© iw consult

 
Zahlreiche kleine und mittlere Unternehmen in Deutschland müssen sich auf drei neue EU-Rechtsakte im Bereich Künstliche Intelligenz (KI) und Cybersicherheit einstellen. Die neue Kurzstudie der Begleitforschung des Förderschwerpunkts Mittelstand-Digital zeigt auf, welche Herausforderungen und Chancen entstehen.

KI‑VO, NIS‑2‑RL und CRA – diese Kürzel sind vielen kleinen und mittleren Unternehmen (KMU) in Deutschland noch nicht geläufig, obwohl sie bereits jetzt den Handlungsrahmen für zahlreiche Betriebe grundlegend verändern. Die Zeit zum Handeln läuft.

Die KI-Verordnung (KI-VO) soll den sicheren und grundrechtskonformen Einsatz von KI gewährleisten, ohne die Innovationskraft zu dämpfen. Sie teilt KI-Systeme in verschiedene Risikokategorien ein, aus denen sich je nach Einstufung Verbote oder abgestufte Pflichten ergeben. Dies bedeutet: Jedes Unternehmen, das KI nutzt, muss prüfen, in welche Risikoklasse das eingesetzte System fällt, welche konkreten Anforderungen daraus resultieren und welche Maßnahmen getroffen werden müssen. Während viele KI-Anwendungen nur geringe oder keine zusätzlichen Kosten verursachen, können Hochrisiko-KI-Lösungen umfangreichere Maßnahmen erfordern.

Die NIS-2-Richtlinie (NIS-2-RL) hebt die Anforderungen an die Cybersicherheit auf ein neues Niveau. Das Umsetzungsgesetz wurde am 5. Dezember 2025 im Bundesgesetzblatt verkündet und ist damit am 6. Dezember 2025 in Deutschland in Kraft getreten, nachdem es zuvor vom Bundestag beschlossen und vom Bundesrat genehmigt wurde. Rund 30.000 Unternehmen fallen direkt unter die Regelung und sind verpflichtet, umfassende organisatorische und technische Schutzmaßnahmen zu ergreifen. Über die Lieferketten können schätzungsweise weitere 200.000 Unternehmen indirekt betroffen sein. Die Höhe der Compliance-Kosten hängt dabei stark vom bestehenden IT-Sicherheitsniveau ab: Unternehmen mit bislang schwacher Sicherheitsinfrastruktur müssen nachrüsten, während bereits gut geschützte Unternehmen nur geringfügige Anpassungen vornehmen müssen.

Der Cyber Resilience Act (CRA) richtet sich an Hersteller, Händler und Importeure von Produkten mit digitalen Elementen – von reiner Software bis hin zu vernetzter Hardware. Künftig sind diese verpflichtet, über einen Zeitraum von fünf Jahren (oder, falls kürzer, über die gesamte Produktlebensdauer) Schwachstellenmanagement, regelmäßige Sicherheitsupdates und eine technische Dokumentation sicherzustellen. Schätzungen gehen davon aus, dass zwischen 38.000 und 120.000 Unternehmen in Deutschland von diesen Vorgaben betroffen sein werden, was bei diesen ebenfalls zu zusätzlichen Kosten führen kann.

Trotz der entstehenden Kosten überwiegen mittel- bis langfristig die Vorteile der neuen Regelungen. In einer Zeit steigender Bedrohungen ist Cybersicherheit weniger eine bürokratische Pflicht als vielmehr eine Investition in die digitale Resilienz und Wettbewerbsfähigkeit jedes KMU. Ein höheres Sicherheitsniveau stärkt das Vertrauen von Kundinnen und Kunden, der harmonisierte EU-Rechtsrahmen erleichtert den grenzüberschreitenden Marktzugang und nachweislich sichere Produkte und Prozesse können zu einem klaren Wettbewerbsvorteil werden.

Für viele KMU stellt sich jedoch die Frage, ob und in welchem Umfang sie betroffen sind. Gleichzeitig fehlt es an Fachkräften mit dem rechtlich-technischen Know-how in den KMU, und IT- sowie Compliance-Strukturen sind oftmals nur schwach ausgeprägt – insbesondere in Unternehmen ohne eigene IT- oder Rechtsabteilung.

Hier setzt der Förderschwerpunkt Mittelstand-Digital, bestehend aus dem Netzwerk der Mittelstand-Digital Zentren und der Transferstelle Cybersicherheit im Mittelstand, an. Die Zentren wie auch die Transferstelle bieten praxisnahe Informationsmaterialien zu den drei Rechtsakten, wie z.B. die Broschüre „Praxisbeispiele zur KI-VO“, digitale Tools (z. B. den FitNIS2 Navigator) und Checks sowie Qualifizierungs- und Schulungsangebote (z. B. die Weiterbildungsplattform kmu.kompetent.sicher) an. Die KI-Trainerinnen und KI-Trainer der Zentren klären z.B. mit Workshops, Unternehmensbesuchen, Roadshows und Vorträgen zum Thema KI auf. Darüber hinaus ergänzen die European Digital Innovation Hubs die Angebotslandschaft. Durch diese Unterstützungsmöglichkeiten können KMU die neuen Vorgaben bewältigen, ihre digitale Resilienz stärken und die sich daraus ergebenden strategischen Chancen gezielt nutzen. 

 
Weitere Informationen

Weiterführende Angebote finden Sie auf der Website von Mittelstand-Digital. Die Kurzstudie „KI-Verordnung, NIS-2-Richtlinie und Cyber Resilience Act: Auswirkungen auf KMU“ finden Sie in unserem Downloadbereich.