EU-AI-Act-Omnibus 2026: Neue Compliance-Fristen erklärt

Der Digital Omnibus 2026 zu KI verlängerte zwei kritische AI-Act-Fristen: eigenständige hochriskante Anhang-III-Systeme auf den 2. Dezember 2027 und eingebettete Anhang-I-Systeme auf den 2. August 2028. Was sich änderte, warum und was Ihr Compliance-Programm jetzt tun muss.

Was der Digital Omnibus 2026 zu KI ändert

Der Digital Omnibus zu KI änderte zwei zentrale Anwendungsdaten in der EU-Verordnung 2024/1689 (dem EU AI Act):

Pflicht	Ursprüngliche Frist	Neue Frist	Änderung
Hochriskante KI — Anhang III (eigenständige Systeme)	2. August 2026	2. Dezember 2027	+16 Monate
Hochriskante KI — Anhang I (in regulierten Produkten eingebettet)	2. August 2026	2. August 2028	+24 Monate

Keine anderen wesentlichen Fristen wurden geändert. Verbotene Praktiken (2. Februar 2025), GPAI-Regeln (2. August 2025) und Transparenzpflichten für GPAI-Inhaltskennzeichnung (2. August 2025) bleiben an ihren ursprünglichen Daten in Kraft.

Warum der Omnibus hochriskante KI-Fristen aufschob

Die Europäische Kommission nannte drei Treiber:

Abstimmung mit Durchführungsakten — technische Normen und harmonisierte Normen für die Bewertung hochriskanter KI (CEN/CENELEC-Arbeitsprogramm) wurden nicht rechtzeitig für August 2026 abgeschlossen. Konformitätsbewertungen erfordern diese Normen.
Lücke in der Compliance-Infrastruktur — benannte Stellen, nationale zuständige Behörden und das EU-KI-Büro benötigten zusätzliche Einrichtungszeit. Ohne operative Durchsetzungsinfrastruktur wäre eine August-2026-Frist in der Praxis nicht durchsetzbar gewesen.
KMU-Bereitschaft — kleinere Anbieter, insbesondere in der Medtech-, HR-Tech- und Finanzdienstleistungsbranche, berichteten von unzureichender Zeit für die QMS-Implementierung und die technische Dokumentation neben parallelen DORA- und NIS2-Pflichten.

Die Verlängerung ist eine Übergangsfrist, keine Reduzierung des Anwendungsbereichs. Alle Pflichten bleiben bestehen; nur ihr Zeitplan verschiebt sich.

Anhang III — eigenständige hochriskante KI (Frist: 2. Dezember 2027)

Eigenständige Anhang-III-Systeme umfassen KI-Systeme, die selbst als hochriskante Systeme auf dem Markt in Verkehr gebracht oder in Betrieb genommen werden, ohne Sicherheitskomponente eines anderen Produkts zu sein. Beispiele:

Recruiting- und HR-Screening-KI (Lebenslauf-Ranking, Interviewanalyse)
Kreditwürdigungs- und Kreditrisikobeurteilungs-KI
Biometrische Kategorisierung (keine Echtzeit-Identifizierung, die verboten ist)
KI im Management kritischer Infrastrukturen
KI in der Bewertung für allgemeine und berufliche Bildung
KI in der Strafverfolgung und von Migrationsbehörden

Anbieterpflichten bis zum 2. Dezember 2027:

Abschluss einer Konformitätsbewertung nach Art. 43
Implementierung eines Qualitätsmanagementsystems (Art. 17)
Zusammenstellung der technischen Dokumentation (Art. 11 + Anhang IV)
Registrierung des Systems in der EU-KI-Datenbank (Art. 71)
Anbringen der CE-Kennzeichnung (Art. 48)
Ernennung eines EU-Vertreters, wenn außerhalb der EU ansässig

Betreiberpflichten (ebenfalls bis zum 2. Dezember 2027):

Durchführung einer Grundrechte-Folgenabschätzung (FRIA) für öffentliche Stellen als Betreiber
Implementierung von Maßnahmen zur menschlichen Aufsicht (Art. 26)
Dokumentierung von Eingaben und Ausgaben (Art. 26(6))
Informierung der Mitarbeiter, wo KI-gestützte Entscheidungen sie betreffen

Anhang I — eingebettete hochriskante KI (Frist: 2. August 2028)

Eingebettetes Anhang I umfasst KI, die eine Sicherheitskomponente eines Produkts bildet, das bereits durch bestehende EU-Produktsicherheitsgesetzgebung reguliert wird. Die AI-Act-Konformität wird in das bestehende Konformitätsbewertungsverfahren für dieses Produkt integriert. Beispiele:

KI-Komponenten in Medizinprodukten (MDR/IVDR)
KI in Fahrzeugsystemen (Typgenehmigungsrahmen)
KI in Maschinen (Maschinenverordnung)
KI in Luftfahrtkomponenten
KI in Spielzeug und Verbraucherprodukten (Niederspannung/EMV)

Die zusätzliche zweijährige Verlängerung (gegenüber 16 Monaten für Anhang III) spiegelt die geschichtete Komplexität der Konformitätsbewertung über zwei Regulierungsregime gleichzeitig wider.

Was sich geändert hat, ist die Frist — nicht die Pflichten

Eine häufige Fehlinterpretation des Omnibus: Die Fristverlängerung bedeutet, dass Pflichten abgemildert werden. Das ist nicht der Fall.

Die Konformitätsbewertungs-, QMS-, technische Dokumentations-, CE-Kennzeichnungs- und Registrierungsanforderungen sind identisch mit dem, was für August 2026 erforderlich war. Der Omnibus reduziert nicht den Anwendungsbereich, schafft keine Ausnahmen und fügt keine Übergangsabweichungen hinzu. Er verschiebt die Ziellinie.

Praktische Konsequenz: Organisationen, die die Verlängerung als Entschuldigung nutzen, ihre Compliance-Programme zu pausieren, werden Ende 2027 einem härteren Engpass gegenüberstehen. Die produktivere Nutzung der zusätzlichen Zeit ist die Abschließung der QMS-Implementierung, das Stresstest der technischen Dokumentation gegen Entwürfe harmonisierter Normen und das frühzeitige Engagement mit benannten Stellen — ihre Kapazität wird eingeschränkt sein, wenn sich die Dezember-2027-Frist nähert.

Verbotene Praktiken, die bereits in Kraft sind

Diese Verbote nach Art. 5 galten ab dem 2. Februar 2025 und wurden durch den Omnibus nicht berührt:

Subliminale Manipulation — KI-Techniken, die unbewusste Schwachstellen ausnutzen, um das Verhalten gegen die Interessen der Nutzer zu ändern
Ausnutzung von Schwachstellen — Targeting von Kindern, älteren Menschen oder benachteiligten Gruppen
Social Scoring — KI-basierte allgemeine Bewertung natürlicher Personen durch öffentliche Behörden
Biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen durch Strafverfolgungsbehörden (mit engen Ausnahmen)
Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
Biometrische Kategorisierungssysteme, die sensible Merkmale (Rasse, politische Meinungen, Gewerkschaftsmitgliedschaft, sexuelle Orientierung, Religion) ableiten — es sei denn, für legitime Strafverfolgungszwecke mit richterlicher Genehmigung
NCII/CSAM — Erzeugung oder Manipulation nicht-einvernehmlicher intimer Bilder oder sexuellen Kindesmissbrauchs mithilfe von KI ist verboten

Nichtkonformität mit den Art.-5-Verboten ab dem 2. Februar 2025 trägt Bußgelder bis zu 35 Millionen € oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

GPAI-Modellregeln: Bereits anwendbar

Kapitel-5-GPAI-Pflichten gelten seit dem 2. August 2025:

Alle GPAI-Anbieter müssen Transparenzpflichten einhalten (Art. 53)
Anbieter von GPAI-Modellen mit systemischem Risiko (über 10²⁵ FLOPs Trainingsrechenleistung) haben zusätzliche Pflichten, einschließlich kontradiktorischer Tests und Vorfallsmeldungen
Kennzeichnung KI-generierter Inhalte (Wasserzeichen) für synthetische Medien gilt für generative GPAI-Systeme

Konvergenz mit DORA und NIS2

Organisationen im Finanzdienstleistungsbereich stehen vor der dreifachen Belastung durch AI-Act-, DORA- und NIS2-Pflichten mit überlappenden Zeitplänen. Wesentliche Schnittpunkte:

IKT-Risikomanagement nach DORA (Art. 5–16) muss KI-gesteuerte IKT-Systeme abdecken — DORA befreit KI-Tools nicht von seinem IKT-Risikorahmen
Vorfallsmeldung nach DORA (Art. 19–23) gilt für Vorfälle, die durch oder unter Beteiligung von KI-Systemen verursacht werden
NIS2-Sicherheitsmaßnahmen (Art. 21) umfassen KI-bezogene Cyberrisiken im Anwendungsbereich
AI-Act-Art.-9-Risikomanagement für hochriskante KI überschneidet sich erheblich mit dem IKT-Risikomanagement von DORA — Dual-Mapping ist möglich und empfohlen, um doppelte Dokumentation zu vermeiden

Siehe unsere vollständige Konvergenzanalyse → oder unsere Schwester-Website regulation-dora.eu für DORA-spezifische Informationen.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-19 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Wann gelten hochriskante AI-Act-Pflichten nun nach dem Omnibus?

Für eigenständige Anhang-III-Systeme (z. B. Recruiting-KI, Kreditwürdigkeitsprüfung, biometrische Kategorisierung): 2. Dezember 2027. Für in Anhang-I-regulierte Produkte eingebettete KI (z. B. Medizinprodukte, Maschinen): 2. August 2028.

Was ist der AI-Act-Digital-Omnibus?

Der Digital Omnibus zu KI ist eine EU-Gesetzgebungsänderung, die Mitte 2026 offiziell verabschiedet wurde und mehrere Fristen und Pflichten in der Verordnung (EU) 2024/1689 (dem AI Act) revidierte. Ihr Hauptzweck war es, Anbietern und Betreibern mehr Zeit zu geben, konforme KI-Governance-Rahmen aufzubauen, insbesondere für hochriskante Kategorien.

Werden die Fristen für verbotene Praktiken (Art. 5) durch den Omnibus ebenfalls aufgeschoben?

Nein. Die Verbote für KI mit inakzeptablem Risiko — einschließlich subliminaler Manipulation, Social Scoring, biometrischer Echtzeit-Identifizierung in öffentlichen Räumen (mit Ausnahmen) und NCII/CSAM-Erzeugung — gelten seit dem 2. Februar 2025 und wurden durch den Omnibus nicht geändert.

Ändern sich GPAI-Modellregeln durch den Omnibus?

GPAI-Pflichten (Kapitel 5 des AI Act) bleiben ebenfalls beim 2. August 2025. Der Omnibus zielte ausschließlich auf hochriskante Anhang-III- und Anhang-I-Pflichten ab.

Was müssen Organisationen bis zum 2. Dezember 2027 für Anhang-III-KI tun?

Anbieter müssen: eine Konformitätsbewertung abschließen, ein Qualitätsmanagementsystem (QMS) implementieren, in der EU-Datenbank registrieren, die CE-Kennzeichnung anbringen und die technische Dokumentation vorbereiten. Betreiber müssen: Grundrechte-Folgenabschätzungen durchführen, menschliche Aufsicht implementieren und alle hochriskanten KI-Nutzungen dokumentieren.

Ändert die Fristverlängerung die Pflichten — oder nur deren Zeitplan?

Die Verlängerung ist rein zeitlicher Natur: Keine Pflicht wird beseitigt. Dieselben Konformitätsbewertungs-, technische Dokumentations-, QMS-, CE-Kennzeichnungs-, Registrierungs- und Transparenzanforderungen gelten — sie müssen einfach zu den neuen Daten erfüllt werden.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.