f&P blogMit NIS2 einen strukturierten Rahmen für den sicheren KI-Einsatz aufbauen
Mit NIS2 einen strukturierten Rahmen für den sicheren KI-Einsatz aufbauen
Autor: Frank Wichert
KI ist längst keine Zukunftsfrage mehr. Die Technologie ist da, der Druck wächst und viele Unternehmen stehen vor einer doppelten Herausforderung: Sie wollen KI produktiv einsetzen, müssen aber gleichzeitig einen immer dichteren Regulierungsrahmen einhalten. Seit März 2026 greifen die Registrierungspflichten der NIS2-Richtlinie, ab August folgen die Hochrisiko-Anforderungen des EU AI Acts. Wer beides getrennt betrachtet, macht doppelte Arbeit. Wer es verbindet, schafft eine belastbare Grundlage für Sicherheit und Wettbewerbsfähigkeit.
Warum NIS2 der richtige Startpunkt ist
NIS2 verlangt von Unternehmen ein systematisches Risikomanagement für ihre gesamte IT-Infrastruktur. Jedes KI-System ob ein interner Chatbot, ein KI-gestütztes CRM oder eine ML-Pipeline gilt dabei als ICT-System und unterliegt denselben Anforderungen. Das klingt nach Bürokratie. In Wirklichkeit ist es eine Chance. Denn wer KI-Systeme von Anfang an in das NIS2-Risikomanagement einbettet, baut gleichzeitig die Strukturen auf, die spätestens mit dem EU AI Act ohnehin gefordert werden.
Die Anforderungen sind dabei nicht abstrakt: Risikobewertung, Vorfallmeldung, Lieferkettenüberwachung, Governance-Verantwortung auf Geschäftsführungsebene, all das sind NIS2-Pflichten, die direkt auf KI-Systeme anwendbar sind. Aktuelle Studien zeigen allerdings, dass 48 Prozent der Unternehmen ihre Betroffenheit unterschätzen und 54 Prozent KI-bezogene Cyberrisiken als gering einstufen. Eine gefährliche Fehleinschätzung.
Fünf Schritte zum strukturierten KI-Rahmen unter NIS2
1. KI-Inventar erstellen
Bevor Risiken bewertet werden können, muss bekannt sein, welche KI-Systeme im Einsatz sind, offiziell und inoffiziell. Gerade Schatten-KI, also die eigenmächtige Nutzung öffentlicher Tools durch Mitarbeitende, ist ein blinder Fleck in vielen Organisationen. Ein vollständiges Register aller KI-Anwendungen ist die Grundlage für jede weitere Maßnahme und gleichzeitig eine zentrale Forderung des EU AI Acts.
2. Risikobewertung integrieren
KI-Systeme bringen spezifische Risiken mit, die in klassischen IT-Risikoanalysen fehlen: Halluzinationen, Bias, Modell-Drift, Prompt Injection. Diese müssen in die bestehende NIS2-Risikobewertung aufgenommen werden und nicht als Sonderthema, sondern als fester Bestandteil. Wer NIS2 umsetzt, ohne KI-Risiken zu adressieren, hat eine Lücke im Risikomanagement und damit ein Haftungsproblem.
3. Governance-Verantwortung klar verankern
NIS2 Artikel 20 verpflichtet die Geschäftsführung persönlich, Cybersicherheitsmaßnahmen zu genehmigen und deren Umsetzung zu überwachen. Diese Haftung ist nach deutschem Recht nicht delegierbar. Für KI-Systeme bedeutet das: Es braucht einen benannten Verantwortlichen mit Produktverantwortung und jemanden, der den Einsatz inhaltlich verantwortet, nicht nur technisch betreut. Keine Komiteelösung, sondern klare Eigentümerschaft.
4. Vorfallmeldung für KI mitdenken
NIS2 fordert eine Erstmeldung sicherheitsrelevanter Vorfälle innerhalb von 24 Stunden. Wenn eine KI-Anwendung kompromittiert wird und etwa durch Datenvergiftung oder adversariale Manipulation, muss der Vorfall erkannt, klassifiziert und gemeldet werden können. Das setzt voraus, dass KI-Systeme in das bestehende Monitoring und Incident-Response-Framework eingebunden sind.
5. Nutzungsrichtlinien verbindlich machen
Eine interne Richtlinie, welche Daten in welche KI-Systeme fließen dürfen, welche Tools zugelassen sind, wo Grenzen liegen, muss kein juristisches Dokument sein. Eine klare, verständliche Seite reicht. Sie schafft Orientierung, reduziert unbewusstes Risikoverhalten und ist ein konkreter Nachweis für NIS2-konforme Organisationsmaßnahmen.
Warum gerade Interim Manager hier gefragt sind
Die Verbindung von KI-Governance und NIS2-Compliance ist keine Daueraufgabe, aber sie erfordert Erfahrung, Struktur und Umsetzungsgeschwindigkeit. Genau das ist die Domäne von Interim Managern. Sie bringen regulatorisches Wissen mit, können Risikobewertungen aufsetzen, Governance-Strukturen implementieren und interne Richtlinien etablieren ohne monatelange Einarbeitung und ohne politische Altlasten.
Gerade im Mittelstand, wo dedizierte Compliance-Abteilungen selten sind, kann ein Interim Manager den entscheidenden Unterschied machen: Er baut den Rahmen, übergibt das Betriebsmodell und geht mit einem Unternehmen, das regulatorisch aufgestellt ist und KI sicher nutzt.
FAZIT:Sicherheit entsteht durch Entscheidungen, nicht durch Technologie
2026 ist das Jahr, in dem NIS2-Compliance und KI-Governance untrennbar zusammenwachsen. Unternehmen, die NIS2 als reinen Compliance-Aufwand betrachten, verpassen die Chance, gleichzeitig einen tragfähigen Rahmen für den sicheren KI-Einsatz aufzubauen. Die Regulierung gibt die Struktur vor und die strategische Entscheidung liegt darin, diese Struktur nicht nur zu erfüllen, sondern zu nutzen.
Der entscheidende Schritt ist nicht der technische. Es ist die Entscheidung, KI nicht einfach laufen zu lassen, sondern sie innerhalb eines Rahmens zu führen, der Sicherheit, Verantwortlichkeit und Wettbewerbsfähigkeit verbindet.
Frank Wichert ist Interim Manager für Krisen- und Sanierungsvorhaben im IT-Bereich. Er unterstützt branchenübergreifend Unternehmen bis hin zu Konzernen.
Quellen und weiterführende Informationen
• ADVISORI: NIS2 trifft KI: AI Governance wird Pflicht
• Mittelstand Digital: KI-Verordnung, NIS-2-Richtlinie und Cyber Resilience Act
• DIHK: NIS-2: Mehr Verantwortung für Cybersicherheit ab 2026
• Darktrace: Implications of NIS2 on Cybersecurity and AI
• ISMS.online: Will NIS 2 Regulate AI and Machine Learning?
• ISiCO auf LinkedIn: NIS2 richtig umsetzen – Die 5 Schritte
• Transferstelle Cybersicherheit auf LinkedIn: NIS2 und Cybersicherheit im Mittelstand
• datensicherheit.de: Strategische Prioritäten für Unternehmen 2026
