Swiss Room · Einordnung

Regulatorische Roadmap

EU-Digitalregulierung

10 Min Einstieg EU-Regulierung · Zeitplan

Was dieser Artikel Ihnen zeigt

Die zeitliche Abfolge der EU-Digitalregulierung – wann was gilt und was kommt.

EU-Digitalregulierung

Roadmap 2025–2028

Kernaussage
NIS2 war 2025. Der AI Act kommt 2026. Der CRA wird 2027 verpflichtend. Wer den Zeitplan kennt, kann Compliance-Projekte priorisieren, Ressourcen einplanen und vermeiden, unter Zeitdruck reagieren zu müssen.

Die Regulierungs-Roadmap im Überblick

Die folgende Tabelle gibt einen priorisierten Überblick über die relevantesten EU-Regulierungen, ihre Fristen und die konkrete Handlungsnotwendigkeit für KMU. Die Einschätzung der KMU-Relevanz ist auf typische Schweizer KMU mit EU-Marktanbindung ausgerichtet.

JahrRegulierungWer betroffen?KMU-RelevanzWas tun?
2025NIS2ICT-intensive KMU als Lieferanten EU-regulierter UnternehmenhochCybermaßnahmen dokumentieren, Risikoanalyse, IR-Prozess
2025Digital OmnibusAlle mit GDPR-PflichtenmittelGDPR-Prozesse überprüfen, Cookie-Regeln anpassen
2025/26DORAFinanzdienstleister & ICT-Provider für Banken/Versicherungenselektiv hochICT-Risk-Framework, Tests, Drittanbieter-Management
Aug 2026AI Act – TransparenzAlle mit KI-Systemen im EinsatzmittelKI-Systeme kennzeichnen, Datenherkunft dokumentieren
2027AI Act – HochrisikoAnbieter/Deployer von High-Risk-KIhochKonformitätsverfahren, Logging, Human Oversight
Dez 2027CRAHersteller von Software und Hardware mit digitalen Elementensehr hochSBOM, CVD-Prozess, Secure-by-Design, ENISA-Meldung
2025–27Data ActHersteller vernetzter Produkte, Cloud-AnbietermittelDatenzugangs-API, Verträge, Cloud-Switching-Klauseln
2026–28CSRDTech-KMU durch Lieferketten indirekt berichtspflichtigwachsendESG-Reporting vorbereiten, Lieferantenfragebogen
Wie man die Roadmap nutzt Markieren Sie zunächst alle Zeilen, für die Sie als KMU direkt betroffen sein könnten. Prüfen Sie danach Ihren Lieferantenstatus: Viele KMU sind nicht selbst reguliert, aber ihre Großkunden sind es – und reichen Anforderungen vertraglich weiter.

Drei Phasen der Compliance

2025 – SecurityNIS2 und DORA setzen den Massstab für Informationssicherheit und Resilienz. ISO 27001 als Basis aufbauen.
2026 – KI & TransparenzAI-Act-Transparenzpflichten treffen fast alle, die KI einsetzen. Inventar der KI-Systeme erstellen.
2027 – ProduktsicherheitCRA und Data Act werden verpflichtend. Softwarehersteller müssen SBOMs, CVD-Prozesse und Secure-by-Design belegen.
Was bedeutet das für mich? 1. Planen Sie Compliance-Projekte nach dieser Roadmap – nicht als Reaktion auf Fristen, sondern als strukturiertes Programm. 2. Die früheste Maßnahme mit dem grössten Hebel: Ein ISO-27001-orientiertes ISMS. Es adressiert NIS2, DORA und GDPR gleichzeitig. 3. Wer 2025/26 sein KI-Inventar aufbaut, spart 2027 erheblich Zeit bei der AI-Act-Hochrisiko-Konformität.

Dieser Leitfaden ersetzt keine Rechtsberatung.

Weiter vertiefen

Leitfaden Digitale Anforderungen Regulierungslandschaft im Detail. Lesen → Self-Check Self-Check Regulatory Regulatorische Exposition prüfen. Lesen → Krimi Krimi: Kettenresonanz Wenn Fristen verpasst werden. Lesen →
← Alle Einordnungen