Ist die Geschäftsführung bereit für den EU AI Act?

Die Unternehmensleitung ist ab sofort rechtlich verantwortlich. Selbst für KI-Funktionen, die nie offiziell genehmigt wurden.

Ein zeitlich definierter Readiness-Sprint: Er deckt auf, wo KI unbemerkt in das Unternehmen gelangt ist, klärt die rechtlichen Pflichten als KI-Betreiber („Deployer“) und liefert eine konkrete, vorstandsgerechte Compliance-Roadmap.

Kostenlosen Compliance-Scan startenErstgespräch buchen (30 Min.)

Warum jetzt: Das Cbw (NIS2)

Das Cbw — die strenge Umsetzung der EU-NIS2-Richtlinie in den Niederlanden — tritt Mitte 2026 in Kraft. Es führt vier kritische Kernbereiche ein, die in der direkten Verantwortung der Geschäftsführung liegen:

Sorgfaltspflicht

Verpflichtende Umsetzung risikobasierter Cybersicherheitsmaßnahmen.

Strikte Meldepflicht

Erste Meldung innerhalb von 24 Stunden erforderlich; ein umfassender Bericht innerhalb von 72 Stunden.

Offizielle NCSC-Registrierung

Verpflichtende formelle Registrierung beim National Cyber Security Centre.

Persönliche Haftung der Geschäftsführung

Die Unternehmensleitung kann bei Compliance-Verstößen persönlich haftbar gemacht werden.

Die aufsichtsrechtliche Durchsetzung erfolgt durch die RDI und branchenspezifische Behörden. Wir bereiten Unternehmen darauf vor, diese Standards zu erfüllen — als strategischer Berater, nicht als Auditor.


Der regulatorische blinde Fleck

Digitale Resilienz (Cbw) und KI-Governance (EU AI Act) laufen bei einer einzigen, komplexen Frage zusammen: Welche Software läuft tatsächlich im Netzwerk? Die meiste moderne KI wird nicht bewusst eingeführt, sondern automatisch in Tools aktiviert, die bereits genutzt werden (wie Microsoft, Zoom oder Salesforce). Als KI-Betreiber („Deployer“) steht das Unternehmen in der gesetzlichen Pflicht, diese zu überwachen. Unser Readiness-Sprint bündelt verdeckte KI-Risiken und Cbw-Schwachstellen in einer einzigen, vorstandsgerechten Roadmap. Dies ist eine praxisnahe Beratung zur Vorbereitung, kein generisches Zertifizierungsaudit.

Das eigentliche Problem

Viele Unternehmen sorgen sich darum, dass Mitarbeitende sensible Daten in ChatGPT kopieren. Ein weitaus größeres, unüberwachtes Risiko ist jedoch integrierte Shadow AI („Embedded Shadow AI“). Diese entsteht, wenn etablierte Softwareanbieter generative KI-Funktionen standardmäßig per automatischem Update aktivieren — ohne Benachrichtigung und ohne Freigabe durch die Geschäftsleitung.

„Sobald KI-Funktionen über bestehende Tools wie CRM, ERP oder Office-Suiten Einzug halten, geht die rechtliche Pflicht zur Klassifizierung, Überwachung oder Einschränkung direkt auf das Unternehmen als Betreiber über. Allerdings werden Organisationen selten früh genug informiert, um zu handeln. Hier klafft eine gewaltige Prozesslücke.“ — CISO, globales Pharmaunternehmen

Nach dem EU AI Act gilt das Unternehmen rechtlich als Betreiber („Deployer“). Das bedeutet, dass die gesetzliche Verantwortung für Protokollierung, Überwachung und Mitarbeiteraufklärung hier liegt — noch bevor diese Tools live gehen. Wenn Software-Updates im Hintergrund heimlich KI-Funktionen aktivieren, erfährt man es meistens als Letzter und steht ungeschützt da.

Executive Readiness Report

Die Ergebnisse

Ein vorstandsgerechtes Assessment, das den aktuellen Status im Hinblick auf den EU AI Act und NIS2 detailliert darlegt. Es bietet einen ungeschminkten Blick auf die größten Risiken, ergänzt durch einen prioritätenbasierten 30/60/90-Tage-Maßnahmenplan mit festen Verantwortlichkeiten — verfasst in klarer, konkreter Sprache, die direkt als Entscheidungsvorlage dient.


Der Bericht umfasst zwei spezielle Assessment-Module:

Road

Scan auf integrierte Shadow AI

Eine Analyse ohne Auswirkungen auf die Produktivumgebung, die versteckte KI-Funktionen bestehender Softwareanbieter aufdeckt — ohne Netzausfälle oder Software-Installationen.

Assessment zur souveränen Datenmigration

Eine strukturierte Evaluierung pro Workload, um zu bestimmen, welche Datenbestände von ausländischen Clouds auf souveräne EU- oder private Infrastrukturen migriert werden müssen und in welcher Reihenfolge.


Für wen wir da sind

Speziell entwickelt für mittelständische Unternehmen (50–250 Mitarbeitende), die mit sensiblen, geschützten oder streng regulierten Daten arbeiten und den EU AI Act sowie NIS2 einhalten müssen. Unsere Schwerpunkte liegen auf Fertigung, F&E, Chemie, Pharma, regulierten Finanzdienstleistungen, dem Gesundheitswesen und hochwertigen professionellen Dienstleistungen.


Strategische Beratung, kein starres Audit

Wir identifizieren regulatorische Lücken und bereiten Unternehmen gründlich auf die offizielle Überprüfung durch die zuständigen nationalen Behörden vor. Wir liefern eine umsetzbare Strategie, keine standardisierten Stempel-Zertifizierungen. Erfordert der Compliance-Pfad eine formelle rechtliche Freigabe oder ein gesetzliches Audit, übergeben wir nahtlos an unser Netzwerk akkreditierter Partner.


Das Unternehmen schützen

Risiken noch heute identifizieren und ein 30-minütiges Readiness-Erstgespräch vereinbaren.

Erstgespräch buchen (30 Min.)