Triple Compliance bezeichnet die gleichzeitige Anwendbarkeit von drei EU-Regelwerken, die jedes für sich Nachweispflichten an SAP-Change-Prozesse stellen, deren Anforderungen sich aber inhaltlich überlappen: Network and Information Security Directive 2 (NIS2, Richtlinie (EU) 2022/2555), Digital Operational Resilience Act (DORA, Verordnung (EU) 2022/2554), und EU AI Act (Verordnung (EU) 2024/1689).
Inhaltliche Überlappung: Alle drei Regelwerke verlangen einen lückenlosen Audit Trail darüber, wer welche Änderung an welchem System mit welcher Genehmigung wann ausgeführt hat. Sie unterscheiden sich in Geltungsbereich, Sanktionsrahmen, zuständiger Behörde und Anwendungsdatum, aber sie konsumieren dieselbe Art von operativer Evidenz.
Die Anwendungstermine sind mit Stand Mai 2026 wie folgt:
DORA ist anwendbar seit dem 17. Januar 2025. SAP ist seit November 2025 als Critical ICT Third-Party Service Provider (CTPP) klassifiziert und unterliegt der direkten Lead-Overseer-Aufsicht durch die europäischen Aufsichtsbehörden (ESAs), in Deutschland mit BaFin als national koordinierender Stelle. Die Computerwoche-Analyse vom Februar 2026 berichtet, dass rund 44 Prozent der befragten Finanzdienstleister Schwierigkeiten in der DORA-Implementierung berichten.
NIS2 in Deutschland: Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft, ohne Übergangsfrist. Die BSI-Registrierungsfrist endete am 6. März 2026 und ist passed. Das BSI ist seit Mai 2026 in der operativen Enforcement-Phase. Rund 29.500 Einrichtungen in Deutschland sind betroffen. Österreich: NISG 2026 in Kraft ab dem 1. Oktober 2026, mit dem Bundesamt für Cybersicherheit als nationaler Behörde.
EU AI Act: Artikel 4 KI-Kompetenz anwendbar seit dem 2. Februar 2025. Artikel 5 verbotene Praktiken anwendbar seit dem 2. Februar 2025, erweitert durch den Digital Omnibus vom 7. Mai 2026 um CSAM- und Nudifier-Verbote (anwendbar ab 2. Dezember 2026). Artikel 26 Betreiberpflichten und Artikel 50 Transparenzpflichten anwendbar ab dem 2. August 2026, nicht durch den Omnibus verschoben. Hochrisiko-Anbieterpflichten unter Annex III verschoben auf den 2. Dezember 2027, Annex I auf den 2. August 2028.
Die digital-chiefs.de-Analyse vom Februar 2026 charakterisiert die Triple-Compliance-Lage als regulatorische Überlappung mit redundanten Nachweispflichten, wenn jedes Regelwerk separat operationalisiert wird. Die parallel anwendbaren Anforderungen schaffen die operative Frage: Ein integrierter Audit Trail oder drei parallele Compliance-Programme.
Die drei Regelwerke verlangen unterschiedliche Pflichtkategorien, die sich auf der Ebene des SAP-Change-Prozesses überschneiden.
Pflichtkategorie A: Audit Trail und Logging. DORA Artikel 28 verlangt das Risikomanagement für IKT-Drittparteien einschliesslich nachvollziehbarer Dokumentation. NIS2 Artikel 21 verlangt Schwachstellenbehandlung und Patch-Management mit Nachweis. EU AI Act Artikel 12 verlangt automatisches Logging mit mindestens sechs Monate Aufbewahrung. In der SAP-Praxis: Audit Trail auf Objektebene, jeder Change mit Auslöser-Identität, Genehmigungspfad, Testabdeckung, sicherheitsrelevanten Findings, Deployment-Zeitpunkt.
Pflichtkategorie B: Incident Reporting. DORA Artikel 17 verlangt das Major-Incident-Reporting an die zuständige Aufsichtsbehörde. NIS2 verlangt eine Frühwarnung innerhalb von 24 Stunden, einen Zwischenbericht innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. EU AI Act Artikel 26(5) verlangt das Reporting schwerwiegender Vorfälle an Anbieter und Marktaufsichtsbehörde. In der SAP-Praxis: ein einheitlicher Incident-Workflow, der die Reporting-Pfade an BaFin (DORA), BSI (NIS2 und EU AI Act in Deutschland), und gegebenenfalls die Anbieter parallel bedient.
Pflichtkategorie C: Lieferketten- und Drittpartei-Risikomanagement. DORA Artikel 28 verlangt eine Drittparteien-Risikoanalyse für IKT-Dienstleister. NIS2 Artikel 21 verlangt Lieferketten-Sicherheitspflichten. EU AI Act Artikel 26 verlangt die Nutzung des KI-Systems gemäss Anbieteranweisung und die DPIA wo nach DSGVO erforderlich. In der SAP-Praxis: ein Inventar aller externen Parteien mit Schreib- oder Lesezugriff, einschliesslich Community-MCP-Server, externer Berater, Managed-Service-Provider, BTP-Extension-Lieferanten.
Pflichtkategorie D: Menschliche Aufsicht und Genehmigungskette. DORA verlangt klare Verantwortungs- und Genehmigungspfade im IKT-Risikomanagement. NIS2 § 38 BSIG legt persönliche Haftung der Geschäftsleitung fest. EU AI Act Artikel 14 verlangt menschliche Aufsicht bei Hochrisiko-KI-Systemen, mit Befugnis zum Eingriff und Stop. In der SAP-Praxis: 4-Augen-Prinzip im Change-Workflow, Eskalation mehrdeutiger KI-Entscheidungen, dokumentierte Geschäftsleitung-Aufsicht.
Pflichtkategorie E: Schulung und Kompetenz. Alle drei Regelwerke verlangen Schulung. NIS2 ausdrücklich für Geschäftsleitungsorgane (§ 38 BSIG). EU AI Act Artikel 4 für Personal, das mit KI-Systemen operiert. DORA für IKT-Risikomanagement-Personal. In der Praxis: Schulungsprogramm mit Dokumentation der Teilnahmen und Inhalte.
Risiko 1: Drei parallele Compliance-Projekte ohne Konsolidierung. Eine typische DACH-Organisation hat NIS2 beim CISO, DORA in der IT-Risikofunktion (häufig im Audit oder Operational Risk), und EU AI Act in einer neu geschaffenen Funktion (CAIO oder als Erweiterung des Compliance-Officers). Wenn diese drei Linien getrennt arbeiten, entstehen redundante Anforderungen an dasselbe SAP-Team und der Aufwand verdoppelt sich.
Risiko 2: Unterschiedliche Sanktionsrahmen erschweren Priorisierung. Sanktionen für Verstösse: EU AI Act bis 35 Mio. EUR oder 7 Prozent (Artikel 5 Verbote), 15 Mio. EUR oder 3 Prozent (Hochrisiko-Verstösse Artikel 16, 26), 7,5 Mio. EUR oder 1 Prozent (Auskunft an Behörden). NIS2 in Deutschland bis 10 Mio. EUR oder 2 Prozent (besonders wichtige Einrichtungen), 7 Mio. EUR oder 1,4 Prozent (wichtige Einrichtungen). DORA gemäss Artikel 35 abhängig vom mitgliedstaatlichen Sanktionsregime, in Deutschland nach KWG/WpHG. Die Verschiedenheit der Rahmen führt in der Praxis dazu, dass das spektakulärste (EU AI Act) Aufmerksamkeit zieht, während das operativ akuteste (NIS2 in Enforcement-Phase) unterpriorisiert bleibt.
Risiko 3: Behörden-Vielfalt im Audit-Fall. DORA: BaFin und ESAs. NIS2: BSI in Deutschland, Bundesamt für Cybersicherheit in Österreich. EU AI Act: BSI in Deutschland. In einem Audit-Szenario sind mehrere Behörden gleichzeitig involviert. Wer mehrere Aufsichtsbehörden im selben Quartal beantworten muss, mit teilweise widersprüchlich formulierten Auskünften, ist in einer schwierigen Lage.
Risiko 4: Falsche Annahme der Omnibus-Verschiebung. Wer die Schlagzeile EU AI Act verschoben als pauschale Erleichterung liest, übersieht, dass NIS2 unverändert in Enforcement ist und DORA seit Januar 2025 anwendbar. Auch unter dem Omnibus-Stand vom 7. Mai 2026 bleiben Artikel 4, 5, 26 und 50 EU AI Act auf der ursprünglichen Zeitachse.
Risiko 5: SAP-Hinweis-11599-Konstante. Produktive ABAP-Transports sind technisch irreversibel. Diese Tatsache wirkt unter allen drei Regelwerken. Ein fehlerhafter Change in einem Annex-III-relevanten SAP-System (EU AI Act), in einem NIS2-betroffenen Sektor und in einer DORA-CTPP-Konstellation ist ein Vorfall, der dreifach gemeldet werden muss und einfach nicht rückgängig zu machen ist. Wer eine Verantwortung trägt, die er strukturell nicht mehr durchgreifen kann, befindet sich bereits an dem Punkt, an dem Aufsicht zur Fiktion wird.
Erstens: Einheitlicher Audit Trail mit mehreren Sichten. Ein Change Audit Trail auf Objektebene, geführt für jeden Change unabhängig vom Auslöser (Mensch, KI-Agent, externer Berater). Aus diesem konsolidierten Datensatz werden mehrere Sichten generiert: DORA-Sicht (Drittparteien, IKT-Risiko), NIS2-Sicht (Patch-Management, Sicherheits-Findings), EU AI Act-Sicht (Agenten-Aktionen, menschliche Aufsicht). Das Ziel ist Evidenz ohne Duplizierung.
Zweitens: Konsolidierter Incident-Workflow mit Multi-Behörden-Routing. Ein Vorfall, ein zentraler Workflow, drei parallele Reporting-Pfade. BaFin, BSI und gegebenenfalls die KI-Anbieter werden parallel bedient. Die 24/72/Monat-Fristen aus NIS2 sind die Taktung, an der sich auch die DORA- und EU-AI-Act-Reportings ausrichten.
Drittens: Gemeinsames Lieferketten-Inventar mit Triple-Tag. Jeder externe Anbieter erhält im Inventar drei Tags: DORA-Bedeutung (kritischer IKT-Service ja/nein), NIS2-Bedeutung (Lieferketten-Sicherheitspflicht ja/nein), EU-AI-Act-Bedeutung (KI-Anbieter ja/nein). Eine Aktualisierung des Inventars bedient alle drei Regelwerke gleichzeitig.
Viertens: Cross-Funktionales Governance-Forum. CISO, IT-Risikofunktion und CAIO (oder die zugeordnete Rolle) treffen sich quartalsweise mit einem gemeinsamen SAP-Compliance-Verantwortlichen. Triple-Compliance-Themen werden in diesem Forum priorisiert und der Status berichtet.
Fünftens: Risikobasierte Priorisierung in der Übergangsphase. Die Reihenfolge der operativen Konsolidierung ist unter dem aktuellen Stand klar: NIS2 zuerst (in Enforcement, 29.500 Einrichtungen, Geschäftsleitungs-Haftung), dann EU AI Act Artikel 26 und 50 (August 2026), dann DORA-Vertiefung (laufend, CTPP-Reporting). Annex-III-Hochrisiko-Anbieter-Konformitätsbewertung kann unter dem Omnibus-Stand ohne Verzögerung gegen die Dezember-2027-Deadline geplant werden, mit Vorbereitungsbeginn spätestens Sommer 2027.
Sechstens: Externe Rechtsberatung als Konstante. Triple Compliance ist kein Werkzeug-Problem allein. Klassifizierung unter EU AI Act, Drittpartei-Verträge unter DORA, Geschäftsleitungs-Verantwortung unter NIS2 (§ 38 BSIG) sind rechtliche Disziplinen mit hohem Komplexitätsgrad. Rechtsberatung ist nicht optional.
Werkzeuge, die Triple-Compliance-Operationalisierung im SAP-Kontext unterstützen, gliedern sich nach Pflichtkategorie.
| Anbieter / Werkzeug | Audit Trail SAP-Change | Incident Workflow | Lieferketten-Inventar | Menschliche Aufsicht | Schulungsmanagement |
|---|---|---|---|---|---|
| SAP GRC Access Control | Eingeschränkt | Nicht in Scope | Eingeschränkt | Workflow-basiert | Nicht in Scope |
| SAP IDM | Nicht in Scope | Nicht in Scope | Nicht in Scope | Identity-Management | Nicht in Scope |
| Reine SAP Cloud ALM | Teilweise (ATC seit Juni 2025, Auto-Trigger Q1/2026) | Nicht in Scope | Nicht in Scope | Eingeschränkt | Nicht in Scope |
| Rev-Trac Platinum | Transport-Level | Nicht in Scope | Nicht in Scope | Workflow-basiert (ShiftLeft SoD) | Nicht in Scope |
| Basis Technologies ActiveControl plus Klario | Transport-Level | Nicht in Scope | Nicht in Scope | Workflow-basiert | Nicht in Scope |
| REALTECH SmartChange | Transport-Level | Nicht in Scope | Nicht in Scope | Workflow-basiert | Nicht in Scope |
| ESM Suite (Solutive AG)¹ | Objekt-Level plus Agenten-Aktionen | Nicht in Scope (SOC-Anbindung extern) | Nicht in Scope | 4-Augen-Prinzip nativ, Decision-Agent-Eskalation | Nicht in Scope |
| Onapsis Security Platform | Nicht in Scope | Vollständig (Security-Fokus) | Eingeschränkt | Nicht in Scope | Nicht in Scope |
| Pathlock | Nicht in Scope | Vollständig | Eingeschränkt | Eingeschränkt | Nicht in Scope |
| SOC-Werkzeuge (Splunk, IBM QRadar) | Nicht in Scope | Vollständig | Über Datenintegration | Nicht in Scope | Nicht in Scope |
| IBM watsonx.governance, Credo AI | Nicht in Scope (KI-Modelle) | Nicht in Scope | Nicht in Scope | Eingeschränkt | Nicht in Scope |
| Schulungsplattformen (Litmos, Cornerstone) | Nicht in Scope | Nicht in Scope | Nicht in Scope | Nicht in Scope | Vollständig |
| GRC-Plattformen (ServiceNow GRC, Diligent) | Eingeschränkt | Eingeschränkt | Vollständig | Workflow-basiert | Eingeschränkt |
¹ Solutive AG ist Initiator des Change Orchestration Institute. ESM Suite ist ein Produkt der Solutive AG. Externer Kunden-Attest liegt für die SOX-ITGC-Reduktion bei Bruker vor (70 Prozent). Alle weiteren Capability-Aussagen sind Anbieterangaben.
Lesart: Triple Compliance ist nicht durch ein einzelnes Werkzeug abbildbar. Die typische Architektur kombiniert eine Change-Governance-Schicht (Audit Trail im Change-Prozess), eine Security-Plattform (Vulnerability und Incident), eine SOC-Schicht (Incident-Workflow mit Behörden-Reporting), eine GRC-Plattform (Lieferketten-Inventar und Risiko-Register) und eine Schulungsplattform.
NIS2, DORA und EU AI Act sind im Mai 2026 gleichzeitig anwendbar. NIS2 in Deutschland in operativer BSI-Enforcement-Phase seit Mai 2026. DORA seit Januar 2025 anwendbar mit SAP als CTPP seit November 2025. EU AI Act mit Artikel 4 und 5 seit 2. Februar 2025 anwendbar, Artikel 26 und 50 ab 2. August 2026 (nicht vom Omnibus verschoben), Hochrisiko-Anbieterpflichten unter Annex III verschoben auf 2. Dezember 2027.
Die operative Konsequenz für SAP-Anwenderunternehmen: ein integrierter Audit Trail auf Objektebene, ein konsolidierter Incident-Workflow mit drei parallelen Reporting-Pfaden, ein gemeinsames Lieferketten-Inventar mit Triple-Tag, ein quartalsweises Governance-Forum mit allen drei Disziplinen. Drei parallele Compliance-Programme sind ineffizient und fehleranfällig; eine Triple-Compliance-Architektur reduziert Aufwand und schliesst Lücken.
Erste Kernaussage: NIS2, DORA und EU AI Act treffen 2026 gleichzeitig auf SAP-Anwender. NIS2 ist in operativer Enforcement-Phase seit Mai 2026, DORA seit Januar 2025 mit SAP als CTPP, EU AI Act mit Artikel 4, 5, 26 und 50 ab 2. August 2026. Drei Anwendungstermine, ein integrierter Pflichtenstrang.
Konkrete Handlungsempfehlung: Pflichtenkonsolidierung statt drei paralleler Compliance-Programme. Fünf Pflichtkategorien (Audit Trail, Incident Reporting, Lieferketten-Inventar, Aufsicht, Schulung) bilden den gemeinsamen Nenner.
Zweite Kernaussage: Sanktionsrahmen sind verschieden, das veraltetste Compliance-Programm wird oft das operativ akuteste übersehen. NIS2 in Enforcement zieht zu wenig Aufmerksamkeit, EU AI Act dominiert die Schlagzeilen. Wer nach Sanktion priorisiert, muss NIS2 zuerst angehen.
Konkrete Handlungsempfehlung: Prioritätsreihenfolge in der Übergangsphase: NIS2 zuerst, dann EU AI Act Artikel 26 und 50, dann DORA-Vertiefung. Annex-III-Hochrisiko-Konformitätsbewertung gegen die Dezember-2027-Deadline planen.
Dritte Kernaussage: Triple Compliance ist nicht durch ein einzelnes Werkzeug abbildbar. Die typische Architektur kombiniert Change-Governance, Security-Plattform, SOC-Schicht, GRC-Plattform und Schulungsplattform. Externe Rechtsberatung ist nicht optional.
Konkrete Handlungsempfehlung: Werkzeug-Architektur als Kombination planen. Cross-funktionales Governance-Forum (CISO, IT-Risiko, CAIO oder zugeordnete Rolle) quartalsweise zusammenrufen.
Richtlinie (EU) 2022/2555 (NIS2), EUR-Lex (T1). Verordnung (EU) 2022/2554 (DORA), EUR-Lex (T1). Verordnung (EU) 2024/1689 (EU AI Act), EUR-Lex (T1). BSI-Gesetz in der Fassung des NIS2UmsuCG, in Kraft seit 6. Dezember 2025 (T1). ESA, SAP CTPP-Designation, November 2025 (T1). BaFin, DORA-Aufsichtsschwerpunkte 2026 (T1). ENISA, Technical Implementation Guidance NIS2, Juni 2025 (T1). digital-chiefs.de, regulatorische Überlappung NIS2/DORA/EU AI Act, Februar 2026 (T2). Computerwoche, DORA-Implementierungs-Survey, Februar 2026 (T2). Morrison Foerster, Flipping the NIS2 Switch, 8. Dezember 2025 (T2). DLA Piper, NIS 2 Directive Transposed in Germany, 11. Februar 2026 (T2). Reed Smith, Germany Implements NIS2, 23. Januar 2026 (T2). Greenberg Traurig, NIS2 Implementation Germany, Dezember 2025 (T2). securitytoday.de, NIS2-Enforcement 2026, 3. Mai 2026 (T2). Bird und Bird, Digital Omnibus Provisional Agreement, 7. Mai 2026 (T2). Timelex, What survived the trilogue, 7. Mai 2026 (T2). Modulos AI, EU AI Act Delayed, 7. Mai 2026 (T2). A und O Shearman, AI Omnibus Trilogue Analysis, April 2026 (T2). Ropes und Gray, AI Omnibus Trilogue Analysis, April 2026 (T2). ai-act-service-desk.ec.europa.eu, FAQ Q1 2026 (T1). artificialintelligenceact.eu, Artikel 4, 5, 12, 14, 26, 50, 99 (T1). Plesner Rechtsanwälte, 6. April 2026 (T2). SAPinsider 2026 Cybersecurity Benchmark Report, 17. April 2026 (T2). SecurityWeek, SAP April 2026 Patch Day mit CVE-2026-27681 und CVE-2026-34256 (T2). innobu.com, SAP Joule 2026, April 2026 (T2). DSAG Investment Report 2026, dsag.de, Februar 2026 (T1). SAP News Center, SAP Business AI Release Highlights Q1 2026, 21. April 2026 (T1). SAP Hinweis 11599, Reversing Transports, support.sap.com (T1). Solutive AG, ESM Suite v6.4.5 Documentation, März 2026 (Anbieterquelle, Bruker-Referenz extern attestiert).
NIS2 in der Enforcement-Phase: BSI-Realität ab Mai 2026, EU AI Act Article 26: Was Betreiberpflichten ab August 2026 trotz Digital Omnibus konkret bedeuten, Digital Omnibus on AI vom 7. Mai 2026, ISO/IEC 42001 in der SAP-Welt: Provider-Deployer-Trennung, Audit Trail Cross-Cutting: EU AI Act, SOX, NIS2 und DORA.
Christian Steiger ist Mitgründer und Geschäftsführer der Solutive AG und beschäftigt sich seit über 15 Jahren mit SAP-Application-Lifecycle-Management, Change Orchestration und Transport-Governance in komplexen Landschaften. Seine Schwerpunkte sind die Verbindung von SAP-Basis-Praxis mit modernen Governance-Architekturen und die Integration regulatorischer Anforderungen in operative SAP-Prozesse.
Sarah Connor (Pseudonym) ist Compliance-Spezialistin mit Schwerpunkt auf europäischer Digitalregulierung, EU AI Act, GDPR, NIS2 und DORA. Sie unterstützt das Change Orchestration Institute als Co-Autorin bei regulatorischen Themen und bringt operative Erfahrung aus Compliance-Programmen in der Finanz- und Industrie-Branche mit.
Das Change Orchestration Institute ist eine unabhängige Wissensressource für SAP ALM, Change Orchestration und KI-Governance. Initiator und Research-Partner: Solutive AG, solutive.ag/kontakt.