Am 7. Juli 2026 hat die Europaeische Kommission den EU Action Plan on Cybersecurity and Artificial Intelligence vorgestellt. Fuer DACH-KMU ist die Botschaft klar: KI ist nicht mehr nur ein Produktivitaetsthema. KI wird zum Cyber-Resilience-Thema.
Stellen Sie sich eine Geschaeftsfuehrerin in Wien vor. Dienstagmorgen, Fuehrungsrunde. Vertrieb nutzt KI fuer Antwortentwuerfe. Operations fasst Lieferantenmeldungen zusammen. Finance testet KI fuer Berichtsvorbereitung. Es klingt nach Fortschritt. Dann fragt sie: Welche Daten gehen in diese Tools? Wer prueft die Ergebnisse? Was passiert, wenn vertraulicher Kontext in einem Prompt landet? Auf einmal wird es still.
Dieser Artikel uebersetzt die neue EU-Richtung in ein praktisches Betriebsmodell fuer DACH-KMU. Er erklaert, warum die Mitteilung der Kommission vom 7. Juli 2026 relevant ist, wie sie mit NIS2, Cyber Resilience Act und AI Act zusammenhaengt und wie eine 90-Tage-KI-Cyber-Readiness-Roadmap aussieht.
SHOCKING
Das Schockierende ist: KI kann ein Unternehmen gleichzeitig schneller und verwundbarer machen. Der Assistent, der Kundenantworten beschleunigt, sieht vielleicht vertraulichen Kundekontext. Die Automatisierung, die Dokumente zusammenfasst, schafft einen neuen Datenweg. Das Wissenswerkzeug, das Stunden spart, kann Muster ueber Preise, Lieferanten, Vertraege oder interne Entscheidungen sichtbar machen.
Der offizielle EU Action Plan on Cybersecurity and Artificial Intelligence ist deshalb nicht nur ein Dokument fuer grosse Institutionen. Er ist ein Signal fuer jedes Unternehmen, das KI in Arbeitsablaeufe integriert. KI veraendert die Angriffs- und Expositionsflaeche.
Fuer DACH-KMU ist das Risiko oft nicht der spektakulaere Angriff. Das haeufigere Risiko ist leise: unkontrollierte KI-Nutzung, fehlende Freigabepunkte, schwache Zugriffsdisziplin, unklare Anbieter-Einstellungen, kein Incident-Pfad und keine KI-Cyber-Exposure-Map.
TEXT HOOK
Die meisten Teams handeln nicht leichtsinnig. Sie sind ausgelastet. KI hilft, Arbeit zu schaffen. Ein Manager erlaubt ein Tool, weil es nuetzlich wirkt. Ein Gruender will Momentum nicht stoppen. Langsam taucht KI in Kundenkommunikation, Dokumentenpruefung, interner Recherche, Ticket-Zusammenfassungen, Recruiting-Notizen, Lieferantenkommunikation und Reporting auf.
Das menschliche Problem: Niemand fuehlt sich, als wuerde er gerade ein Cyber-Risikoprogramm bauen. Alle wollen nur Arbeit erledigen. Operativ betrachtet entsteht aber mit jedem KI-Workflow dieselbe Frage: Welche Daten gingen hinein, welcher Output kam heraus, wer hat geprueft und welche Aktion folgte?
Hier wird AI Systems Architecture beziehungsweise KI-Systemarchitektur praktisch. Ziel ist nicht, KI zu verhindern. Ziel ist, KI nutzbar zu machen, ohne den Arbeitsalltag in eine unkontrollierte Expositionsschicht zu verwandeln.
Gerade im DACH-Mittelstand entscheidet dieser Ton ueber Akzeptanz. Wenn KI-Regeln wie ein Verbot klingen, entstehen Schattenprozesse. Wenn Regeln aber zeigen, welche Arbeit sicherer, schneller und nachvollziehbarer wird, entsteht Vertrauen. Die Fuehrung muss also nicht mit Angst beginnen, sondern mit einer klaren Betriebsfrage: Wo hilft KI wirklich, und welche Leitplanken machen diese Hilfe belastbar?
Was der EU-Aktionsplan veraendert
Der Aktionsplan benennt eine doppelte Realitaet: KI kann Cybersecurity staerken, aber auch Angriffe skalieren, Aufklaerung automatisieren, taeuschende Inhalte erzeugen oder Schwachstellensuche beschleunigen. Das ist der Managementpunkt. KI ist nicht sicher, nur weil sie hilft. Sie ist auch nicht automatisch gefaehrlich, nur weil sie maechtig ist. Sie muss in realen Workflows gesteuert werden.
Das Factsheet zum Action Plan on Cybersecurity and AI rahmt das Thema als Kombination aus KI fuer bessere Cyberabwehr und Risiken durch KI-gestuetzte Cyberbedrohungen. Fuer ein KMU heisst das: Wo verbessert KI unsere Verteidigung, und wo schafft KI neue Exposition?
Deshalb sollte der Plan zusammen mit der NIS2 Directive, dem Cyber Resilience Act und dem EU AI Act Rahmen gelesen werden. Die operative Botschaft: dokumentieren, kontrollieren, ueberwachen und beweisen koennen.
Fuer Geschaeftsfuehrungen ist dabei wichtig: Nicht jedes KMU faellt automatisch in dieselben Pflichten. Aber Kunden, Versicherer, Banken, Konzernpartner und oeffentliche Auftraggeber fragen zunehmend nach belastbaren Sicherheits- und Governance-Nachweisen. Wer frueh eine einfache, verstaendliche KI-Kontrolllogik aufbaut, muss spaeter weniger hektisch reagieren.
ACHIEVEMENT
Nach diesem Artikel sollte eine DACH-Fuehrungskraft eine erste KI-Cyber-Exposure-Map bauen, kritische Workflows erkennen und eine 90-Tage-KI-Cyber-Readiness-Roadmap starten koennen, ohne das Unternehmen in Buerokratie zu ersticken.
Das Ergebnis ist praktisch: Sie sollten mit COO, IT, Finance und Customer Operations an einem Tisch sitzen und beantworten koennen, wo KI genutzt wird, welche Daten beruehrt werden, was schiefgehen kann, wer prueft und welche Evidenz im Ernstfall vorliegt.
In Oesterreich und Deutschland gehoert dazu oft auch ein sauberer Umgang mit Datenschutz, Informationssicherheit, Arbeitnehmerperspektive und internen Freigaben. Wenn KI Mitarbeiterdaten, Kundenkommunikation oder Leistungsinformationen beruehrt, reicht ein technischer Blick nicht aus. Die Betriebsschicht muss so formuliert sein, dass Management, IT, Fachabteilung und gegebenenfalls Datenschutzverantwortliche dieselbe Sprache sprechen.
Die KI-Cyber-Resilience-Betriebsschicht
Eine KI-Cyber-Resilience-Betriebsschicht ist die operative Ordnung rund um KI-Workflows. Sie ersetzt Cybersecurity nicht. Sie verbindet Cybersecurity, KI-Governance, Prozessverantwortung und Business-Messung.
1. KI-Nutzungsinventar
Beginnen Sie mit der Realitaet. Welche Teams nutzen KI? Fuer welche Aufgaben? Welche Tools? Welche Datenkategorien? Ist der Output intern, kundenseitig, finanziell, rechtlich, technisch oder operativ? Viele Unternehmen merken erst hier, wie breit KI bereits genutzt wird.
2. Datenexposition
Bauen Sie eine KI-Cyber-Exposure-Map. Markieren Sie Workflows mit Kundendaten, Mitarbeiterdaten, Finanzdaten, Lieferanteninformationen, Quellcode, Verträgen, Zugangsdaten, Sicherheitsinformationen oder vertraulichem Know-how.
3. Freigabepunkte
Definieren Sie, wo menschliche Pruefung verpflichtend ist. Kundentexte, Finanzkommentare, Vertragszusammenfassungen, sensible interne Entscheidungen und sicherheitsbezogene Outputs sollten nicht automatisch zu Aktionen werden.
4. Anbieter- und Einstellungsdisziplin
Klaeren Sie, ob Daten fuer Training genutzt werden, wo Verarbeitung stattfindet, wie Retention funktioniert, ob Logs exportierbar sind und wer Zugriff hat. Ein kleines KI-Tool kann schneller kritisch werden, als der Einkauf erwartet.
5. Incident-Pfad
Definieren Sie, was passiert, wenn KI Daten preisgibt, eine falsche Empfehlung erzeugt, eine wichtige Nachricht falsch klassifiziert oder einen kundenseitigen Fehler verursacht. Der Incident-Pfad gehoert vor den Ernstfall.
Wo DACH-KMU besonders exponiert sind
Die hoechste Exposition ist nicht immer technisch. Sie steckt oft in normaler Arbeit: Kundenservice, HR, Finance, Lieferantenhandling, Reporting, interne Wissenssuche und Dokumentenzusammenfassungen. Diese Workflows sind attraktiv fuer KI, weil sie textlastig sind. Sie sind aber sensibel, weil sie Kontext enthalten.
Legacy-Umgebungen erhoehen die Komplexitaet. Wenn Arbeit ueber alte Systeme, lokale Dateien, E-Mail-Verlaeufe und informelle Freigaben laeuft, kann KI unklare Muster beschleunigen. Deshalb gehoeren Legacy Modernisierung und KI-Cyber-Readiness in dieselbe Geschaeftsfuehrungsdiskussion.
Ein typisches Beispiel: Ein Team nutzt KI, um lange Kundenmails zusammenzufassen. Das klingt harmlos. Wenn in diesen Mails aber Vertragsdetails, Preiszusagen, Reklamationen oder personenbezogene Daten stehen, wird aus Produktivitaet schnell eine Governance-Frage. Die Loesung ist nicht, jede Zusammenfassung zu verbieten. Die Loesung ist, festzulegen, welche Daten hineinduerfen, welche Outputs geprueft werden und wo die Zusammenfassung gespeichert wird.
ROADMAP
Diese 90-Tage-KI-Cyber-Readiness-Roadmap ist fuer Unternehmen gedacht, die KI bereits punktuell nutzen und jetzt Kontrolle schaffen wollen, ohne Momentum zu verlieren.
Der Ansatz ist bewusst pragmatisch. In 90 Tagen wird keine vollstaendige Sicherheitsorganisation neu gebaut. Es wird ein wiederholbares Muster geschaffen: Inventar, Exposure Map, Regeln, Pilot, Messung. Wenn dieses Muster funktioniert, kann es auf weitere Workflows uebertragen werden.
Damit wird Cyber-Readiness auch zur Managemententscheidung, nicht nur zur IT-Aufgabe. Die Geschaeftsfuehrung kann klar entscheiden, welche KI-Anwendungen sofort erlaubt sind, welche nur mit Review laufen und welche pausieren muessen, bis Datenpfad, Verantwortung und Nachweise geklaert sind. Genau diese Klarheit spart spaeter Zeit, Kosten und Vertrauensverlust.
Tag 1-15: Reale KI-Nutzung erfassen
Sprechen Sie mit Teamleitungen und Anwendern. Fragen Sie nach Tools, Daten, Outputs und sensiblen Aufgaben. Der Ton muss praktisch sein, nicht strafend. Sonst verschweigen Menschen die echten Workarounds.
Tag 16-30: Exposure Map bauen
Bewerten Sie Workflows nach Datensensitivitaet, externer Wirkung, Abhaengigkeit und Umkehrbarkeit. Ein interner Entwurf hat anderes Risiko als eine Kundenantwort, Preisempfehlung oder sicherheitsbezogene Anweisung.
Tag 31-45: Kontrollregeln definieren
Legen Sie fest, welche Daten nicht in offene Tools gehoeren, welche Outputs Review brauchen, welche Tools freigegeben sind, welche Use Cases Logging erfordern und wer Ausnahmen entscheidet.
Tag 46-70: Einen kontrollierten Workflow pilotieren
Waehlen Sie einen nuetzlichen Workflow und bauen Sie Zugriff, Logging, Review, Anbieter-Einstellungen, Fallback und Incident-Pfad ein. Messen Sie, ob die kontrollierte Variante noch Zeit spart.
Tag 71-90: Haerten und skalieren
Pruefen Sie Vorfaelle, Beinahe-Vorfaelle, Nutzerfeedback und operative Kennzahlen. Entscheiden Sie, welche Workflows erweitert, verstaerkt oder gestoppt werden.
RECIPE
Nutzen Sie diese AI Cyber Risk Scorecard vor der Skalierung eines KI-Workflows. Bewerten Sie jeden Punkt mit 0 bis 2. Unter 14 von 20 Punkten bleibt der Workflow im kontrollierten Pilot.
- Use-Case-Klarheit: Aufgabe und Owner sind konkret.
- Datenklassifikation: sensible Datenkategorien sind sichtbar.
- Tool-Freigabe: Anbieter, Einstellungen und Retention sind bekannt.
- Zugriff: nur passende Nutzer koennen Workflow und Output sehen.
- Menschlicher Review: wichtige Outputs haben Freigaben.
- Logging: Inputs, Outputs, Reviews und Aktionen werden dokumentiert.
- Incident-Pfad: Leaks, Fehloutputs und schaedliche Empfehlungen haben Eskalation.
- Regulatorischer Fit: NIS2, Cyber Resilience Act, AI Act, DSGVO und Branchenanforderungen sind geprueft.
- Nutzertraining: Teams wissen, was sie nicht einfuegen, freigeben oder automatisieren duerfen.
- Business Value: der Workflow spart trotz Kontrollen Zeit oder reduziert Risiko.
Practical CTA
Wenn KI bereits im Unternehmen unterwegs ist, warten Sie nicht auf einen Vorfall. Operatives KI- und Cyber-Readiness-Audit buchen. Der erste sinnvolle Schritt ist keine 90-seitige Policy, sondern eine klare Karte von KI-Nutzung, Datenexposition, Freigaben, Anbieter-Einstellungen und einem kontrollierten Workflow fuer die naechsten 90 Tage.
So entsteht ein belastbarer Startpunkt fuer Priorisierung, Budget, Verantwortlichkeiten und die naechste sichere Automatisierungsentscheidung.
Das ist klein genug fuer den Einstieg und konkret genug fuer die Geschaeftsfuehrung.
Wenn der Business Case wichtig ist, kann dieselbe Evidenz in eine CFOProof Einsparlogik einfliessen: Welche KI-Workflows reduzieren manuelle Arbeit, ohne neues Cyber-Risiko aufzubauen?
Management-Fazit
Der EU Action Plan on Cybersecurity and Artificial Intelligence zeigt, dass KI-Adoption und Cyber-Resilience zusammengehoeren. DACH-KMU muessen nicht ueber Nacht Regulierungsprofis werden. Sie muessen KI aber als echten Bestandteil ihres Betriebsmodells behandeln.
Der praktische Schritt ist eine KI-Cyber-Resilience-Betriebsschicht um einen Workflow. Was erklaert, geprueft und vertraut werden kann, darf wachsen.