Jahrelang standen NIS2, DORA und der EU AI Act als Ankündigungen im Raum – Regelwerke, die „irgendwann“ relevant werden. 2026 ist genau dieses „irgendwann“. Gleich drei zentrale Fristen greifen in diesem Jahr, und alle drei betreffen Unternehmen, die SAP im Einsatz haben, direkt oder indirekt.
Für IT-Verantwortliche, interne Revision und Compliance-Teams heißt das: Aufsichtsbehörden akzeptieren keine Konzepte mehr auf dem Papier. Gefordert sind belastbare, technische Nachweise – aus echten Systemen, echten Berechtigungen und echten Prozessen.
Drei Fristen, ein gemeinsamer Nenner
NIS2: Umsetzungsfrist läuft im Oktober 2026 aus
Die NIS2-Richtlinie war auf EU-Ebene bereits bis zum 17. Oktober 2024 in nationales Recht umzusetzen, aber viele Mitgliedstaaten lagen oder liegen bei der Umsetzung weiterhin unterschiedlich weit auseinander.
Für Unternehmen bedeutet das: 2026 ist weniger die Frage, ob NIS2 kommt, sondern wie weit die jeweilige nationale Umsetzung und Durchsetzung bereits fortgeschritten ist. Wer in mehreren Ländern tätig ist, sollte deshalb nicht mit einem einheitlichen europäischen Tempo rechnen, sondern die nationale Lage separat prüfen.
DORA: Die Aufsicht ist längst aktiv – auch über SAP selbst
Anders als NIS2 ist der Digital Operational Resilience Act (DORA) für den Finanzsektor schon länger in Kraft. Der eigentliche Wendepunkt 2026 liegt in der Durchsetzung: Aufsichtsbehörden gehen inzwischen aktiv in die Prüfung, statt Übergangsfristen zu gewähren. Bemerkenswert dabei: SAP selbst wurde von den europäischen Aufsichtsbehörden offiziell als kritischer IKT-Drittanbieter eingestuft. Das unterstreicht, wie zentral SAP-Landschaften für die Bewertung der operativen Resilienz von Finanzunternehmen inzwischen sind – und wie genau Prüfer hinschauen, wenn es um Berechtigungen, Konfigurationen und Vorfallreaktion in SAP-Systemen geht.
EU AI Act: Sanktionen ab August 2026
Der EU AI Act tritt in seine nächste, verbindliche Phase: Ab August 2026 werden zentrale Pflichten für Governance, Transparenz und Hochrisiko-KI-Systeme sanktionsbewehrt – mit Bußgeldern, die empfindlich ausfallen können. Für Unternehmen, die KI-Funktionen in ihrer SAP-Landschaft nutzen (etwa im Rahmen von Business-AI-Anwendungen), wird das relevant: Wo KI-Systeme heute schon operativ eingesetzt werden, braucht es dokumentierte Governance-Strukturen, bevor die Frist greift.
Warum SAP-Landschaften im Zentrum stehen
Diese drei Regelwerke haben unterschiedliche Anwendungsbereiche, aber einen gemeinsamen Kern: Sie verlangen Nachweisbarkeit statt Absichtserklärung. Und genau hier liegt für viele Unternehmen die eigentliche Herausforderung. SAP-Systeme bilden in aller Regel die zentralen Geschäftsprozesse ab – Finanzen, Einkauf, Personalwesen, Lieferketten. Wenn Aufsichtsbehörden operative Resilienz oder Risikomanagement prüfen, landen sie damit fast zwangsläufig bei der Frage: Wie ist der Zugriff auf diese Systeme geregelt, wie werden Risiken erkannt, und wie schnell kann reagiert werden?
Ein Berechtigungskonzept, das seit Jahren „historisch gewachsen“ ist, oder ein Sicherheitsniveau, das nie einem realistischen Stresstest unterzogen wurde, wird in diesem regulatorischen Umfeld schnell zum konkreten Haftungsrisiko – nicht nur zum abstrakten IT-Thema.
Was jetzt sinnvoll ist
Statt die drei Regelwerke einzeln und nacheinander abzuarbeiten, lohnt sich ein integrierter Blick: Viele Anforderungen an Risikomanagement, Zugriffskontrolle und Nachweisführung überschneiden sich zwischen NIS2, DORA und AI Act. Wer seine SAP-Landschaft einmal grundlegend auf Herz und Nieren prüft, schafft damit häufig gleich die Basis für mehrere Regelwerke gleichzeitig.
Der erste, pragmatische Schritt dabei ist meist eine ehrliche Bestandsaufnahme: Wo stehen wir aktuell wirklich, jenseits der Dokumentation?
Unser kostenfreier SAP Security Check ist genau dafür gedacht. Ohne Vorbereitung und unverbindlich zeigt er typische Schwachstellen in eurem System auf – eine erste, konkrete Orientierung, bevor der nächste Prüftermin ansteht.
Quellenhinweise
• NIS2-Umsetzungsfrist Oktober 2026: ComplianceHub.Wiki, Stand Juni 2026
• AI Act Sanktionen ab 2. August 2026: ADVISORI-Blog „Regulierungswelle 2026", Stand April 2026
• SAP-Einstufung als Critical ICT Third-Party Service Provider (17. November 2025): SAP Trust Center