a golden balance scale beside a laptop
Photo by KATRIN BOLOVTSOVA on Pexels.com
Posted inIT Audit / Compliance / Security

Compliance-Radar 2025: Wesentliche Updates und strategische Handlungsempfehlungen für BSI C5, NIS2, DORA und den AI Act

Einführung: Navigieren im dynamischen Compliance-Umfeld

Das Umfeld der Informationstechnologie hat sich in den letzten Jahren dramatisch verändert. Angetrieben durch die rasante Digitalisierung und eine Zunahme komplexer Cyberbedrohungen , hat sich die IT-Sicherheit von einem rein technischen zu einem zentralen Management-Thema entwickelt. In diesem Kontext sind die regulatorischen Anforderungen in der Europäischen Union nicht nur dichter, sondern auch umfassender geworden. Sie zielen nicht mehr nur auf die Absicherung einzelner Systeme ab, sondern auf die Stärkung der gesamten digitalen Resilienz von Unternehmen. Für deutsche Unternehmen, Banken, Praxen und Kanzleien ist es daher unerlässlich, einen kontinuierlichen Überblick über die neuesten Entwicklungen in der Compliance-Landschaft zu behalten, um proaktiv agieren zu können und Haftungsrisiken zu minimieren.  

Die vorliegende Analyse beleuchtet vier der wichtigsten Regulierungen, die aktuell die deutsche Wirtschaft prägen: den BSI Cloud Computing Compliance Criteria Catalogue (BSI C5), die EU-Richtlinie zur Netz- und Informationssicherheit (NIS2), die Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) und den EU AI Act. Es wird deutlich, dass diese Rahmenwerke nicht isoliert voneinander existieren, sondern in zunehmendem Maße miteinander verknüpft sind und eine ganzheitliche Betrachtung erfordern. Eine oberflächliche Implementierung einzelner Standards ist nicht mehr ausreichend. Beispielsweise integriert der Entwurf für den C5:2025-Katalog explizit die Anforderungen der NIS2-Richtlinie und bereitet so die Kompatibilität mit dem geplanten European Cloud Certification Scheme (EUCS) vor. Gleichzeitig stellt die NIS2-Richtlinie fest, dass etablierte Standards wie der C5, der IT-Grundschutz oder die ISO/IEC 27001 nur einen Teil der neuen Pflichten abdecken.  

Ein Unternehmen, das Cloud-Dienste nutzt, die unter NIS2 fallen und zudem KI-Anwendungen im Finanzsektor einsetzt, muss daher die Anforderungen des C5-Katalogs, der NIS2-Richtlinie, der DORA-Verordnung und des AI Acts in einem einzigen, kohärenten Governance-Rahmen betrachten. Die Einhaltung der einen Regulierung kann nicht ohne Berücksichtigung der anderen erfolgen. Diese Vernetzung der Gesetze ist ein zentraler Trend. Die vorliegende Untersuchung liefert hierzu eine umfassende und differenzierte Analyse der aktuellen Entwicklungen und leitet konkrete Handlungsempfehlungen für die strategische Compliance-Planung ab.

Kapitel I: BSI C5 – Der Weg zur Cloud-Sicherheit im Wandel

BSI C5:2020 als etablierter Cloud-Standard und seine Kernkriterien

Der Cloud Computing Compliance Criteria Catalogue (C5) wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt, um Cloud-Anbietern und -Nutzern eine verlässliche Orientierung für die Bewertung und Auswahl sicherer Cloud-Dienste zu geben. Das primäre Ziel ist es, Transparenz und Vergleichbarkeit zu schaffen und gleichzeitig ein hohes Schutzniveau für sensible Daten zu gewährleisten. Die aktuelle und seit 2020 gültige Version, C5:2020, wurde grundlegend überarbeitet, um auf aktuelle Entwicklungen zu reagieren und die Qualität der Kriterien zu erhöhen. Der Katalog umfasst insgesamt 17 Themengebiete und mehr als 120 Kriterien, die essenzielle Aspekte der Informationssicherheit abdecken. Dazu gehören die Organisation der Informationssicherheit, physische Sicherheit, Identitäts- und Berechtigungsmanagement, Kryptografie sowie der Umgang mit Sicherheitsvorfällen.  

Die Relevanz des C5-Katalogs erstreckt sich über verschiedene Sektoren. Im Gesundheitswesen beispielsweise sind Leistungserbringer nach § 393 SGB V zur Einhaltung der C5-Anforderungen verpflichtet, um den Schutz sensibler Sozial- und Gesundheitsdaten sicherzustellen. Ein C5-Testat ist hierbei ein entscheidendes Kriterium. Der C5:2020-Katalog ist eng mit anderen etablierten Sicherheitsstandards verknüpft, insbesondere mit der internationalen ISO/IEC 27001-Norm. Diese Verknüpfung verdeutlicht, dass der C5 nicht als Insellösung konzipiert wurde, sondern als ergänzender und spezifizierender Standard, der die allgemeinen Prinzipien der Informationssicherheit auf die spezifischen Anforderungen des Cloud-Computings anwendet.  

Neuerungen: Der C5:2025 Community Draft

Eine der jüngsten und bedeutendsten Entwicklungen ist die Veröffentlichung des C5:2025-Entwurfs als sogenannter „Community Draft“. Das BSI hat diesen Entwurf zur Kommentierung bis zum 15. September 2025 freigegeben, mit der geplanten finalen Veröffentlichung im Dezember 2025. Der neue Katalog baut auf den bewährten Kriterien des C5:2020 auf und ergänzt diese durch neue, zukunftsweisende Kriterien.  

Ein zentrales Merkmal der Überarbeitung ist die verstärkte Integration europäischer Standards. Der C5:2020 diente als Basis für das geplante European Cloud Certification Scheme (EUCS), insbesondere für dessen Level „Substantial“. Im Gegenzug wurden die Erkenntnisse aus der Entwicklung des EUCS in den C5:2025-Entwurf integriert, um eine nahtlose Kompatibilität zu gewährleisten. Darüber hinaus berücksichtigt der Entwurf auch die Anforderungen der NIS2-Richtlinie und die aktualisierte Version des ISO/IEC 27001-Standards.  

Inhaltlich wurden mehrere Schwerpunkte identifiziert und eingearbeitet, um den technologischen Entwicklungen der letzten sechs Jahre gerecht zu werden. Dazu gehören neue Kriterien für:  

  • Supply Chain-Management: Verschärfte Anforderungen an die Bewertung von Drittanbietern und die Integritätsprüfung von Drittanbieter-Code.  
  • Zero-Trust-Architekturen: Erhöhte Anforderungen an die Authentifizierung und Zugriffskontrolle, insbesondere für verteilte Arbeitsumgebungen.  
  • Souveränität: Eine ausführlichere Betrachtung der Mandantentrennung und der technischen Umsetzung von Souveränität.  
  • Datenportabilität und Exit-Strategien: Klarere Vorgaben für den Datenexport und das Exit-Management, um das Problem des „Vendor Lock-in“ zu adressieren.  

Praktische Implikationen für Unternehmen, Praxen und Kanzleien

Unternehmen, Praxen und Kanzleien, die in hohem Maße Cloud-Dienste nutzen, hat der C5 eine immense Bedeutung. Insbesondere bei der Auswahl eines Cloud-Anbieters ist das Vorhandensein eines C5-Testats ein wichtiger Nachweis für die Sicherheitsstandards. Dabei gilt es, zwischen dem Typ-1- und dem Typ-2-Testat zu unterscheiden. Während ein Typ-1-Testat im Wesentlichen auf einer Eigenerklärung des Anbieters beruht, stellt ein Typ-2-Testat den Goldstandard dar. Bei einem Typ-2-Audit durchleuchtet ein unabhängiger Wirtschaftsprüfer die implementierten Maßnahmen in der Praxis, was die Wirksamkeit der Sicherheitskontrollen bestätigt. Ein derartiger Bericht ist weitaus aussagekräftiger und gilt als der höchstwertige Nachweis für ein effektives Sicherheitsmanagement der Cloud.  

Der BSI C5:2025-Entwurf signalisiert eine strategische Ausrichtung, die über die reine Sicherheit hinausgeht. Er ist eine Antwort auf die zunehmende Konzentration von Auslagerungen auf wenige große IT-Dienstleister, insbesondere auf US-amerikanische Cloud-Hyperscaler, die von der BaFin als ein potenzielles systemisches Risiko für den Finanzsektor identifiziert wurde. Durch die Einführung neuer Kriterien zur Mandantentrennung und technischen Souveränität reagiert das BSI auf diese Risiken und versucht, die digitale Souveränität Europas zu stärken. Der Fokus auf das Supply Chain-Management und die Überwachung von Drittanbietern in der Lieferkette spiegelt ebenfalls diese Entwicklung wider. Eine C5-Testierung wird dadurch von einem reinen Compliance-Nachweis zu einem strategischen Wettbewerbsvorteil, der den Zugang zu regulierten Märkten und dem öffentlichen Sektor ermöglicht. Unternehmen, die sich frühzeitig mit den verschärften Anforderungen auseinandersetzen, können sich somit nicht nur absichern, sondern auch neue Geschäftschancen erschließen.  

Kapitel II: NIS2 – Die verspätete Umsetzung und ihre weitreichenden Folgen

Die NIS2-Richtlinie: Ein Rahmenwerk mit verzögerter nationaler Umsetzung

Die EU-Richtlinie zur Netz- und Informationssicherheit (NIS2), eine Nachfolgerin der NIS-Richtlinie von 2016, hat das Ziel, das Cybersicherheitsniveau in der gesamten EU zu harmonisieren und zu stärken. Die Richtlinie, die am 14. Dezember 2022 verabschiedet wurde, trat am 16. Januar 2023 in Kraft und musste von den EU-Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden.  

Deutschland hat diese Umsetzungsfrist jedoch verpasst, was eine Debatte über die Konsequenzen und den aktuellen Stand des Gesetzgebungsprozesses ausgelöst hat. Der Gesetzentwurf zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2UmsuCG) lag im Juli 2025 als Kabinettsversion vor und sollte im August 2025 dem Bundesrat vorgelegt werden. Die endgültige Verabschiedung des Gesetzes wird nun erst gegen Ende 2025 erwartet, bedingt durch Neuwahlen.  

Neuerungen: Die weitreichende Ausweitung des Geltungsbereichs

Die NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen und Sektoren erheblich. Während die ursprüngliche NIS-Richtlinie nur wenige hundert Betreiber kritischer Infrastrukturen (KRITIS) adressierte, werden nun schätzungsweise über 30.000 Unternehmen in Deutschland unter die Regulierung fallen.  

Das Gesetz führt eine Unterscheidung in „wesentliche“ und „wichtige“ Einrichtungen ein, die primär auf der Größe (Mitarbeiterzahl und Umsatz/Bilanz) des Unternehmens basiert. Wesentliche Einrichtungen sind in Sektoren mit hoher Kritikalität wie Energie, Transport, Bankwesen und Gesundheit tätig. Wichtige Einrichtungen finden sich in Sektoren wie der Abfallwirtschaft, Lebensmittelproduktion, chemischen Industrie und dem verarbeitenden Gewerbe. Selbst mittelgroße Unternehmen sind nun betroffen. Darüber hinaus können auch kleinere Unternehmen in den Anwendungsbereich fallen, wenn sie für die öffentliche Sicherheit oder für die Lieferkette von als wesentlich oder wichtig eingestuften Unternehmen von Bedeutung sind. Diese indirekte Betroffenheit über die Lieferkette stellt eine neue Herausforderung dar, da Zulieferer vertraglich zur Einhaltung der Cybersicherheitsanforderungen verpflichtet werden können.  

Die zehn Mindestmaßnahmen und verschärfte Sanktionen

Die NIS2-Richtlinie legt einen Katalog von mindestens zehn Cybersicherheitsmaßnahmen fest, die von den betroffenen Unternehmen umgesetzt werden müssen. Diese Maßnahmen adressieren das Risikomanagement und sind weitreichend. Dazu gehören die Implementierung von Risikomanagement-Ansätzen, die Einführung von Richtlinien für die Informationssicherheit, das Management von Sicherheitsvorfällen und die Stärkung des Business Continuity Managements (BCM). Ein weiterer Schwerpunkt liegt auf der Sicherheit in der Lieferkette.  

Eine der zentralen neuen Pflichten ist die Meldepflicht bei Sicherheitsvorfällen. Wesentliche Vorfälle müssen innerhalb von 24 Stunden gemeldet werden, mit einem Update innerhalb von 72 Stunden und einem Abschlussbericht binnen eines Monats. Zudem wird die Haftung der Geschäftsleitung bei Verstößen erheblich verschärft.  

Die Sanktionen für die Nichteinhaltung der Anforderungen sind massiv. Das Gesetz sieht erweiterte Bußgelder vor, die für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1.4 % des weltweiten Jahresumsatzes und für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen können.  

Die politische Verzögerung in Deutschland birgt eine trügerische Sicherheit für Unternehmen. Obwohl die nationale Umsetzung noch aussteht, betonen Experten, dass es keine Übergangsfristen geben wird, sobald das Gesetz in Kraft tritt. Die Richtlinie selbst ist seit dem 18. Oktober 2024 EU-weit aktiv und muss in nationales Recht überführt werden. Unternehmen, die das Ausbleiben des Gesetzes als Aufschub interpretieren, riskieren, unvorbereitet in ein massives Compliance-Problem zu geraten, sobald das Gesetz verabschiedet ist. Die notwendigen technischen und organisatorischen Maßnahmen sind bereits bekannt. Die Analyse zeigt, dass über 20.000 Unternehmen in Deutschland sofortigen Handlungsbedarf haben, um sich auf die kommenden Pflichten vorzubereiten und die strengen Sanktionen zu vermeiden. Die wahre Handlungsaufforderung ist daher, bereits jetzt mit einer Gap-Analyse zu beginnen und die zehn Maßnahmen systematisch umzusetzen.  

NIS2-Umsetzung in Deutschland: Betroffenheit und Pflichten im Überblick

EinrichtungskategorieBetroffenheitskriterienSektoren (Auswahl)Wichtigste PflichtenMax. Bußgeld
Besonders wichtige EinrichtungenGroßunternehmen: ≥250 Mitarbeiter oder >50 Mio. EUR Umsatz und >43 Mio. EUR Bilanz; Sonderfälle unabhängig von der GrößeEnergie, Transport, Bankwesen, Gesundheit, Wasser, Digitale Infrastruktur, WeltraumRisikomanagement, Incident Management, Supply Chain-Sicherheit, BCM, Haftung der Geschäftsleitung, Registrierungspflicht10 Mio. EUR oder 2% des weltweiten Jahresumsatzes
Wichtige EinrichtungenMittelgroße Unternehmen: ≥50 Mitarbeiter oder >10 Mio. EUR Umsatz und >10 Mio. EUR BilanzPost, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, Digitale Dienste, ForschungRisikomanagement, Incident Management, Supply Chain-Sicherheit, BCM, Haftung der Geschäftsleitung, Registrierungspflicht7 Mio. EUR oder 1.4% des weltweiten Jahresumsatzes
Betreiber kritischer Anlagen (KRITIS)Bestimmt durch Schwellenwerte für einzelne AnlagenEnergie, Transport, IT, Gesundheit, Wasser, Ernährung, Staat und Verwaltung, Finanz- und VersicherungswesenWie besonders wichtige Einrichtungen, plus Nachweispflicht alle 3 Jahre10 Mio. EUR oder 2% des weltweiten Jahresumsatzes
BundeseinrichtungenSeparat geregeltBundesverwaltungWie besonders wichtige Einrichtungen, plus eigene Pflichtenkeine

In Google Sheets exportieren

Tabelle basiert auf den aktuellen Entwürfen und Regelungen. Die finalen Definitionen können mit der Verabschiedung des Gesetzes noch leicht angepasst werden.  

Kapitel III: DORA – Digitale operationale Resilienz für den Finanzsektor

Hintergrund und Anwendungsbereich der DORA-Verordnung

Der Digital Operational Resilience Act (DORA), Verordnung (EU) 2022/2554, ist ein regulatorisches Rahmenwerk, das die digitale operationale Resilienz im Finanzsektor stärken soll. Im Gegensatz zu einer Richtlinie gilt eine Verordnung direkt und unmittelbar in allen EU-Mitgliedstaaten. DORA wurde im Dezember 2022 verabschiedet und ist nach einer zweijährigen Übergangsfrist seit dem 17. Januar 2025 anwendbar.  

Der Anwendungsbereich von DORA ist breit gefasst und deckt nahezu alle Finanzakteure ab, einschließlich Banken, Versicherungen, Wertpapierfirmen und Krypto-Dienstleistern. Die Verordnung legt einheitliche Anforderungen für das Management von Informations- und Kommunikationstechnologie (IKT)-Risiken fest, die von der Cybersicherheit über die Reaktion auf Vorfälle bis hin zur Steuerung von Risiken mit IKT-Drittanbietern reichen.  

Der aktuelle Stand der Technischen Standards (RTS/ITS)

DORA ist ein sogenannter „Level 1“-Text, dessen detaillierte Ausgestaltung durch eine Vielzahl von technischen Regulierungsstandards (RTS) und technischen Durchführungsstandards (ITS) erfolgt, die von den drei Europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA), den sogenannten ESAs, entwickelt und von der EU-Kommission verabschiedet werden. Dieser Prozess ist dynamisch. Beispielsweise wurden bereits mehrere RTS und ITS veröffentlicht und sind in Kraft getreten, die konkrete Kriterien für die Klassifizierung von IKT-Vorfällen, die Berichterstattung und die Harmonisierung von Risikomanagement-Tools festlegen.  

Gleichzeitig gab es auch Rückschläge: Die EU-Kommission lehnte einen Entwurf der ESAs für einen RTS zur Vergabe von Unteraufträgen (Subcontracting) ab, da einige der darin enthaltenen Anforderungen über das Mandat von DORA hinausgingen. Die ESAs haben daraufhin die notwendigen Änderungen vorgenommen. Diese Vorgänge verdeutlichen, dass die detaillierte Umsetzung von DORA ein fortlaufender und komplexer Prozess ist, der eine kontinuierliche Beobachtung erfordert. Die BaFin hat im Vorfeld eine Übersicht über die Dokumentationsanforderungen erstellt, um Finanzunternehmen die Arbeit mit den verstreuten Rechtstexten zu erleichtern.  

Praktische Implikationen für Banken, Versicherungen und ihre Dienstleister

Für Finanzunternehmen hat DORA weitreichende Konsequenzen. Ein zentraler Pfeiler ist das Management von IKT-Drittparteienrisiken. Finanzinstitute müssen sicherstellen, dass ihre Verträge mit IKT-Dienstleistern die von DORA geforderten Mindestbestandteile enthalten. Viele Unternehmen haben bereits damit begonnen, sogenannte DORA-Addenda auszuhandeln, um ihre bestehenden Verträge anzupassen. Darüber hinaus müssen Finanzinstitute ein umfassendes Register aller ihrer vertraglichen Vereinbarungen mit IKT-Drittanbietern führen, das sogenannte Register of Information (RoI).  

Die Verordnung schreibt zudem regelmäßige Tests der digitalen und operationalen Resilienz vor, wozu auch umfangreiche Penetrationstests gehören. Ein weiterer Schwerpunkt liegt auf dem IKT-Risikomanagement, für das Finanzinstitute eine umfassende, regelmäßig zu aktualisierende Strategie entwickeln müssen.  

DORA institutionalisiert die Überwachung der gesamten digitalen Wertschöpfungskette im Finanzsektor. Die Verordnung erkennt an, dass eine Konzentration auf wenige große IKT-Anbieter, wie die großen Cloud-Hyperscaler, ein systemisches Risiko darstellen kann, da ein schwerwiegender Vorfall bei einem dieser Anbieter weitreichende Folgen für das gesamte Finanzsystem haben könnte. Um dieses Risiko zu mindern, schafft DORA einen neuen Überwachungsrahmen, der es den Aufsichtsbehörden ermöglicht, als „kritisch“ eingestufte IKT-Drittanbieter direkt zu regulieren. Dies zwingt Unternehmen dazu, ihre gesamte Lieferkette zu analysieren und ihre Verträge proaktiv anzupassen, was DORA zu einem der bedeutendsten regulatorischen Ereignisse der letzten Jahre macht.  

Wichtige DORA Technical Standards (RTS/ITS) – Überblick und Status

Standard-NameBetroffener DORA-ArtikelZweck/InhaltStatus
Delegierte Verordnung (EU) 2024/1772Art. 18.3Kriterien für die Klassifizierung von IKT-Vorfällen und Cyber-Bedrohungen.Finalisiert  
Delegierte Verordnung (EU) 2025/301Art. 18.3Inhalt und Fristen für die Vorfallsmeldung von IKT-Vorfällen.Finalisiert  
Durchführungsverordnung (EU) 2025/302Art. 20(b)Standardformulare für die Meldung von IKT-Vorfällen.Finalisiert  
Delegierte Verordnung (EU) 2024/1774Art. 15, Art. 16(3)Harmonisierung von IKT-Risikomanagement-Tools und -Prozessen.Finalisiert  
Delegierte Verordnung (EU) 2024/1773Art. 28(10)Inhalt der vertraglichen Vereinbarungen für kritische IKT-Dienstleistungen.Finalisiert  
Delegierte Verordnung (EU) 2025/532Art. 30(5)Elemente, die ein Finanzunternehmen bei der Vergabe von ICT-Dienstleistungen bestimmen muss.Finalisiert  
Delegierte Verordnung (EU) 2024/1502Art. 31(10)Kriterien für die Benennung von IKT-Drittanbietern als kritisch.Finalisiert  
Durchführungsverordnung (EU) 2024/2956Art. 28(9)Standardvorlagen für das Informationsregister (RoI).Finalisiert  

Tabelle basierend auf den veröffentlichten technischen Standards. Stand: Oktober 2025.

Kapitel IV: EU AI Act – Ein risikobasierter Rahmen für Künstliche Intelligenz

Ziele und Meilensteine: Das Inkrafttreten und die gestaffelte Anwendung

Der EU AI Act, eine Verordnung zur Regulierung Künstlicher Intelligenz, ist am 1. August 2024 in Kraft getreten. Das Hauptziel der Verordnung ist es, einen einheitlichen Rechtsrahmen für KI in der EU zu schaffen, um die verantwortungsvolle Entwicklung und Nutzung zu fördern und gleichzeitig die Sicherheit sowie die Grundrechte der Bürger zu schützen.  

Die Anwendung der Verordnung erfolgt jedoch nicht sofort in vollem Umfang, sondern ist in einem gestaffelten Zeitplan angelegt, der den betroffenen Unternehmen Zeit für die Umsetzung geben soll. Die wichtigsten Fristen sind:  

  • Februar 2025: Das Verbot von KI-Systemen mit unannehmbarem Risiko tritt in Kraft.  
  • August 2025: Bestimmte Regeln für generelle KI-Modelle mit systemischem Risiko, wie z.B. große Sprachmodelle, werden anwendbar.  
  • August 2026: Die Transparenzpflichten für KI-Systeme mit begrenztem Risiko, wie Chatbots und KI-generierte Inhalte, sowie die meisten Bestimmungen für Hochrisiko-KI-Systeme treten in Kraft.  
  • August 2027: Die verbleibenden Bestimmungen für Hochrisiko-KI-Systeme werden anwendbar.  

Die vier Risikokategorien und ihre Implikationen

Der EU AI Act verwendet einen risikobasierten Ansatz, bei dem die Strenge der Regeln mit dem potenziellen Risiko für Menschen oder die Gesellschaft zunimmt.  

  • Unannehmbares Risiko: KI-Systeme in dieser Kategorie stellen eine klare Bedrohung für die Grundrechte dar und sind daher verboten. Beispiele hierfür sind Social Scoring, die Manipulation von Menschen oder die untargeted scraping von Internetdaten zur Erstellung von Gesichtserkennungsdatenbanken. Das Verbot dieser Systeme tritt bereits im Februar 2025 in Kraft.  
  • Hohes Risiko: Diese KI-Systeme können schwerwiegende Risiken für die Gesundheit, Sicherheit oder die Grundrechte von Personen darstellen. Für die Zielgruppe der Banken, Praxen und Kanzleien sind insbesondere Anwendungen in den folgenden Bereichen relevant :
    • Beschäftigung und Personalmanagement: KI-Systeme, die Lebensläufe vorsortieren, da sie die berufliche Laufbahn und die Lebensgrundlage von Personen beeinflussen können.  
    • Finanzwesen: KI-Anwendungen, die die Kreditwürdigkeit bewerten oder den Zugang zu wesentlichen Dienstleistungen bestimmen, sind potenziell als Hochrisiko eingestuft.  
    • Rechtswesen: KI-Systeme, die Justizbehörden bei der Urteilsfindung unterstützen.  
  • Begrenztes Risiko: Systeme in dieser Kategorie, wie Chatbots oder generative KI, unterliegen spezifischen Transparenzpflichten. Nutzer müssen klar darüber informiert werden, dass sie mit einer Maschine interagieren oder dass Inhalte von einer KI generiert wurden.  
  • Minimales Risiko: Die Mehrheit der KI-Systeme, wie Spamfilter oder KI-gestützte Videospiele, unterliegt keinen besonderen Verpflichtungen unter dem AI Act.  

Praktische Handlungsempfehlungen für deutsche Unternehmen

Der AI Act gilt nicht nur für Unternehmen innerhalb der EU, sondern auch extraterritorial für Anbieter und Nutzer, die ihre KI-Systeme oder -Modelle im EU-Raum in Verkehr bringen. Angesichts der Tatsache, dass viele deutsche Unternehmen der neuen Regulierung mit Skepsis begegnen und noch nicht ausreichend vorbereitet sind , ist proaktives Handeln unabdingbar.  

Die Umsetzung des AI Acts erfordert einen strategischen Ansatz, der über die traditionellen IT-Abteilungen hinausgeht. Unternehmen müssen eine interne Governance-Strategie entwickeln. Zuerst sollte ein Inventar der vorhandenen KI-Systeme und -Modelle erstellt werden. Anschließend muss jedes System anhand der Risikokategorien klassifiziert und die Rolle des Unternehmens (als „Provider“ oder „Deployer“) bestimmt werden. Die Verordnung erfordert eine Grundrechte-Folgenabschätzung für Hochrisiko-Systeme. Dies macht die Einbindung von Juristen, Ethikern und Geschäftsbereichsleitern erforderlich, um Haftungsrisiken zu bewerten und die Einhaltung zu gewährleisten.  

Der AI Pact der Europäischen Kommission ist ein freiwilliges Instrument, das Unternehmen dabei unterstützen soll, sich proaktiv auf die Implementierung der neuen Verordnung vorzubereiten. Unternehmen können sich hier engagieren und ihre Prozesse für Transparenz und Hochrisiko-Anforderungen frühzeitig planen und teilen. Diese Initiative unterstreicht das Signal der Regulierungsbehörden: Die gestaffelte Frist ist eine Aufforderung, die Zeit bis 2027 zu nutzen, um eine solide interne Governance aufzubauen und die potenziellen Risiken zu bewerten, bevor die Pflichten vollumfänglich anwendbar sind.  

EU AI Act: Stufenweise Anwendung und Risikokategorien

RisikokategorieBeispieleHauptanforderungenAnwendungszeitpunkt
UnannehmbarSocial Scoring; Manipulation von Verhaltensweisen; Biometrische Kategorisierung nach sensiblen Daten.Verbot der Systeme.Februar 2025  
Hohes RisikoKI-Systeme in der Personalverwaltung, zur Kreditwürdigkeitsprüfung oder in kritischen Infrastrukturen.Risikomanagement-System, hochwertige Datensätze, technische Dokumentation, menschliche Aufsicht, Konformitätsbewertung.August 2026/2027  
BegrenztChatbots; generative KI-Systeme.Transparenzpflicht: Nutzer müssen über die Interaktion mit einer Maschine informiert werden; KI-generierte Inhalte müssen gekennzeichnet werden.August 2026  
MinimalSpamfilter; KI-gestützte Videospiele.Keine besonderen Verpflichtungen unter dem AI Act. Freiwillige Verhaltenskodizes möglich.Sofort  

Tabelle basiert auf den gestaffelten Anwendungsfristen des EU AI Acts und den Risikokategorien der Europäischen Kommission. Stand: August 2024.

Zusammenfassung und Ausblick

Das Jahr 2025 markiert einen Wendepunkt in der IT-Compliance-Landschaft. Die traditionelle Sichtweise, dass IT-Sicherheit eine isolierte technische Aufgabe ist, ist endgültig überholt. Die vorliegende Analyse der vier Schlüsselbereiche BSI C5, NIS2, DORA und AI Act zeigt eine zunehmende Konvergenz und Komplexität der Anforderungen, die einen ganzheitlichen und strategischen Ansatz erfordern.

  • Der BSI C5:2025-Entwurf transformiert den Standard von einem reinen Prüfkatalog zu einem strategischen Instrument zur Stärkung der europäischen digitalen Souveränität. Er adressiert explizit die Risiken in der Lieferkette und bei der Mandantentrennung, die durch die Konzentration auf globale Cloud-Anbieter entstehen.
  • Die NIS2-Richtlinie weitet den Geltungsbereich massiv aus und wird schätzungsweise über 30.000 deutsche Unternehmen betreffen. Die politische Verzögerung der nationalen Umsetzung darf nicht als Aufschub interpretiert werden, da die strikten Pflichten und hohen Sanktionen ohne Übergangsfrist greifen werden. Unternehmen müssen jetzt handeln, um vorbereitet zu sein.
  • Die DORA-Verordnung institutionalisiert die Risikokontrolle über die gesamte digitale Wertschöpfungskette im Finanzsektor. Sie verpflichtet Banken und Versicherungen, die Verträge mit ihren IKT-Dienstleistern anzupassen und ihre digitale Resilienz durch regelmäßige Tests nachzuweisen.
  • Der EU AI Act führt ein qualitativ neues Compliance-Modell ein, das nicht nur technische Sicherheit, sondern auch ethische Grundsätze und die Auswirkungen auf die Grundrechte der Bürger bewertet. Die gestaffelte Implementierung bietet Unternehmen Zeit, eine KI-Governance-Strategie zu entwickeln und sich auf die strengen Anforderungen vorzubereiten.

Die Überschneidungen zwischen den Gesetzen sind offensichtlich. Ein Unternehmen, das Cloud-Dienste nutzt, die unter NIS2 fallen, und das zudem KI-Anwendungen im Finanzsektor einsetzt, muss C5, NIS2, DORA und den AI Act in einem einzigen, integrierten Informationssicherheitsmanagementsystem (ISMS) betrachten.

Strategische Schlussfolgerungen

Statt diese Regulierungen als Last zu sehen, sollten deutsche Unternehmen die Anforderungen als Chance begreifen. Eine proaktive Umsetzung stärkt die Cybersicherheit, minimiert Haftungsrisiken und verschafft einen entscheidenden Wettbewerbsvorteil, insbesondere im öffentlichen und regulierten Sektor.  

Konkrete Handlungsempfehlungen für die Zielgruppe (Unternehmen, Praxen, Kanzleien):

  1. Durchführung von Gap-Analysen: Führen Sie eine umfassende Bewertung Ihrer aktuellen IT-Sicherheitsmaßnahmen und Prozesse im Hinblick auf die Anforderungen von NIS2, DORA und C5:2025 durch.  
  2. Lieferketten überprüfen: Analysieren Sie Ihre Abhängigkeiten von IKT-Drittanbietern. Überprüfen Sie Verträge und verhandeln Sie DORA-konforme Addenda, insbesondere mit kritischen Anbietern.  
  3. KI-Governance etablieren: Beginnen Sie umgehend mit einem Inventar Ihrer KI-Anwendungen. Klassifizieren Sie diese nach Risikokategorien und implementieren Sie die notwendigen Kontrollen und Dokumentationspflichten.  
  4. Kontinuierliche Dokumentation: Etablieren Sie Prozesse für eine fortlaufende Dokumentation aller Compliance-Maßnahmen, um im Falle von Audits oder Vorfällen nachweisbereit zu sein.  
  5. Mitarbeiter schulen: Sensibilisieren Sie Ihre Mitarbeiter für die neuen Anforderungen und Risiken im Bereich Cybersicherheit und KI-Nutzung.  

Im Bericht verwendete Quellencortina-consult.comBSI C5 – was bedeutet das für meine Cloud-Nutzung – Cortina ConsultWird in einem neuen Fenster geöffnetiese.fraunhofer.deNIS 2-Richtlinie: Zusammenfassung und Umsetzung für Deutschland – Fraunhofer IESEWird in einem neuen Fenster geöffnetbsi.bund.deC5:2025 Community Draft – C5:2025 – the future of C5 as … – BSIWird in einem neuen Fenster geöffnetaudit-professionals.deBSI C5 2025 – Was sich geändert hat und warum es zählt – Securance-iAP GmbHWird in einem neuen Fenster geöffnetde.wikipedia.orgNIS-2-Richtlinie – WikipediaWird in einem neuen Fenster geöffnetbsi.bund.deKriterienkatalog C5 – BSIWird in einem neuen Fenster geöffnethelpdesk.lemniscus.deLeitlinien zur C5-konformen Nutzung von lemniscusWird in einem neuen Fenster geöffnetionos.deKriterienkatalog C5 im Überblick – IONOSWird in einem neuen Fenster geöffnetopen-telekom-cloud.comCloud für die Gesundheitsbranche – BSI C5:2020 ist der MaßstabWird in einem neuen Fenster geöffnetcloud.google.comBSI C5:2020 | Google CloudWird in einem neuen Fenster geöffnetoracle.comC5 attestation for Oracle Cloud ApplicationsWird in einem neuen Fenster geöffnetbsi.bund.de2025 – die Zukunft des C5 als Community Draft – BSIWird in einem neuen Fenster geöffnetbafin.deCurrent topics – Not every concentration is a risk – BaFinWird in einem neuen Fenster geöffnetpwc.atEuropäische NIS-2-Richtlinie: für Unternehmen und Institutionen – PwC ÖsterreichWird in einem neuen Fenster geöffnetnis2-umsetzung.comNIS2-Umsetzung im Mittelstand – NIS2 Umsetzung bei KMUsWird in einem neuen Fenster geöffnetopenkritis.deNIS2-Umsetzungsgesetz in Deutschland 2025 – OpenKRITISWird in einem neuen Fenster geöffnetblomstein.comNIS-2-Umsetzung in Deutschland – Was jetzt? – BLOMSTEINWird in einem neuen Fenster geöffnetnis.gv.atDie neue NIS-2-Richtlinie – Anlaufstelle NISGWird in einem neuen Fenster geöffnetmightycare.deNIS2 Umsetzungsgesetz 2025: Wer ist betroffen? Mit Checkliste – MightyCareWird in einem neuen Fenster geöffnetwko.atDeutsches NIS-2 Umsetzungsgesetz – WKOWird in einem neuen Fenster geöffnetdataguard.deNIS2-Checkliste: 10 Schritte zur NIS2-Compliance – DataGuardWird in einem neuen Fenster geöffnetamf-france.orgThe Regulation on Digital Operational Resilience in the Financial Sector (DORA) – AMFWird in einem neuen Fenster geöffnetconvista.comDigital Operational Resilience Act (DORA) – ConvistaWird in einem neuen Fenster geöffnetbafin.degeändert am 28.08.2025 DORA – Digital Operational Resilience Act – BaFinWird in einem neuen Fenster geöffnetesma.europa.euDigital Operational Resilience Act (DORA)Wird in einem neuen Fenster geöffnetmayerbrown.comCybersecurity in the Financial Sector: EU’s Digital Operational Resilience Act Takes EffectWird in einem neuen Fenster geöffnetdigital-operational-resilience-act.comDigital Operational Resilience Act (DORA) | Updates, Compliance, TrainingWird in einem neuen Fenster geöffnetfinance.ec.europa.euDigital Operational Resilience Regulation – Finance – European CommissionWird in einem neuen Fenster geöffneteiopa.europa.euThe ESAs acknowledge the European Commission’s amendments to the technical standard on subcontracting under the Digital Operational Resilience Act – EIOPAWird in einem neuen Fenster geöffnetbafin.deBaFin overview creates “added value for all the parties involved”Wird in einem neuen Fenster geöffnetcommission.europa.euKI-Verordnung tritt in Kraft – Europäische Kommission – European CommissionWird in einem neuen Fenster geöffnetforschung-und-lehre.deInternationales Recht: KI-Gesetz der EU endgültig beschlossen – Forschung & LehreWird in einem neuen Fenster geöffnetder-bank-blog.deDeutsche Unternehmen sehen EU AI Act kritisch – Der Bank BlogWird in einem neuen Fenster geöffnetautoriteitpersoonsgegevens.nlEU AI Act risk groups | Autoriteit PersoonsgegevensWird in einem neuen Fenster geöffnetnortonrosefulbright.comPreparing for change: How businesses can thrive under the EU’s AI Act | Global law firmWird in einem neuen Fenster geöffnetdigital-strategy.ec.europa.euAI Act | Shaping Europe’s digital future – European UnionWird in einem neuen Fenster geöffnetpinsentmasons.comA guide to high-risk AI systems under the EU AI Act – Pinsent MasonsWird in einem neuen Fenster geöffnetdigital-strategy.ec.europa.euAI Pact | Shaping Europe’s digital future – European UnionWird in einem neuen Fenster geöffneteen-bb.deDer neue AI Act und seine Auswirkungen auf Unternehmen