organisatorisch: Viele Unternehmen ordnen NIS2 der Security, DORA dem Regulatorikteam und den AI Act dem Legal- oder Innovationsteam zu. Dadurch werden identische Grundfragen an verschiedenen Stellen parallel bearbeitet: Welche Assets sind kritisch? Welche Drittparteien sind wesentlich? Wie wird ein Vorfall klassifiziert? Welche Logs muessen vorliegen? Wer darf ein Risiko freigeben?

Die dritte Fehlannahme betrifft die Zeitachse. Manche Organisationen warten noch immer auf die vollständige nationale NIS2-Umsetzung oder auf weitere Leitlinien zum AI Act. Das ist nachvollziehbar, aber gefährlich. Denn DORA gilt bereits, der AI Act hat bereits erste Pflichten aktiviert, und der nächste grosse AI-Stichtag im August 2026 ist operativ nah. Wer auf perfekte Klarheit wartet, verliert wertvolle Monate.

Wie Unternehmen NIS2, AI Act und DORA gleichzeitig bewältigen

Der erste Schritt ist keine Massnahme, sondern ein Strukturentscheid: Unternehmen brauchen ein einziges Steuerungsmodell, das auf Entität, Funktion, Produkt, Dienstleistung und KI-Anwendungsfall aufsetzt. Die richtige Frage ist nicht „Welches Gesetz gilt?“, sondern „Welche Kombination von Pflichten gilt wo und warum?“

Darauf aufbauend sollte ein gemeinsamer Kontrollkern definiert werden. Dazu gehören typischerweise Asset- und Prozessinventar, Rollen und Verantwortlichkeiten, Risikoanalyse, Zugriffskontrollen, Monitoring, Logging, Incident Handling, Business Continuity, Drittparteiensteuerung, Schulung und Management-Reporting. Erst danach werden regulatorische Spezialitäten aufgesetzt, etwa DORA-spezifische Register- und Testpflichten oder AI-Act-spezifische Transparenz-, Konformitäts- und Post-Market-Anforderungen.

Für Finanzunternehmen ist zudem eine saubere Abgrenzung essenziell. Wo DORA als sektorspezifischer Rechtsakt die überlappenden Cyber- und Incident-Anforderungen abdeckt, darf NIS2 nicht einfach doppelt darübergelegt werden. Genau diese Klarheit verhindert Doppelmeldungen, widersprüchliche Kontrollanforderungen und ineffiziente Prüfpfade.

Praktisch besonders wirksam ist ein gemeinsames Evidenzmodell. Statt für jedes Regime neue Nachweise zu bauen, sollten Unternehmen eine zentrale Beweisarchitektur etablieren: einheitliche Kontrollbeschreibungen, ein gemeinsames Control Mapping, konsolidierte Nachweisquellen und ein Reporting, das regulatorisch sauber ausgeleitet werden kann. Genau hier entscheidet sich, ob GRC skaliert oder kollabiert.

Und schliesslich braucht es 2026 einen klaren Priorisierungsfokus: Wer bereits unter DORA oder NIS2 arbeitet, sollte die nächsten Monate gezielt nutzen, um AI-Act-Reife aufzubauen. August 2026 ist kein reiner Legal-Meilenstein, sondern ein Umstellungspunkt für Prozesse, Dokumentation, Transparenz und Incident Readiness bei High-Risk-AI.

Fazit

Regulation Overload 2026 ist in Wahrheit kein Mengenproblem, sondern ein Architekturproblem. Unternehmen scheitern nicht daran, dass NIS2, DORA und der AI Act zu viele Einzelpflichten enthalten. Sie scheitern daran, dass sie diese Pflichten noch immer in getrennten Silos denken.

Wer 2026 erfolgreich sein will, muss die drei Regime als ein gemeinsames GRC-Problem begreifen: mit einer einheitlichen Governance, einer gemeinsamen Kontrollbasis, klarer Entitäts- und Rollenlogik sowie einem belastbaren Nachweis- und Incident-Modell. Genau darin liegt die eigentliche Chance. Denn Unternehmen, die diesen Schritt schaffen, erfüllen nicht nur Regulierung besser. Sie werden auch robuster, schneller und steuerbarer.

FAQ

Betrifft diese Regulierungswelle wirklich jedes Unternehmen?
Nein. Aber sehr viele Unternehmen sind direkt oder indirekt betroffen. NIS2 erfasst 18 kritische Sektoren, DORA betrifft den Finanzsektor und seine ICT-Abhängigkeiten, und der AI Act greift je nach Rolle bei Entwicklung, Bereitstellung oder Nutzung von KI. In Konzernen, Plattformmodellen und Lieferketten können deshalb mehrere Regime gleichzeitig relevant werden.

Was hat Vorrang, wenn DORA und NIS2 beide einschlägig wirken?
Für Finanzunternehmen ist DORA der sektorspezifische Rechtsakt. In den überlappenden Bereichen des Cybersicherheitsrisikomanagements und der Vorfallmeldung geht DORA daher vor. Das bedeutet nicht, dass NIS2 irrelevant ist, wohl aber, dass Unternehmen die Abgrenzung juristisch und operativ sauber lösen muessen.

Was ist im März 2026 die dringendste Frist?
Operativ ist der nächste grosse unionsweite Umsetzungspunkt der 2. August 2026 im AI Act, wenn der Grossteil der Regeln, insbesondere für High-Risk-AI nach Anhang III und Transparenzpflichten, greift. DORA gilt bereits seit Januar 2025, und NIS2 ist ebenfalls schon im Anwendungsfenster, auch wenn die nationale Umsetzung weiter uneinheitlich ist.

Reicht es, drei separate Gap-Analysen zu machen?
Für den Start kann das helfen. Für die Umsetzung ist es fast immer zu wenig. Entscheidend ist, die Lücken in eine gemeinsame Kontroll- und Evidenzarchitektur zu überführen. Sonst entstehen drei Projekte, aber kein steuerbares Betriebsmodell.

Wer sollte intern die Federführung übernehmen?
Am besten ein zentrales GRC- oder Transformations-Setup mit klarer Einbindung von Security, Risk, Compliance, Legal, IT, Einkauf und den betroffenen Fachbereichen. Die Führungsverantwortung muss sichtbar oben verankert sein, operativ braucht es aber eine Stelle, die Überschneidungen aktiv zusammenführt.

Share

Related posts

Von Risikomanagement zu Resilienz
15 Juli 2025 | 4 min

Von Risikomanagement zu Resilienz

 Klassisches Risikomanagement und operative Resilienz wurden in Unternehmen lange als zwei getrennte Welten betrachtet. Während das Risikomanagement auf strategischer Ebene Risiken identifiziert und bewertet, sorgt die Resilienzfunktion dafür, dass der Betrieb auch im Krisenfall aufrechterhalten wird. Doch diese Trennung ist gefährlich. In einer Welt, in der Krisen sich überlagern, Lieferketten volatil bleiben, IT-Ausfälle zur Regel<a href="https://zazoon.com/de/von-risikomanagement-zu-resilienz/">Continue reading <span class="sr-only">"Von Risikomanagement zu Resilienz"</span></a>
Read more
Unternehmenskultur als Fundament wirksamer Governance: Warum Regeln allein nicht reichen
08 Juli 2025 | 5 min

Unternehmenskultur als Fundament wirksamer Governance: Warum Regeln allein nicht reichen

 In vielen Organisationen ist Governance eng mit formalen Regelwerken, Kontrollen und Richtlinien verknüpft. Doch immer häufiger zeigt sich: Effektive Governance braucht mehr als Strukturen – sie braucht Haltung. Die gelebte Unternehmenskultur entscheidet, ob Richtlinien wirken, Risiken aktiv gesteuert und Werte tatsächlich gelebt werden. Dieser Artikel zeigt, warum Unternehmenskultur das Fundament guter Governance bildet – nicht<a href="https://zazoon.com/de/unternehmenskultur-als-fundament-wirksamer-governance-warum-regeln-allein-nicht-reichen/">Continue reading <span class="sr-only">"Unternehmenskultur als Fundament wirksamer Governance: Warum Regeln allein nicht reichen"</span></a>
Read more
Bankenfusionen in der EU: Wie GRC den Kurs bestimmt
21 Juli 2025 | 3 min

Bankenfusionen in der EU: Wie GRC den Kurs bestimmt

 Die Europäische Union verstärkt aktuell den Druck auf ihre Mitgliedsstaaten, grenzüberschreitende Bankenfusionen nicht länger politisch zu blockieren. Ziel ist ein stärker integrierter europäischer Bankensektor, der international wettbewerbsfähig bleibt und systemische Risiken besser abfedert. Die Debatte um geplante Fusionen in Spanien, Italien und potenziell auch Deutschland bringt dabei zentrale Fragestellungen aus dem GRC-Kontext auf den Tisch:<a href="https://zazoon.com/de/bankenfusionen-in-der-eu-wie-grc-den-kurs-bestimmt/">Continue reading <span class="sr-only">"Bankenfusionen in der EU: Wie GRC den Kurs bestimmt"</span></a>
Read more