Förderung · Juli 2026
Der europäische Gesetzgeber hat in den vergangenen zwei Jahren zwei regulatorische Meilensteine geschaffen, die den deutschen Mittelstand unmittelbar betreffen: Die NIS-2-Richtlinie, die seit Dezember 2025 in nationales Recht umgesetzt ist, und der EU AI Act, dessen wesentliche Pflichten ab August 2026 greifen. Beide Regelwerke haben direkte Auswirkungen auf die Software, die Unternehmen einsetzen — und insbesondere auf veraltete Systeme, die seit Jahren ohne grundlegende Modernisierung im Einsatz sind.
Wer heute noch Legacy-Software betreibt, die weder aktuelle Sicherheitsstandards erfüllt noch ausreichend dokumentiert ist, steht vor einem doppelten Compliance-Problem. Die gute Nachricht: Es gibt staatliche Förderprogramme, die genau diese Modernisierung finanziell unterstützen.
Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU-Cybersecurity-Richtlinie, die seit Dezember 2025 in deutsches Recht umgesetzt wurde. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Kreis der betroffenen Unternehmen massiv: Nicht mehr nur kritische Infrastrukturen im engeren Sinne sind betroffen, sondern auch mittelständische Unternehmen aus Bereichen wie verarbeitendes Gewerbe, Lebensmittelproduktion, Abfallwirtschaft, Post- und Kurierdienste, chemische Industrie und digitale Dienste.
Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in diesen Sektoren fallen unter die Regelung. Die wesentlichen Anforderungen umfassen:
Für die Softwarelandschaft im Unternehmen bedeutet das konkret: Legacy-Software mit bekannten Vulnerabilities, ungepatchten Dependencies oder fehlenden Sicherheitsmechanismen ist ein unmittelbares Compliance-Risiko. Wer veraltete Systeme betreibt, kann die Anforderungen an Risikomanagement und Supply-Chain-Sicherheit schlicht nicht erfüllen.
Der EU AI Act ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Ab August 2026 gelten die wesentlichen Pflichten für Unternehmen, die KI-Systeme entwickeln, einsetzen oder auf dem europäischen Markt bereitstellen. Die Verordnung arbeitet mit einem risikobasierten Ansatz und unterscheidet vier Kategorien:
Wenn Sie KI in Ihrer Software einsetzen oder dies planen, muss die technische Grundlage stimmen. Der AI Act verlangt unter anderem lückenlose Dokumentation der verwendeten Trainingsdaten, Nachvollziehbarkeit der Entscheidungsprozesse, robuste Qualitätssicherung und kontinuierliches Monitoring. All das lässt sich auf einer veralteten, schlecht dokumentierten Codebasis nicht sinnvoll aufbauen.
Viele mittelständische Unternehmen setzen auf Softwarelösungen, die vor Jahren entwickelt wurden und seither im Wesentlichen unverändert laufen. Diese Systeme sind oft das Rückgrat des Tagesgeschäfts — aber sie bergen erhebliche regulatorische Risiken:
Die regulatorische Botschaft ist eindeutig: Technische Schulden sind nicht mehr nur ein internes Effizienzproblem — sie sind ein Compliance-Risiko mit potenziellen Bußgeldern. Unter NIS-2 drohen Strafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Die gute Nachricht: Der Staat weiß um die Herausforderungen der digitalen Transformation und fördert genau diese Art der Modernisierung. Mittelständische Unternehmen können aus einer Reihe von Programmen wählen:
In vielen Fällen lassen sich mehrere Programme kombinieren. Entscheidend ist, dass der Antrag vor Projektbeginn gestellt wird — eine nachträgliche Förderung ist in der Regel ausgeschlossen.
NIS-2 und EU AI Act verändern die Spielregeln für den deutschen Mittelstand grundlegend. Wer veraltete Software betreibt, riskiert nicht nur Sicherheitsvorfälle und Datenverluste, sondern auch empfindliche Bußgelder und Wettbewerbsnachteile. Die regulatorischen Anforderungen sind klar, die Fristen laufen, und die Fördermöglichkeiten sind vorhanden.
Der erste Schritt muss kein Mammutprojekt sein. Eine fundierte Analyse Ihrer bestehenden Software zeigt, wo die größten Risiken liegen und welche Maßnahmen den höchsten Compliance-Effekt haben. Genau dabei helfen wir.