Drei regulatorische Regime treffen 2026 gleichzeitig auf europäische SAP-Landschaften.
NIS2 (Richtlinie (EU) 2022/2555) fordert von wesentlichen und wichtigen Einrichtungen ein belastbares Cybersecurity-Management, Incident-Meldepflichten innerhalb von 24 bis 72 Stunden und den Nachweis von Risikomanagement-Maßnahmen. In Deutschland ist die Scharfschaltung für Oktober 2026 vorgesehen.
DORA (Verordnung (EU) 2022/2554) gilt seit dem 17. Januar 2025 für Finanzunternehmen. SAP wurde im November 2025 nach Artikel 31 DORA von der ESMA als Critical ICT Third-Party Service Provider (CTPP) klassifiziert.
EU AI Act gilt in seiner Hochrisiko-Stufe nach aktuellem Rechtsstand ab 2. August 2026. Die Transparenzpflichten nach Artikel 50 bleiben unabhängig von jeder Verschiebung aktiv.
Für SAP-Change-Management ist die Gleichzeitigkeit der drei Regime entscheidend. Alle drei verlangen nachweisbare Dokumentation auf Change-Ebene, alle drei sehen Bußgelder im Prozentbereich des Konzernumsatzes vor.
In Deutschland sind nach NIS2 rund 29.500 Unternehmen neu von der Regulierung erfasst. Bei 44 Prozent der Finanzdienstleister bestehen laut Februar-2026-Bericht noch DORA-Umsetzungsschwierigkeiten (Quelle: Digital Chiefs, Februar 2026).
Die praktische Folge: Ein einzelner Transport-Vorgang braucht je nach Kontext drei Dokumentationsspuren. Ohne integrierte Prozessarchitektur entsteht Dreifach-Aufwand.
Gemeinsame Datenbasis Change. Jeder Change enthält von vornherein die Felder für alle drei Regime: Security-Impact, Verfügbarkeitswirkung, KI-Beteiligung.
Gemeinsamer Audit Trail. Ein lückenloser Audit Trail von der Anforderung bis zum Deployment erfüllt die Nachweispflichten aller drei Regime.
Regime-spezifische Sichten und Reports. Die Reports werden aus derselben Datenbasis erzeugt, nicht getrennt gepflegt.
Incident-Management-Kopplung. Ein zentraler Incident-Workflow mit regime-spezifischer Routing-Logik reduziert die Fehlerquellen.
Doppelmeldungen und widersprüchliche Fristen. Ein einzelner Incident kann mehrere Meldepflichten auslösen, mit unterschiedlichen Fristen und Empfängern.
Aufsichts-Multiplikation. BSI für NIS2, BaFin und EBA für DORA-Finanzunternehmen, BSI für EU AI Act in Deutschland.
CTPP-Status SAP unter DORA. Für Finanzunternehmen ergeben sich zusätzliche Anforderungen an Exit-Strategien und Monitoring.
Zeitliche Kollision. NIS2-Enforcement Oktober 2026, EU AI Act Hochrisiko August 2026, DORA bereits aktiv.
Compliance-Matrix vor Tool-Einführung. Matrix zeigt, welches Regime welche Dokumentation an welcher Stelle im Change-Prozess verlangt.
Change-Kategorie mit Regime-Tags. Maschinenlesbare Tags steuern Workflows, Logs und Report-Zugehörigkeit.
Gemeinsames Incident-Protokoll. Einmal erfassen, regime-spezifisch melden.
Regelmäßige Review-Zyklen. Vierteljährliche Reviews halten die Compliance-Matrix aktuell.
Die Kombination aus NIS2, DORA und EU AI Act wirkt 2026 auf denselben Change-Prozess. Jedes Regime fordert nachweisbare Dokumentation, Bußgelder liegen im Prozentbereich des Konzernumsatzes, die Aufsichtsbehörden unterscheiden sich. Eine integrierte Compliance-Architektur mit gemeinsamer Datenbasis und Regime-Tags reduziert den Dreifach-Aufwand.