Zum Inhalt springen
compliance advisory
Erstgespräch vereinbaren
Compliance-Fristen 2026: Kalender gratis | vsca
Compliance-KalenderZuletzt aktualisiert: 2026-06-23

Compliance-Fristen 2026/27: Alle Deadlines auf einer Seite

Zuletzt aktualisiert: 23.06.2026

NIS2, Cyber Resilience Act, EU AI Act, DORA, GDPR-Verfahrensverordnung – die regulatorische Taktung ist 2026 dichter denn je, und kaum jemand im Mittelstand behält dabei den Überblick. Unser Compliance-Kalender 2026/27 bündelt die wichtigsten Stichtage auf einer einzigen, übersichtlichen Seite: was wann gilt, wen es trifft und welche Termine bereits abgelaufen sind. Kostenlos als PDF zum Herunterladen, Ausdrucken und Weiterleiten – ideal als Aushang im Compliance-Büro oder als Basis fürs nächste Geschäftsleitungs-Meeting. Faktenbasiert statt alarmistisch, jede Angabe mit Quelle und Jahr.

Kalender herunterladen · oder direkt Fragen mit uns klären.

Warum ein Compliance-Kalender 2026 jetzt zählt

Die Jahre 2026 und 2027 sind kein einzelner Countdown, sondern eine Kaskade aus mehreren Regelwerken, die parallel scharf werden. Wer nur auf ein Thema schaut, übersieht leicht die anderen – und übersieht vor allem, dass einige Fristen bereits verstrichen sind. Drei Beobachtungen prägen die Lage 2026:

  • Manche „Deadlines" sind keine mehr. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist in Deutschland bereits seit dem 6. Dezember 2025 in Kraft – ohne allgemeine Übergangsfrist. Die Botschaft lautet nicht „Countdown", sondern „handeln statt warten".
  • Ein verbreiteter Mythos hält sich hartnäckig. Der Sanktionsrahmen des EU AI Act (Art. 99) gilt nicht erst „ab August 2026", sondern bereits seit dem 2. August 2025. Wer das anders kommuniziert, plant auf falscher Grundlage.
  • Das Pendel schlägt in beide Richtungen. Während Cyber-Themen (NIS2, CRA) strenger werden, werden andere Pflichten (AI-Act-Hochrisiko, CSDDD) politisch entschärft oder verschoben. Genau diese gegenläufigen Bewegungen sind der häufigste Grund für Verwirrung.

Der Compliance-Kalender 2026/27 macht diese Gemengelage in einer Minute lesbar – und kennzeichnet klar, was geltendes Recht ist und was bislang nur politisch beschlossen wurde.

Die wichtigsten Compliance-Fristen 2026/27 im Überblick

Die folgende Tabelle ist der Kern des Kalenders. Sie enthält ausschließlich verifizierte Stichtage – mit Quelle und Jahr. Unsichere Punkte sind als solche markiert und unter der Tabelle erläutert.

DatumEreignisWen es betrifft
17.1.2025DORA anwendbar (bereits in Kraft)Finanzunternehmen + ihre IKT-Drittdienstleister
2.2.2025EU AI Act: KI-Kompetenzpflicht (Art. 4) giltjeder, der KI nutzt – auch ChatGPT/Copilot
2.8.2025EU AI Act: Sanktionsrahmen (Art. 99) + GPAI-Pflichten in KraftKI-Anbieter und -Betreiber
6.12.2025NIS2UmsuCG in Kraft (DE), keine allg. Übergangsfrist~29.500 Einrichtungen, 18 Sektoren
6.3.2026NIS2: BSI-Registrierungsfrist (abgelaufen)wesentliche und wichtige Einrichtungen
11.9.2026CRA: Meldepflichten (Art. 14) – 24h / 72h / 14 TageHersteller „Produkte mit digitalen Elementen"
2.8.2026 → 2.12.2027*AI Act: Hochrisiko-Pflichten (Annex III) – Verschiebung politisch beschlossenAnbieter/Betreiber von Hochrisiko-KI
2.4.2027GDPR-Verfahrensverordnung (EU) 2025/2518 anwendbargrenzüberschreitende Datenschutzfälle
11.12.2027CRA: Vollanwendung (CE-Kennzeichnung, Konformität, SBOM)Hersteller
offen*CSDDD: erste Anwendung nach Entschärfung (Termin in Bewegung)Großunternehmen / Lieferkette

Quellen: NIS2 – BSI/NIS2UmsuCG, BGBl. 2025; AI Act – VO (EU) 2024/1689, Art. 4/99; CRA – VO (EU) 2024/2847; DORA – BaFin 2025; GDPR-VerfahrensVO – (EU) 2025/2518; Stand 23.06.2026.

Unsicherheits-Flags – bitte beachten

AI-Act-Hochrisiko-Pflichten (2.8.2026 → 2.12.2027): Die Verschiebung der Annex-III-Hochrisiko-Pflichten auf den 2. Dezember 2027 ist im Rahmen des „Digital Omnibus" politisch beschlossen (Zustimmung Europäisches Parlament, 16.6.2026), aber noch nicht im EU-Amtsblatt veröffentlicht. Rechtlich gilt bis zu dieser Veröffentlichung weiterhin der 2. August 2026. Planen Sie konservativ und prüfen Sie die Primärquelle, bevor Sie sich auf das spätere Datum verlassen.

CSDDD-Schwellen und -Termine: Die Entschärfung der EU-Lieferketten-Richtlinie (CSDDD) – diskutierte Schwelle 5.000 Mitarbeitende / 1,5 Mrd. € Umsatz, Beschränkung auf Tier 1, Streichung der zivilrechtlichen Haftung – stammt aus übereinstimmenden Kanzlei-Briefings und ist regulatorisch noch in Bewegung. Wir kennzeichnen diese Angaben ausdrücklich als unsicher; vor verbindlichen Entscheidungen ist der EUR-Lex-Volltext maßgeblich.

Was hinter den Stichtagen steckt – Kurzfakten je Thema

Damit der Kalender nicht nur Daten, sondern auch Einordnung liefert, fasst der Download die wichtigsten Eckpunkte je Regelwerk zusammen:

  • NIS2 – In Kraft seit dem 6. Dezember 2025, keine allgemeine Übergangsfrist. Der Anwendungsbereich umfasst rund 29.500 Einrichtungen in 18 Sektoren (zuvor etwa 4.500), die Schwelle liegt grundsätzlich bei 50 Mitarbeitenden oder 10 Mio. € Umsatz. Es gilt eine Selbstprüfungspflicht (kein behördlicher Bescheid), persönliche Geschäftsleiter-Haftung plus Schulungspflicht, Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (höherer Wert). Bis zur abgelaufenen Registrierungsfrist am 6. März 2026 waren erst rund 11.500 Einrichtungen registriert (BDO, 2026). Mehr dazu auf unserer Themenseite NIS2.
  • Cyber Resilience Act (CRA) – Ab dem 11. September 2026 greifen die Meldepflichten (Art. 14): 24 Stunden Frühwarnung, 72 Stunden Meldung, 14 Tage Abschlussbericht bei aktiv ausgenutzter Schwachstelle. Es gibt keine KMU-Ausnahme; betroffen sind unter anderem Maschinenbau, Software/SaaS und IoT. Strafen bis 15 Mio. € oder 2,5 %. Vollanwendung am 11. Dezember 2027. Details auf der Seite Cyber Resilience Act.
  • EU AI Act – Die KI-Kompetenzpflicht (Art. 4) gilt seit dem 2. Februar 2025 für jeden, der KI nutzt – auch für die reine Nutzung von ChatGPT oder Copilot. Der Sanktionsrahmen (Art. 99) ist seit dem 2. August 2025 in Kraft; Bußgelder bei verbotenen Praktiken bis 35 Mio. € oder 7 %, für KMU jeweils der niedrigere Wert (Art. 99 Abs. 6). Nationale Aufsicht in Deutschland: die Bundesnetzagentur. Mehr auf EU AI Act.
  • DORA – Anwendbar seit dem 17. Januar 2025; 2026 steht im Zeichen der aktiven Aufsicht. Über den Flow-down-Effekt (Art. 30) werden auch IT- und Cloud-Dienstleister mit Finanzkunden vertraglich mitverpflichtet. Mehr auf DORA.
  • GDPR-Verfahrensverordnung – Die Verordnung (EU) 2025/2518 ist ab dem 2. April 2027 anwendbar und vereinheitlicht das Verfahren bei grenzüberschreitenden Datenschutzfällen.

Compliance-Kalender 2026/27 kostenlos anfordern {#kalender-formular}

Tragen Sie Ihre Daten ein und Sie erhalten den Compliance-Kalender 2026/27 umgehend per E-Mail – als kompaktes PDF, das alle Schlüsselfristen auf einer Seite bündelt. Kostenlos, unverbindlich und sofort teilbar.

  • Name
  • Unternehmen
  • Geschäftliche E-Mail-Adresse
  • (optional) Branche / Sektor (Auswahl)

Kalender herunterladen

Nach der Bestätigung Ihrer E-Mail-Adresse (Double-Opt-in) liegt das PDF direkt in Ihrem Postfach. Kein Vertrieb, keine versteckten Kosten.

So nutzen Sie den Kalender im Alltag

Der Compliance-Kalender ist als Arbeitsmittel gedacht – nicht als Deko. Drei einfache Schritte machen aus der Übersicht echten Mehrwert:

  1. Verteilen & sichtbar machen – Drucken Sie das PDF aus oder hängen Sie es im Compliance- und IT-Bereich aus. Wer die Stichtage sieht, vergisst sie nicht.
  2. Betroffenheit klären – Nicht jede Frist trifft jedes Unternehmen. Welche für Sie relevant sind, klären Sie am schnellsten mit unserer kostenlosen NIS2-Betroffenheitsanalyse – sie ist der ideale erste Schritt, weil NIS2 für viele Mittelständler das dringendste Thema ist.
  3. In die Geschäftsleitung tragen – Gerade bei NIS2 trägt die Leitungsebene die persönliche Verantwortung. Der Kalender ist eine kompakte Vorlage fürs nächste Management-Meeting.

Wichtig: Auch wer formal unter kein Regelwerk fällt, wird häufig über die Lieferkette mittelbar in die Pflicht genommen – betroffene Kund:innen geben ihre Anforderungen vertraglich weiter. Der Kalender hilft, diese Zusammenhänge frühzeitig zu erkennen.

Häufige Fragen zum Compliance-Kalender 2026/27

Welche Compliance-Fristen sind 2026 die wichtigsten? Für die meisten mittelständischen Unternehmen sind drei Termine zentral: NIS2 ist in Deutschland bereits seit dem 6. Dezember 2025 in Kraft (die BSI-Registrierungsfrist am 6. März 2026 ist abgelaufen), die CRA-Meldepflichten greifen ab dem 11. September 2026, und der Sanktionsrahmen des EU AI Act gilt bereits seit dem 2. August 2025. Welche Frist für Sie konkret zählt, hängt von Sektor und Größe ab – genau das bildet der Kalender ab.

Stimmt es, dass die AI-Act-Sanktionen erst ab August 2026 gelten? Nein, das ist ein verbreiteter Irrtum. Der Sanktionsrahmen des EU AI Act (Art. 99) ist bereits seit dem 2. August 2025 in Kraft. Der August 2026 betraf ursprünglich die Hochrisiko-Pflichten (Annex III); diese sollen per „Digital Omnibus" auf den 2. Dezember 2027 verschoben werden. Diese Verschiebung ist politisch beschlossen (Europäisches Parlament, 16.6.2026), aber noch nicht im EU-Amtsblatt veröffentlicht – rechtlich gilt bis dahin weiterhin der 2. August 2026.

Was passiert ab dem 11. September 2026 beim Cyber Resilience Act? Ab diesem Datum gelten die CRA-Meldepflichten nach Art. 14: Bei einer aktiv ausgenutzten Schwachstelle muss innerhalb von 24 Stunden eine Frühwarnung, innerhalb von 72 Stunden eine Meldung und innerhalb von 14 Tagen ein Abschlussbericht erfolgen. Eine KMU-Ausnahme gibt es nicht; betroffen sind unter anderem Maschinenbau, Software/SaaS und IoT. Die Vollanwendung (CE-Kennzeichnung, Konformität, SBOM) folgt am 11. Dezember 2027.

Wie verlässlich sind die Daten im Kalender? Alle Stichtage sind verifiziert und mit Quelle und Jahr hinterlegt (Stand 23.06.2026). Wo eine Frist regulatorisch noch in Bewegung ist – etwa die Verschiebung der AI-Act-Hochrisiko-Pflichten oder die Entschärfung der CSDDD – kennzeichnen wir das ausdrücklich als Unsicherheits-Flag. So planen Sie auf gesicherter Grundlage und wissen genau, wo Sie die Primärquelle gegenprüfen sollten.

Kostet der Compliance-Kalender etwas? Nein. Der Compliance-Kalender 2026/27 ist kostenlos. Sie erhalten ihn als PDF nach Bestätigung Ihrer E-Mail-Adresse (Double-Opt-in) – ohne Verpflichtung und ohne versteckte Kosten.

Ich bin mir nicht sicher, ob mein Unternehmen betroffen ist – was nun? Das klären Sie am schnellsten mit unserer kostenlosen NIS2-Betroffenheitsanalyse. Sie ordnet Ihr Unternehmen in wenigen Minuten ein. Für eine vertiefte Einschätzung über NIS2 hinaus – etwa zu CRA, EU AI Act oder DORA – validieren wir Ihre Lage gern in einem kostenlosen Erstgespräch.

Jetzt Compliance-Kalender sichern – und Klarheit gewinnen {#kontakt}

Laden Sie den Kalender herunter und behalten Sie 2026/27 den Überblick über alle Schlüsselfristen. Möchten Sie wissen, welche Pflichten konkret auf Ihr Unternehmen zukommen, klären wir das in einem kostenlosen, unverbindlichen Erstgespräch.

Kalender herunterladen

Ihr Kontakt: vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Mehr zum Thema: NIS2 · EU AI Act · Cyber Resilience Act · DORA

Zuletzt aktualisiert: 23.06.2026. Alle regulatorischen Angaben auf dieser Seite geben den Stand vom 23.06.2026 wieder. Bei als unsicher gekennzeichneten Punkten (insb. Verschiebung der AI-Act-Hochrisiko-Pflichten auf den 2.12.2027 sowie die CSDDD-Schwellen) bitte die Primärquelle gegenprüfen. Dieser Kalender liefert eine erste Orientierung und ersetzt keine individuelle Rechtsberatung.

Kostenloses Erstgespräch

Lassen Sie uns sprechen.

Unverbindlich, kostenfrei und konkret: Wir klären Ihren Bedarf und stellen die passenden Bausteine zusammen.

Antwort i. d. R. innerhalb von 24 Stunden. Keine Kosten, keine Verpflichtung.