Zum Inhalt springen

Compliance

NIS2, Software-Lieferkette und KI-Code

Zuletzt aktualisiert: 2026-07-02Lesezeit ca. 4 Min.

NIS2 erwähnt KI-Code nicht – und hat sein Risikoprofil trotzdem verändert. Seit das deutsche Umsetzungsgesetz im Dezember 2025 in Kraft trat, muss die Geschäftsleitung von rund 29.500 erfassten Unternehmen das Cybersicherheits-Risikomanagement billigen und überwachen – einschließlich Entwicklungs- und Lieferketten-Sicherheit, der Box, in der ungeprüfter KI-generierter Code sitzt. Ein KI-Sonderhaftungsregime gibt es nicht (die AILD wurde zurückgezogen); Haftung setzt sich aus Produkthaftung, Vertrag und diesen Aufsichtspflichten zusammen. Rechtsprechung zu KI-Code existiert noch nicht.

Inhalt

Was sich in Deutschland im Dezember 2025 geändert hat

Rechtsstand: 2. Juli 2026. Dieser Artikel beschreibt Regulierung zur Orientierung – er ist keine Rechtsberatung; Geltungsbereichs- und Haftungsanalyse für euer Unternehmen gehört zu eurem Justiziariat.

Das NIS2-Umsetzungsgesetz trat am 6. Dezember 2025 in Kraft und weitete die BSI-Aufsicht von etwa 4.500 auf rund 29.500 Unternehmen in 18 Sektoren aus. Die Registrierung lief bis März 2026; die erste Nachweis-Frist wurde auf den 30. Juni 2026 verschoben. Bußgelder reichen bis 10 Millionen Euro oder 2 % des weltweiten Umsatzes. Die Konstruktionsentscheidung, die für diesen Artikel zählt: Risikomanagement ist ausdrücklich Sache des Leitungsorgans – billigen, überwachen, schulen – und nicht vollständig nach unten delegierbar.

Die Pflichten, auf KI-Coding abgebildet

PflichtWas sie abdecktWo KI-Code hineinspielt
Risikomanagement-MaßnahmenTechnische und organisatorische Maßnahmen nach Stand der TechnikRichtlinie für KI-Tools; Verifikation generierter Änderungen
Lieferketten-SicherheitSicherheit von Zulieferern und Dienstleister-BeziehungenDatenpfade der Tool-Anbieter; halluzinierte/injizierte Dependencies
Sicherheit in der EntwicklungSichere Entwicklung, Beschaffung, WartungKI-generierter Code als volumenstärkster Entwicklungs-Input
Billigung & Überwachung durch die LeitungLeitung billigt Maßnahmen, überwacht UmsetzungKann die Leitung zeigen, dass KI-Code-Risiko bewertet und gesteuert ist?
SchulungLeitung nimmt an Sicherheitsschulungen teilKI-Fehlermodi gehören in dieses Curriculum
MeldepflichtenErhebliche Vorfälle in engen Fristen meldenZuordnung: Welche Änderung war es – und wer hat sie geprüft?
NIS2-Pflichten und was sie in einer KI-gestützten Entwicklungsorganisation berühren – das Mapping ist die Logik des Gesetzes auf KI-Code angewandt, keine zitierten Paragrafen (Stand: Juli 2026).

Das Haftungsbild nach dem AILD-Rückzug

Ein KI-Sonderhaftungsregime existiert nicht: Die Kommission hat die KI-Haftungsrichtlinie 2025 zurückgezogen, mangels Einigung. Was bleibt, ist ein Bild in drei Schichten. Gegenüber Kunden: Vertrag und ab Dezember 2026 die neue Produkthaftungsrichtlinie, die Software ausdrücklich als Produkt mit verschuldensunabhängiger Haftung erfasst. Im Unternehmen: die oben beschriebenen, durch NIS2 geschärften Aufsichtspflichten, mit persönlicher Verantwortlichkeit der Leitung bei groben Verstößen. Und in alle Richtungen: die gewöhnliche Verschuldenshaftung. Was es Stand Juli 2026 nicht gibt: ein einziges veröffentlichtes Urteil zu Schäden aus KI-generiertem Code – jede selbstbewusste Aussage, wie so ein Fall ausginge, ist Spekulation, unsere eingeschlossen.

Was umsichtige Organisationen dokumentieren

Das Muster über alle drei Schichten ist dasselbe: Haftungsfragen werden zu Beweisfragen. Eine Organisation, die eine schriftliche KI-Coding-Richtlinie, Verifikationsnachweise pro Änderung und einen Audit-Trail über das Tun ihrer KI-Tools vorlegen kann, argumentiert mit Dokumenten; eine, die das nicht kann, argumentiert aus dem Gedächtnis – gegen eine 48-%-Prüfquoten-Statistik, die die Gegenseite auch kennt. Diese Beweis-Gewohnheit aufzubauen kostet am wenigsten, solange noch niemand danach fragt.

Wo Reality Graph ansetzt

Reality Graph erzeugt die Beweisschicht, auf die dieser Artikel dauernd zeigt: Verifikation jedes KI-Coding-Runs gegen seinen schriftlichen Auftrag, festgehalten in Prüfberichten beim Code, local-first. Es bestimmt keinen NIS2-Geltungsbereich, zertifiziert keine Compliance und ändert nicht, wer haftet – es ändert, was eure Organisation vorlegen kann, wenn die Frage kommt.

Diese Orientierung gibt euch

  • Den Dezember-2025-Stand des deutschen NIS2-Regimes, datiert
  • Das Pflichten-zu-KI-Code-Mapping mit offengelegter Begründung
  • Das ehrliche Haftungsbild nach dem AILD-Rückzug
  • Drei Artefakte, die Aufsicht in Dokumente verwandeln

Sie gibt euch nicht

  • Eine Geltungsbereichs-Bestimmung für euer Unternehmen – die macht das Justiziariat
  • Eine Prognose, wie ein Gericht KI-Code-Schäden behandelt – noch hat keins entschieden
  • Eine Compliance-Garantie von irgendeinem Tool, auch nicht Reality Graph
  • Einen Grund zur Panik – die Pflichten sind machbar, dokumentiert

Wenn diese Grenzen zu eurem Team passen:

FAQ

Wer haftet, wenn KI-generierter Code Schäden verursacht?
Es gibt kein Sonder-Haftungsregime für KI – die EU hat ihren Vorschlag einer KI-Haftungsrichtlinie 2025 zurückgezogen –, also greifen die gewöhnlichen Schichten. Gegenüber Kunden: Vertrag und ab Dezember 2026 die neue Produkthaftungsrichtlinie, die Software ausdrücklich als Produkt mit verschuldensunabhängiger Haftung erfasst. Im Unternehmen: Leitungspflichten, die NIS2 für erfasste Einrichtungen geschärft hat – die Geschäftsleitung billigt und überwacht das Risikomanagement und kann für grobe Pflichtverletzungen persönlich einstehen müssen. Wer im konkreten Fall was trägt, ist eine Frage ans Justiziariat; veröffentlichte Rechtsprechung zu KI-generiertem Code gibt es noch nicht.
Was verlangt NIS2 konkret von der Geschäftsleitung?
Nach dem deutschen Umsetzungsgesetz (in Kraft seit 6. Dezember 2025) müssen Leitungsorgane erfasster Einrichtungen die Cybersicherheits-Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und an Schulungen teilnehmen. Die Maßnahmen selbst müssen unter anderem Lieferketten-Sicherheit und Sicherheit in der Entwicklung abdecken. Bußgelder für Einrichtungen reichen bis 10 Millionen Euro oder 2 % des weltweiten Umsatzes; die Verantwortlichkeit der Leitung für verletzte Überwachungspflichten ist Teil der Konstruktion.
Ist ungeprüfter KI-Code wirklich ein NIS2-Thema?
NIS2 erwähnt KI-Coding-Tools nicht – es verlangt gesteuerte Entwicklungs- und Lieferketten-Risiken, und ungeprüfter KI-generierter Code sitzt mitten in dieser Box: hochvolumiger, fremdbeeinflusster Input in euer Produkt mit gemessenen Fehlerraten und, nach Sonars Daten von 2026, einer konsequenten Prüfquote von 48 %. Ein Aufsichtsregime, das die Dependency-Richtlinie abdeckt, aber nicht die volumenstärkste Codequelle, hat eine sichtbare Lücke – das ist ein Argument aus der Logik des Gesetzes, kein zitierter Paragraf.
Gilt NIS2 überhaupt für unser Unternehmen?
Erfasst sind „wesentliche“ und „wichtige“ Einrichtungen in 18 Sektoren – Energie, Transport, Gesundheit, digitale Infrastruktur, Teile des verarbeitenden Gewerbes und mehr –, in der Regel ab 50 Beschäftigten oder 10 Millionen Euro Umsatz, mit Registrierungspflicht beim BSI. Rund 29.500 deutsche Unternehmen fallen darunter, gegenüber etwa 4.500 im alten Regime. Ob ihr dazugehört, ist eine Schwellenwert-Analyse fürs Justiziariat – stuft euch nicht anhand einer Blog-Tabelle ein, auch nicht anhand dieser.
Was ist aus der KI-Haftungsrichtlinie geworden?
Die Kommission kündigte den Rückzug im Arbeitsprogramm 2025 an – Begründung: keine absehbare Einigung – und machte ihn im Oktober 2025 offiziell. Die praktische Folge: Es kamen keine KI-spezifischen Beweisregeln oder Vermutungen; Haftungsfragen um KI-generierten Code lösen sich über die bestehenden Instrumente – die neue Produkthaftungsrichtlinie für Software-Produkte, nationale Verschuldenshaftung und Vertrag.
Was sollte die Geschäftsleitung ab jetzt einfordern?
Drei Artefakte, die die von NIS2 erwartete Aufsicht belegen: eine schriftliche KI-Coding-Richtlinie (wer darf welche Tools mit welchen Prüfungen nutzen), Belege, dass die Prüfungen stattfinden – Verifikationsnachweise pro Run statt Zusicherungen – und einen periodischen Bericht über KI-Code-Risikoindikatoren (Prüfabdeckung, Incident-Zuordnung). Eine Leitung, die diese drei vorlegen kann, beantwortet die Frage „habt ihr das überwacht?“ mit Dokumenten statt mit Erinnerung.

Weiterlesen

Quellen

Die Beta verfolgen – oder testen, sobald sie öffnet?

Early Access anfragen