Am 7. Juli 2026 präsentierte die Europäische Kommission einen EU-Aktionsplan für Cybersicherheit und Künstliche Intelligenz. Diese nicht bindende Mitteilung (IP/26/1544) fasst die Vorgaben des AI Act, des Cyber Resilience Act sowie die Cybersicherheitsregeln der NIS2 und der RED zu einem operativen Fahrplan für Compliance-Teams vernetzter Produkte zusammen. Der Plan erscheint 26 Tage bevor die Verpflichtungen für Allzweck-KI (GPAI) und die meisten Bestimmungen für Hochrisiko-KI des AI Act am 2. August 2026 durchsetzbar werden. Er verdeutlicht, worauf ENISA, das AI Office und die Gemeinsame Forschungsstelle (JRC) ihre Aufsichts- und Testkapazitäten bis 2027 konzentrieren werden.
Für Hersteller von Funk-, Telekommunikations- und Elektrogeräten, die sich bereits auf die Cybersicherheitsanforderungen nach Artikel 3.3(d)-(f) der RED gemäß der Delegierten Verordnung (EU) 2022/30 und der harmonisierten Norm EN 18031 einstellen, ist der Aktionsplan ein zukunftsweisendes Signal und keine neue rechtliche Verpflichtung. Er zeigt den Konformitätsbewertungsteams auf, auf welche KI-bezogenen Kontrollen, Evaluierungskanäle und sicheren Testinfrastrukturen sich die Aufsichtsbehörden von 2026 bis 2027 stützen werden und wo die Kommission jetzt Investitionen der Industrie erwartet.
Was der Aktionsplan für die Compliance vernetzter Produkte konkret ändert
Die Mitteilung führt keine neuen verbindlichen Regeln ein. Ihr Gewicht ist operativer Natur: Sie verpflichtet die Kommission, ENISA und das JRC zur Bereitstellung von vier konkreten Instrumenten. Compliance-Teams für vernetzte Produkte sollten diese verfolgen und gegebenenfalls in ihre Vorbereitungsprogramme für den AI Act und den CRA integrieren.
- Eine EU-Evaluierungskapazität für KI-Cybersicherheit, die über einen speziellen Aufruf eingerichtet wird und voraussichtlich 2027 einsatzbereit ist. Sie wird in die Bewertungen fortschrittlicher Modellfähigkeiten und -risiken durch Dritte des AI Office einfließen und den GPAI Code of Practice ergänzen, der ab dem 2. August 2026 verbindlich wird.
- Ein ENISA European Blueprint für strukturierten Zugang zu fortschrittlichen KI-Fähigkeiten. Dieser bietet öffentlichen und privaten europäischen Organisationen transparente Bedingungen für den Zugang zu den leistungsfähigsten Modellen für Cybersicherheitsanwendungen.
- Eine sichere Testplattform von JRC und ENISA für KI-Cybersicherheit, einschließlich simulierter Umgebungen, die sich an Betreiber in kritischen Sektoren (Finanzen, Energie, Gesundheit, Verkehr, öffentliche Verwaltung) richtet.
- Eine EU Grand Challenge zu KI für Cybersicherheit sowie von ENISA moderierte Partnerschaften zwischen Behörden, Unternehmen und Open-Source-Communitys, einschließlich einer Kampagne zur Sicherung kritischer Open-Source-Software.
Keines dieser Instrumente ersetzt eine CE-Konformitätsbewertung nach RED oder CRA. Sie stellen vielmehr die Kapazitäten des öffentlichen Sektors dar, auf die sich die Aufsichtsbehörden bei der Bewertung KI-gestützter Funktionen in vernetzten Produkten stützen werden und die Anbieter freiwillig nutzen können, bevor die Verpflichtungen greifen.
Wer ist betroffen und bis wann
Compliance-Verantwortliche und Produkt-Cybersicherheitsmanager bei EU-Herstellern von Funk-, Telekommunikations- und vernetzten Elektrogeräten bilden die primäre Zielgruppe in der Industrie, neben wesentlichen und wichtigen Einrichtungen gemäß NIS2. Die verbindlichen Fristen, um die der Aktionsplan kreist, bleiben unverändert, liegen jedoch eng beieinander:
| Datum | In Kraft tretende Verpflichtung | Instrument |
|---|---|---|
| 2. August 2026 | GPAI-Verpflichtungen und die meisten Bestimmungen für Hochrisiko-KI durchsetzbar; Einhaltung des GPAI Code of Practice erwartet | Verordnung (EU) 2024/1689 (AI Act) |
| 2. August 2026 | Cybersicherheitsanforderungen nach RED Artikel 3.3(d)-(f) bereits seit dem 1. August 2025 anwendbar; Konformitätsvermutung über EN 18031 | Delegierte Verordnung (EU) 2022/30 |
| Ende 2027 | Cyber Resilience Act vollständig anwendbar: Security-by-Design, Meldung von Schwachstellen und Sicherheitsvorfällen, CE-Konformität für Produkte mit digitalen Elementen | Verordnung (EU) 2024/2847 (CRA) |
| 2027 | EU-Evaluierungskapazität für KI-Cybersicherheit einsatzbereit | Zusage aus dem Aktionsplan (nicht bindend) |
Für einen Anbieter von Funk- oder vernetzten Geräten, der eine KI-gestützte Funktion auf dem EU-Markt einführt, sieht die praktische Abfolge wie folgt aus: Konformität nach dem AI Act für die Hochrisikokomponente ab dem 2. August 2026, Konformität der Cybersicherheit nach RED für die Funkschnittstelle, die bereits in Kraft ist, und Konformität nach dem CRA für die digitalen Elemente des Produkts bis Ende 2027. Der Aktionsplan verschiebt diese Daten nicht; er zeigt auf, welche EU-Stellen zur Unterstützung der jeweiligen Ebene zur Verfügung stehen werden.
Was Compliance-Teams jetzt tun sollten
Erstens: Ordnen Sie jede KI-gestützte Funktion in Ihrem Portfolio an Funk-, Telekommunikations- oder Elektrogeräten den Risikostufen des AI Act und den grundlegenden Cybersicherheitsanforderungen nach RED 3.3(d)-(f) zu. Wenn eine Funktion als hochriskant eingestuft wird, müssen die Konformitätsbewertung und die Dokumentation zum Risikomanagement vor dem 2. August 2026 vorliegen, nicht danach. Zweitens: Bereiten Sie Ihre CRA-Bereitschaftsakte frühzeitig vor. Prozesse zur Meldung von Schwachstellen und Sicherheitsvorfällen, die Disziplin bei Software-Stücklisten und Nachweise für Security-by-Design werden alle im Rahmen der Anwendbarkeit des CRA im Dezember 2027 geprüft. Das AI Office und die ENISA-Testplattform sind darauf ausgerichtet, diese Nachweise für KI-haltige Komponenten abzufragen. Drittens: Verfolgen Sie den ENISA Blueprint und den Aufruf zur EU-Evaluierungskapazität auf ihrem Weg von der Zusage zur Umsetzung. Erwägen Sie eine frühzeitige Einbindung Ihres Prüflabors oder Ihrer benannten Stelle, da die Kapazitäten im Vorfeld von 2027 knapp sein werden.
Das kontinuierliche, länderspezifische Monitoring von Obsidian erfasst Mitteilungen der Kommission, ENISA-Leitlinien und Aktualisierungen harmonisierter Normen in dem Moment, in dem sie veröffentlicht werden. So kann ein Compliance-Team für vernetzte Produkte jedes neue Dokument in seine Bereitschaftsakte aufnehmen, ohne dieselben täglichen Prüfungen manuell wiederholen zu müssen.
Nutzen Sie diese Echtzeit-Überwachung
Nächste Schritte für Compliance-Verantwortliche: Bestätigen Sie Ihre Konformitätsposition nach dem AI Act für jede Hochrisikofunktion zum 2. August 2026. Informieren Sie Ihre benannte Stelle und Ihren Partner für Cybersicherheitstests über die vier Ergebnisse des Aktionsplans und verankern Sie den CRA-Meilenstein für Dezember 2027 jetzt in Ihren Produkt-Roadmap-Reviews, nicht erst nach der Sommerpause.


