Das NIS‑2‑Umsetzungsgesetz ist mit einer umfangreichen Änderung des BSI-Gesetzes Anfang Dezember 2025 in Kraft getreten: Was Unternehmen gerade aus dem Bereichen Maschinenbau, Hochtechnologie und Software jetzt tun müssen!

Ein wegweisendes Urteil hat weitreichende Konsequenzen für die Betreiber von generativer Künstlicher Intelligenz (KI). Eine Verwertungsgesellschaft, die die Rechte von Songtextern vertritt, klagte erfolgreich gegen die Betreiber eines bekannten KI-Chatbots. Der Vorwurf: Der Chatbot wurde mit urheberrechtlich geschützten Liedtexten trainiert und gab diese auf Anfrage wieder aus, teilweise in veränderter Form.

Seit dem 12.09.2025 gelten viele Regelungen des sogenannten Data Act (EU-Verordnung 2023/2854). Der Data Act enthält neue Pflichten für sehr viele Unternehmen, deren Umsetzung häufig mit erheblichem Aufwand verbunden ist. Der Data Act will die Verfügbarkeit von Daten aus vernetzten Produkten erhöhen und den Wechsel zwischen Datenverarbeitungsdiensten erleichtern. Um beide Ziele zu erreichen, werden Hersteller, Dateninhaber und Händler sogenannter vernetzter Produkte sowie Anbieter von Datenverarbeitungsdiensten in die Pflicht genommen.

Im Dickicht der EU-Entwaldungsverordnung wird’s nur langsam heller – aber immerhin raschelt’s: Was kommt nun wann auf betroffene Unternehmen zu? Die EU-Entwaldungsverordnung (EU Deforestation Regulation - EUDR) stellt viele Unternehmen mit globalen Liefer- und Wertschöpfungsketten vor enorme Herausforderungen. Schätzungsweise sind mehr als 370.000 Unternehmen in Europa betroffen. Dass der europäische Gesetzgeber wenige Wochen vor dem geplanten Start der EUDR zum 30. Dezember 2025 immer noch am Pflichtenkatalog feilt und auch eine erneute Verschiebung immer wahrscheinlicher wird, ist aus Sicht der betroffenen Unternehmen, die sich mit großem Aufwand bereits vorbereitet haben, wenig erfreulich.

Der Einsatz von IT im Unternehmen muss nicht nur sicher sein, sondern auch regelkonform. Gesetze, interne und externe Regelwerke sind einzuhalten. Dabei spielt es keine Rolle, ob die IT-Leistungen im Unternehmen oder durch Externe erbracht werden. Zwei neue Normen haben noch nicht alle Unternehmen präsent: den CRA (Cyber Resilience Act) und den Data Act (EU-Datenverordnung). Außerdem gibt es Neuigkeiten zur Umsetzung von NIS2.

Es gibt in der EU eine ganze Reihe von Vorschriften, die Sorgfaltspflichten in der Lieferkette vorgeben, und die bereits gelten oder demnächst wirksam werden sollen. Ein Vorstoß der EU Kommission Ende 2024 soll zu Erleichterungen für die betroffenen Unternehmen führen. Aber ist das wirklich so? Wird nun alles besser?