KI-Verordnung, NIS-2- Richtlinie und Cyber Resilience Act: Auswirkungen auf KMU

Alle drei Regelungen sind zentrale Bausteine eines wachsenden europäischen Rechtsrahmens. Sie setzen an unterschiedlichen Punkten an, verfolgen aber das gemeinsame Ziel, ein sicheres, vertrauenswürdiges und wettbewerbsfähiges digitales Binnenmarktgefüge zu schaffen. Die vorliegende Studie stellt die Regelwerke vor, untersucht, inwiefern KMU von ihnen betroffen sind, analysiert Kosten und Nutzen und leitet daraus Unterstützungsbedarfe ab.

Die KI-Verordnung verfolgt das Ziel, den sicheren und grundrechtskonformen Einsatz von KI-Systemen zu gewährleisten und gleichzeitig Innovation zu fördern. Sie klassifiziert KI-Systeme nach Risiko – von „niedrig“ bis „inakzeptabel“ – und knüpft daran abgestufte Pflichten. Während inakzeptable Systeme verboten sind, unterliegen insbesondere Hochrisiko-Anwendungen strengen Vorgaben wie einem kontinuierlichen Risikomanagement. Die NIS-2-Richtlinie stärkt die Cybersicherheit, indem sie Unternehmen in zahlreichen Sektoren zu umfangreichen organisatorischen und technischen Maßnahmen verpflichtet. Damit sind viele KMU direkt oder über Lieferketten indirekt betroffen. Der CRA schließlich soll die Sicherheit von Produkten mit digitalen Elementen für mindestens fünf Jahre oder für die kürzere Produktlebensdauer gewährleisten. Er verpflichtet Hersteller, Händler und Importeure zu Maßnahmen wie Schwachstellenmanagement, Sicherheitsupdates und umfassender technischer Dokumentation – Anforderungen, die ebenfalls viele KMU betreffen.

Zahlreiche KMU in Deutschland unterliegen diesen neuen Vorgaben. Der Einsatz von KI nimmt rasant zu, insbesondere in Marketing, Vertrieb und IT. Bis zu 160.000 KMU dürften daher zumindest die grundlegenden Pflichten der KI-Verordnung erfüllen müssen. Von NIS-2 sind knapp 30.000 Unternehmen direkt betroffen; über Wertschöpfungsketten könnten für mehr als 200.000 weitere Unternehmen indirekte Verpflichtungen entstehen. Beim CRA ist mit 38.000 bis 120.000 betroffenen Unternehmen zu rechnen. Auffällig ist, dass das Cybersicherheitsniveau zwischen von NIS-2 betroffenen und nicht betroffenen KMU bislang kaum variiert –ein Hinweis darauf, dass viele die NIS-2-Anforderungen noch nicht umgesetzt haben. Zwar ist das deutsche Umsetzungsgesetz noch nicht in Kraft getreten, die Pflichten werden jedoch in naher Zukunft wirksam.

Die neuen Regelungen sind für KMU mit zahlreichen Kosten, aber auch mit Nutzen verbunden. Vorteile ergeben sich durch höheres Vertrauen in digitale Produkte, einen EU-weit einheitlichen Marktzugang und Wettbewerbsvorteile durch zertifizierte Sicherheit. Demgegenüber stehen teils erhebliche Compliance-Kosten, die kurzfristig die Wettbewerbsfähigkeit und Innovationskraft gerade kleinerer Unternehmen belasten können. Langfristig dürften die Vorteile jedoch überwiegen – nicht zuletzt, weil regulierungsbedingte höhere Sicherheitsniveaus die erheblichen wirtschaftlichen Schäden durch Cyberangriffe verringern können.

Die größten Herausforderungen für KMU entstehen durch komplexe Anforderungen, Rechtsunsicherheit, den Fachkräftemangel insbesondere hinsichtlich Cybersicherheitsexpertinnen und -experten sowie Compliance-Fachkräften, eine oft wenig ausgeprägte Sicherheitskultur und begrenzte Ressourcen. Bei der KI-Verordnung besteht insbesondere die Schwierigkeit in der korrekten Risikoklassifizierung von KI-Systemen. Die NIS-2-Richtlinie verlangt umfassende organisatorische Sicherheitsmaßnahmen und strenge Meldepflichten, die in vielen KMU bislang weder technisch noch personell abgebildet sind. Beim CRA liegt die Herausforderung in der dauerhaften Sicherstellung von Update- und Schwachstellenmanagement sowie Dokumentations- und Melde pflichten – ressourcenintensive Prozesse, die insbesondere kleine Unternehmen herausfordern.

Aus diesen Herausforderungen ergeben sich klare Unterstützungsbedarfe: KMU benötigen verlässliche Informationen zu Pflichten und Fristen, praxisnahe Schulungen, branchenspezifische Hilfestellungen sowie eine kontinuierliche Begleitung bei der Umsetzung. Darüber hinaus sind Tools, finanzielle Fördermittel und externe fachliche Unterstützung erforderlich, um Ressourcenengpässe zu überbrücken.

Zwar existiert bereits ein breites Unterstützungsangebot – etwa durch die Mittelstand-Digital Zentren, die Transferstelle Cybersicherheit im Mittelstand oder die European Digital Innovation Hubs (EDIHs). Viele KMU zeigen sich trotzdem überfordert und unsicher und bleiben passiv. Empfehlenswert wäre eine Bündelung bestehender Angebote auf einer zentralen Plattform, ergänzt um eine branchenspezifische Aufbereitung. Zusätzlich sollten die in der KI-Verordnung vorgesehenen Erleichterungen für KMU rasch umgesetzt werden.

Die neuen EU-Regelungen sind anspruchsvoll, eröffnen KMU jedoch auch strategische Chancen. Ihre Umsetzung sollte nicht als reine Pflichtaufgabe verstanden werden, sondern als Investition in Wettbewerbsfähigkeit und Resilienz. Entscheidend ist, dass KMU frühzeitig handeln und dabei von einer koordinierten Unterstützung durch bestehende Mittelstandsprogramme, Politik, Verbände und Kammern profitieren können.