Zwei Regulierungen treffen 2026 aufeinander: der EU AI Act mit seiner KI-Kompetenzpflicht und die NIS-2-Richtlinie mit verschärften Cybersicherheitsanforderungen. Für Unternehmen entsteht daraus eine doppelte Schulungspflicht. Denn KI verändert die Bedrohungslandschaft grundlegend und macht gleichzeitig neue Abwehrstrategien möglich. Dieser Artikel zeigt, wie beide Regelwerke zusammenwirken und was Unternehmen konkret umsetzen müssen.
Das Wichtigste in Kürze
- Die NIS-2-Richtlinie erweitert die Cybersicherheitspflichten auf deutlich mehr Unternehmen als bisher. Geschätzt 29.000 bis 40.000 Unternehmen in Deutschland sind betroffen.
- Die Geschäftsführung haftet persönlich für die Umsetzung der Cybersicherheitsmaßnahmen und muss selbst an Schulungen teilnehmen.
- KI-gestützte Cyberangriffe (Phishing mit Deepfakes, automatisierte Schwachstellensuche) machen klassische Sicherheitskonzepte unzureichend.
- Gleichzeitig ermöglicht KI in der Cyberabwehr schnellere Bedrohungserkennung und automatisierte Reaktion.
- Die Schulungspflichten aus NIS-2 und EU AI Act überschneiden sich: Wer KI für Cybersicherheit einsetzt, braucht sowohl Cyber- als auch KI-Kompetenz.
- Die Weiterbildung zum Digitalisierungsmanager deckt beide Bereiche ab: KI-Kompetenz und IT-Sicherheitsgrundlagen.
NIS-2: Was ist das und wen betrifft es?
Die NIS-2-Richtlinie (Network and Information Security Directive 2, EU 2022/2555) ist die überarbeitete EU-Richtlinie für Cybersicherheit. Sie ersetzt die NIS-1-Richtlinie von 2016 und erweitert den Anwendungsbereich massiv.
Zeitplan
Die NIS-2-Richtlinie hätte bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. In Deutschland wurde das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) im März 2025 verabschiedet. Die Pflichten gelten seit Inkrafttreten des Gesetzes.
Wer ist betroffen?
NIS-2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen:
Wesentliche Einrichtungen (strengere Aufsicht): - Energie (Strom, Gas, Öl, Fernwärme) - Verkehr (Luft, Schiene, Wasser, Straße) - Bankwesen und Finanzmarktinfrastruktur - Gesundheitswesen - Trinkwasserversorgung und Abwasserentsorgung - Digitale Infrastruktur (DNS, TLD-Registries, Cloud, Rechenzentren) - Öffentliche Verwaltung - Weltraum
Wichtige Einrichtungen (weniger strenge Aufsicht): - Post- und Kurierdienste - Abfallbewirtschaftung - Chemische Industrie - Lebensmittelproduktion und -vertrieb - Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Fahrzeuge) - Digitale Dienste (Marktplätze, Suchmaschinen, Social Media) - Forschungseinrichtungen
Schwellenwerte: Generell erfasst NIS-2 Unternehmen mit mindestens 50 Mitarbeitern oder mehr als 10 Millionen Euro Jahresumsatz. Einige Sektoren (DNS, TLD-Registries, qualifizierte Vertrauensdiensteanbieter) sind unabhängig von der Größe betroffen.
Besonders wichtig: Lieferketteneffekt
Auch wenn Ihr Unternehmen nicht direkt unter NIS-2 fällt, können Sie indirekt betroffen sein. NIS-2-pflichtige Unternehmen müssen ihre Lieferkette absichern. Wenn Sie Zulieferer eines betroffenen Unternehmens sind, werden Ihre Kunden Cybersicherheitsnachweise von Ihnen verlangen.
KI und Cybersicherheit: Die neue Bedrohungslandschaft
KI als Angriffswaffe
KI verändert die Cyberbedrohung qualitativ:
1. KI-gestütztes Phishing. Generative KI erstellt personalisierte Phishing-E-Mails, die von echten Geschäftsmails kaum zu unterscheiden sind. Sprachstil, Tonalität und Kontext werden automatisch angepasst. Die Erfolgsquote steigt laut BSI-Lagebericht 2025 um den Faktor 3 bis 5.
2. Deepfake-Betrug. Audio- und Video-Deepfakes ermöglichen CEO-Fraud auf einem neuen Niveau. In dokumentierten Fällen wurden Millionenbeträge überwiesen, nachdem ein Deepfake-Video des Geschäftsführers die Freigabe "erteilte".
3. Automatisierte Schwachstellensuche. KI-Tools scannen Netzwerke und Software deutlich schneller und umfassender als manuelle Methoden. Was früher Tage dauerte, passiert in Minuten.
4. Adaptive Malware. Schadsoftware, die ihr Verhalten anpasst, um Erkennungssysteme zu umgehen. KI-gestützte Malware lernt aus den Abwehrreaktionen und verändert ihre Signatur.
KI als Verteidigungsinstrument
Gleichzeitig bietet KI neue Möglichkeiten für die Cyberabwehr:
1. Anomalieerkennung. KI-Systeme erkennen ungewöhnliche Muster im Netzwerkverkehr, die auf einen Angriff hindeuten, oft bevor ein Mensch den Vorfall bemerkt.
2. Automatisierte Reaktion. Bei erkannten Bedrohungen können KI-Systeme automatisch Gegenmaßnahmen einleiten: verdächtige Verbindungen trennen, Benutzerkonten sperren, Systeme isolieren.
3. Phishing-Erkennung. KI-basierte E-Mail-Filter erkennen Phishing-Versuche deutlich zuverlässiger als regelbasierte Systeme, insbesondere bei neuen, bisher unbekannten Angriffsmustern.
4. Schwachstellenmanagement. KI-Tools priorisieren entdeckte Schwachstellen nach tatsächlichem Risiko, nicht nur nach CVSS-Score. Das hilft IT-Teams, die kritischsten Lücken zuerst zu schließen.
Doppelte Schulungspflicht: NIS-2 und EU AI Act
NIS-2-Schulungspflichten
Die NIS-2-Richtlinie verlangt in Artikel 20:
- Die Geschäftsführung muss an Cybersicherheitsschulungen teilnehmen und haftet persönlich für die Umsetzung.
- Alle Mitarbeiter müssen regelmäßig in Cybersicherheit geschult werden.
- Die Schulungen müssen die aktuellen Bedrohungen abdecken, einschließlich KI-gestützter Angriffe.
EU AI Act Artikel 4
- Alle Personen, die KI-Systeme bedienen, müssen über ausreichende KI-Kompetenz verfügen.
- Die Schulung muss dem Einsatzzweck angemessen sein.
- Die Kompetenz muss nachweisbar sein.
Wo sich beide Pflichten überschneiden
| Thema | NIS-2 | EU AI Act | Überschneidung |
|---|---|---|---|
| KI-gestütztes Phishing erkennen | Ja (Cyber-Schulung) | Ja (KI-Kompetenz) | Mitarbeiter müssen KI-generierte Fälschungen erkennen |
| KI-basierte Sicherheitstools bedienen | Ja (Tool-Schulung) | Ja (KI-System-Kompetenz) | SOC-Analysten brauchen beides |
| Deepfake-Betrug verhindern | Ja (Social Engineering) | Ja (KI-Risiken) | Finanzabteilung braucht beides |
| Incident Response mit KI | Ja (Vorfallmanagement) | Ja (KI-Monitoring) | IR-Team braucht beides |
Die Lösung: Eine integrierte Schulung, die Cybersicherheit und KI-Kompetenz verbindet.
Maßnahmen für Unternehmen: Die 7-Punkte-Checkliste
1. NIS-2-Betroffenheit prüfen
Prüfen Sie anhand der Sektoren und Schwellenwerte, ob Ihr Unternehmen unter NIS-2 fällt. Vergessen Sie nicht den Lieferketteneffekt: Auch als Zulieferer können Sie betroffen sein.
2. KI-Risikobewertung im Cybersicherheitskontext
Bewerten Sie, wie KI Ihre spezifische Bedrohungslage verändert:
- Wie anfällig ist Ihr Unternehmen für KI-gestütztes Phishing?
- Werden bei Ihnen Zahlungsfreigaben per Video oder Telefon erteilt (Deepfake-Risiko)?
- Nutzen Sie bereits KI-basierte Sicherheitstools?
- Sind Ihre Mitarbeiter für KI-generierte Fälschungen sensibilisiert?
3. Integrierte Schulungsstrategie entwickeln
Statt separate Schulungen für Cybersicherheit und KI-Kompetenz durchzuführen, verbinden Sie beides:
Modul 1: KI-Grundlagen und Bedrohungen (alle Mitarbeiter, 2 Stunden) - Was kann generative KI? Was sind Deepfakes? - Wie erkenne ich KI-generierte Phishing-Mails? - Verifizierungsprotokolle bei ungewöhnlichen Anfragen
Modul 2: KI in der Cyberabwehr (IT und Sicherheitsteam, 1 Tag) - KI-basierte Sicherheitstools bedienen und interpretieren - Anomalien erkennen und richtig reagieren - False Positives von echten Bedrohungen unterscheiden
Modul 3: Geschäftsführungsschulung (Management, 3 Stunden) - Persönliche Haftung nach NIS-2 - KI-Risiken auf Strategieebene - Budget- und Ressourcenplanung für Cybersicherheit
4. Technische Maßnahmen umsetzen
- Phishing-Schutz: KI-basierte E-Mail-Filter einsetzen
- Multi-Faktor-Authentifizierung: Pflicht für alle kritischen Systeme
- Deepfake-Verifizierung: Rückrufverfahren bei ungewöhnlichen Zahlungsanweisungen
- Netzwerk-Monitoring: KI-gestützte Anomalieerkennung
- Backup-Strategie: Regelmäßige, offline gespeicherte Backups
5. Dokumentation aufbauen
Beide Regelwerke verlangen Nachweisbarkeit. Dokumentieren Sie:
- Cybersicherheitsmaßnahmen und deren Wirksamkeit
- Durchgeführte Schulungen (Teilnehmer, Inhalte, Datum)
- Vorfälle und deren Behandlung
- KI-Systeme im Einsatz und deren Risikoklassifizierung
6. Meldeprozesse einrichten
NIS-2 verlangt strenge Meldefristen bei Sicherheitsvorfällen:
- 24 Stunden: Frühwarnung an das BSI (Bundesamt für Sicherheit in der Informationstechnik)
- 72 Stunden: Vollständige Vorfallmeldung
- 1 Monat: Abschlussbericht
Richten Sie klare interne Meldewege ein, damit diese Fristen eingehalten werden können.
7. Lieferkette absichern
Prüfen Sie die Cybersicherheit Ihrer Zulieferer und Dienstleister. Verankern Sie Sicherheitsanforderungen in Verträgen. Das betrifft auch KI-Dienstleister: Wo werden Ihre Daten verarbeitet? Welche Sicherheitsmaßnahmen hat der Anbieter implementiert?
Sanktionen bei Verstößen
| Regelwerk | Verstoß | Maximale Sanktion |
|---|---|---|
| NIS-2 (wesentliche Einrichtungen) | Unzureichende Sicherheitsmaßnahmen | 10 Mio. EUR oder 2 % des Jahresumsatzes |
| NIS-2 (wichtige Einrichtungen) | Unzureichende Sicherheitsmaßnahmen | 7 Mio. EUR oder 1,4 % des Jahresumsatzes |
| NIS-2 | Nicht-Meldung von Vorfällen | Bis zu 10 Mio. EUR |
| EU AI Act | Verstoß gegen Hochrisiko-Pflichten | 15 Mio. EUR oder 3 % des Jahresumsatzes |
| EU AI Act | Verstoß gegen Artikel 4 (Kompetenz) | 15 Mio. EUR oder 3 % des Jahresumsatzes |
Besonders brisant: Die persönliche Haftung der Geschäftsführung nach NIS-2. Geschäftsführer, die die Umsetzung der Cybersicherheitsmaßnahmen versäumen, können persönlich haftbar gemacht werden. Das ist ein Novum im europäischen Cybersicherheitsrecht.
KI-Kompetenz als Wettbewerbsvorteil
Die doppelte Regulierung klingt nach Bürokratie. Aber Unternehmen, die KI-Kompetenz und Cybersicherheit zusammendenken, gewinnen einen echten Vorteil:
- Schnellere Bedrohungserkennung durch KI-gestützte Tools
- Geringere Personalkosten durch automatisierte Sicherheitsprozesse
- Bessere Compliance durch dokumentierte Prozesse und Schulungen
- Vertrauensvorsprung bei Kunden und Geschäftspartnern
Die Weiterbildung zum Digitalisierungsmanager vermittelt beide Kompetenzbereiche: KI-Grundlagen, Prozessautomatisierung und IT-Sicherheit. 4 Monate, komplett online, DEKRA-zertifiziert und förderbar über das Qualifizierungschancengesetz.
Häufige Fragen
Ist mein Unternehmen von NIS-2 betroffen, wenn ich weniger als 50 Mitarbeiter habe?
In den meisten Fällen nicht direkt. NIS-2 erfasst generell Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Ausnahmen gelten für bestimmte Sektoren (DNS, qualifizierte Vertrauensdiensteanbieter), die unabhängig von der Größe betroffen sind. Indirekt können Sie über die Lieferkette betroffen sein, wenn Ihre Kunden NIS-2-pflichtig sind und Sicherheitsnachweise verlangen.
Muss die Geschäftsführung wirklich persönlich an Cybersicherheitsschulungen teilnehmen?
Ja. NIS-2 Artikel 20 verlangt ausdrücklich, dass die Leitungsorgane an Cybersicherheitsschulungen teilnehmen. Die Geschäftsführung muss die Risikomanagementmaßnahmen genehmigen, ihre Umsetzung überwachen und haftet bei Verstößen persönlich. Eine Delegation der Verantwortung an die IT-Abteilung reicht nicht aus.
Wie hängen NIS-2 und EU AI Act zusammen?
Beide Regelwerke sind eigenständig, aber sie überschneiden sich thematisch. NIS-2 verlangt Cybersicherheit, und KI-gestützte Angriffe sind Teil der Bedrohungslandschaft. Der EU AI Act verlangt KI-Kompetenz, und KI-basierte Sicherheitstools sind KI-Systeme. Wer KI in der Cybersicherheit einsetzt, muss beide Regelwerke gleichzeitig erfüllen. In der Praxis empfiehlt sich eine integrierte Schulung.
Brauche ich einen CISO (Chief Information Security Officer)?
NIS-2 schreibt keinen CISO vor, aber die Verantwortlichkeiten müssen klar zugeordnet sein. Für wesentliche Einrichtungen ist ein dedizierter Sicherheitsverantwortlicher faktisch notwendig. Wichtige Einrichtungen können die Aufgabe in bestehende Rollen integrieren, etwa beim IT-Leiter oder einem externen Dienstleister.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.