EPSIA Logo
  • Zurück zur Startseite
  • DE | EN

Förderung · Juli 2026

NIS-2 und EU AI Act: Was der Mittelstand jetzt tun muss

Einleitung

Der europäische Gesetzgeber hat in den vergangenen zwei Jahren zwei regulatorische Meilensteine geschaffen, die den deutschen Mittelstand unmittelbar betreffen: Die NIS-2-Richtlinie, die seit Dezember 2025 in nationales Recht umgesetzt ist, und der EU AI Act, dessen wesentliche Pflichten ab August 2026 greifen. Beide Regelwerke haben direkte Auswirkungen auf die Software, die Unternehmen einsetzen — und insbesondere auf veraltete Systeme, die seit Jahren ohne grundlegende Modernisierung im Einsatz sind.

Wer heute noch Legacy-Software betreibt, die weder aktuelle Sicherheitsstandards erfüllt noch ausreichend dokumentiert ist, steht vor einem doppelten Compliance-Problem. Die gute Nachricht: Es gibt staatliche Förderprogramme, die genau diese Modernisierung finanziell unterstützen.

NIS-2 — Was ist das?

Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU-Cybersecurity-Richtlinie, die seit Dezember 2025 in deutsches Recht umgesetzt wurde. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Kreis der betroffenen Unternehmen massiv: Nicht mehr nur kritische Infrastrukturen im engeren Sinne sind betroffen, sondern auch mittelständische Unternehmen aus Bereichen wie verarbeitendes Gewerbe, Lebensmittelproduktion, Abfallwirtschaft, Post- und Kurierdienste, chemische Industrie und digitale Dienste.

Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in diesen Sektoren fallen unter die Regelung. Die wesentlichen Anforderungen umfassen:

  • Risikomanagement: Unternehmen müssen technische und organisatorische Maßnahmen zur Beherrschung von Cybersicherheitsrisiken implementieren.
  • Incident Reporting: Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet und innerhalb von 72 Stunden detailliert berichtet werden.
  • Supply-Chain-Sicherheit: Die Sicherheit der gesamten Lieferkette — auch der eingesetzten Software — muss nachweisbar gewährleistet sein.

Für die Softwarelandschaft im Unternehmen bedeutet das konkret: Legacy-Software mit bekannten Vulnerabilities, ungepatchten Dependencies oder fehlenden Sicherheitsmechanismen ist ein unmittelbares Compliance-Risiko. Wer veraltete Systeme betreibt, kann die Anforderungen an Risikomanagement und Supply-Chain-Sicherheit schlicht nicht erfüllen.

EU AI Act — Was kommt?

Der EU AI Act ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Ab August 2026 gelten die wesentlichen Pflichten für Unternehmen, die KI-Systeme entwickeln, einsetzen oder auf dem europäischen Markt bereitstellen. Die Verordnung arbeitet mit einem risikobasierten Ansatz und unterscheidet vier Kategorien:

  • Unannehmbares Risiko: KI-Systeme, die verboten sind (z.B. Social Scoring, manipulative Techniken).
  • Hohes Risiko: KI in sicherheitskritischen Bereichen wie Medizin, Transport, Personalwesen oder Kreditvergabe — hier gelten strenge Dokumentations- und Prüfpflichten.
  • Begrenztes Risiko: Systeme mit Transparenzpflichten, etwa Chatbots, die sich als KI kenntlich machen müssen.
  • Minimales Risiko: Frei einsetzbare KI-Anwendungen ohne besondere Auflagen.

Wenn Sie KI in Ihrer Software einsetzen oder dies planen, muss die technische Grundlage stimmen. Der AI Act verlangt unter anderem lückenlose Dokumentation der verwendeten Trainingsdaten, Nachvollziehbarkeit der Entscheidungsprozesse, robuste Qualitätssicherung und kontinuierliches Monitoring. All das lässt sich auf einer veralteten, schlecht dokumentierten Codebasis nicht sinnvoll aufbauen.

Was das für Legacy-Software bedeutet

Viele mittelständische Unternehmen setzen auf Softwarelösungen, die vor Jahren entwickelt wurden und seither im Wesentlichen unverändert laufen. Diese Systeme sind oft das Rückgrat des Tagesgeschäfts — aber sie bergen erhebliche regulatorische Risiken:

  • Veraltete Dependencies = Sicherheitsrisiken = NIS-2-Problem. Frameworks und Bibliotheken, die nicht mehr mit Sicherheitspatches versorgt werden, enthalten bekannte Schwachstellen. Jede dieser Schwachstellen ist ein potenzieller Compliance-Verstoß unter NIS-2.
  • Fehlende Dokumentation = AI-Act-Problem. Ohne technische Dokumentation, Architektur-Beschreibungen und nachvollziehbare Entwicklungsprozesse ist der Nachweis gegenüber Aufsichtsbehörden nicht möglich — weder für bestehende KI-Funktionen noch für geplante KI-Integrationen.
  • Keine Tests = kein Qualitätsnachweis. Wer keine automatisierten Tests hat, kann nicht belegen, dass die Software korrekt und sicher funktioniert. Das betrifft sowohl die Risikobewertung unter NIS-2 als auch die Qualitätssicherung unter dem AI Act.

Die regulatorische Botschaft ist eindeutig: Technische Schulden sind nicht mehr nur ein internes Effizienzproblem — sie sind ein Compliance-Risiko mit potenziellen Bußgeldern. Unter NIS-2 drohen Strafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Förderprogramme nutzen

Die gute Nachricht: Der Staat weiß um die Herausforderungen der digitalen Transformation und fördert genau diese Art der Modernisierung. Mittelständische Unternehmen können aus einer Reihe von Programmen wählen:

  • Bayern Digitalbonus: Zuschuss von bis zu 50 % der förderfähigen Kosten, maximal 30.000 EUR (Digitalbonus Plus). Fördert die Einführung oder Verbesserung von IT-Sicherheit und digitalen Prozessen — geeignet für Software-Modernisierungsprojekte.
  • BW Digitalisierungsfinanzierung (L-Bank): Zuschuss- und Darlehensvariante für IT-Infrastruktur, Automatisierung und KI-Einsatz — das Nachfolge­programm der früheren Digitalisierungsprämie Plus.
  • KfW-ERP-Förderkredit Digitalisierung: Zinsgünstige Finanzierung ab 3,5 % für Digitalisierungsvorhaben. Geeignet für größere Modernisierungsprojekte mit längerer Laufzeit.
  • BAFA Beratungsförderung: Zuschuss von bis zu 1.750 EUR für qualifizierte Beratungsleistungen rund um Digitalisierung und IT-Sicherheit. Ein guter Einstieg, um den Handlungsbedarf professionell bewerten zu lassen.

In vielen Fällen lassen sich mehrere Programme kombinieren. Entscheidend ist, dass der Antrag vor Projektbeginn gestellt wird — eine nachträgliche Förderung ist in der Regel ausgeschlossen.

Fazit: Modernisierung ist keine Option mehr — sondern Pflicht

NIS-2 und EU AI Act verändern die Spielregeln für den deutschen Mittelstand grundlegend. Wer veraltete Software betreibt, riskiert nicht nur Sicherheitsvorfälle und Datenverluste, sondern auch empfindliche Bußgelder und Wettbewerbsnachteile. Die regulatorischen Anforderungen sind klar, die Fristen laufen, und die Fördermöglichkeiten sind vorhanden.

Der erste Schritt muss kein Mammutprojekt sein. Eine fundierte Analyse Ihrer bestehenden Software zeigt, wo die größten Risiken liegen und welche Maßnahmen den höchsten Compliance-Effekt haben. Genau dabei helfen wir.

Jetzt Quick Check starten

© 2026 EPSIA GmbH. Alle Rechte vorbehalten. | Impressum | Datenschutz