Andrea Margiovanni .it
ITENFRDE
Startseite / Alle Beiträge / Compliance Cybersicherheit Künstliche Intelligenz Tech-KMU Ausgabe № 39

Das Paradox des Kleinen: hoch lebe die EU-Regulierung

Zwischen AI Act, CRA und NIS2 schreibt Europa die Regeln neu: nicht der Schnellste gewinnt, sondern wer ernsthafte, sichere und barrierefreie Software baut.

Andrea Margiovanni von Andrea Margiovanni
· 11 März 2026 · 10 Min. Lesezeit · 2.180 Wörter

Das Paradox des Kleinen, von Pescara aus gesehen

Ich arbeite in einem Tech-KMU in Pescara. Wir sind ein Dutzend, nicht fünfzig, nicht zweihundert. Wir machen Software für unterschiedliche Kunden, von der öffentlichen Verwaltung bis zu SaaS-Plattformen, und was uns seit jeher zusammenhält, ist eine Art Besessenheit von Solidität. Durchdachte Architekturen, Code, der trägt, Systeme, die nicht zerfallen, wenn echte Daten, echtes Geld, echte Entscheidungen hineinkommen.

Und doch dachte ich in den letzten Monaten oft etwas Bitteres: es ist ein brutaler Moment, Ideen zu haben. Nicht aus Mangel an Kreativität — im Gegenteil. Das Problem ist, dass die Kreativität oft mit einem Gefühl der Ohnmacht kommt.

Das ‚das gibt’s schon’-Syndrom

Es läuft so ab, mit fast komischer Regelmäßigkeit.

Montagmorgen, Brainstorming. Jemand wirft eine Idee in die Runde. Wir entzünden uns, beginnen zu planen, wie man sie gut macht, welche Architektur richtig wäre, wo die Risiken liegen, wie wir sie verkaufen, ohne uns selbst etwas vorzumachen.

Dann kommt Mittwochabend. Scrolling auf LinkedIn oder Hacker News, und da ist die Ankündigung: Google, Microsoft, OpenAI oder ein eben finanziertes Startup mit Summen, die wir nur in Podcast-Erzählungen sehen, hat gerade dieselbe Sache präsentiert. Oder etwas hinreichend Ähnliches, dass unsere Idee am Markt als verspäteter Klon erscheint.

Es ist nicht einmal die Frage „sie haben uns kopiert“. Es ist banaler und niederschlagender: sie haben die Skala. Und in dieser historischen Phase scheint Skala mehr zu zählen als alles andere.

Ich frage mich oft, ob wir nicht in eine Zeit geraten, in der echte Innovation fast zum Luxus wird, den sich nur leisten kann, wer schnell und öffentlich falsch liegen darf.

Wenn man dich nicht schlägt, weil sie besser sind, sondern weil sie schneller sind

Bis hierher wäre es schon frustrierend. Aber es gibt eine weitere Ebene, schwerer zu schlucken.

Denn man schlägt dich nicht immer mit einem besseren Produkt. Manchmal schlägt man dich mit etwas Mittelmäßigem, eilig versendet, mit minimalen Tests und einem fast arroganten Vertrauen darauf, dass die Marke trotzdem trägt.

„Vibe Coding“, was bis vor Kurzem wie eine Indie-Hacker-Spielerei wirkte, ist im Enterprise angekommen. Und ich rede nicht vom Junior, der mit Copilot eine Komponente schreibt. Ich rede von ganzen Teams, die mit Prompts riesige Anwendungsteile generieren, zwei kurze Tests machen und dann alles in Produktion bringen.

In den letzten Monaten habe ich Plattformen mit Lücken gesehen, bei denen einem schwindelig wird. XSS, das man in fünf Minuten findet, APIs ohne Rate-Limiting, Zahlungsflüsse ohne Idempotenz, Verarbeitung personenbezogener Daten, die jeden ernsthaften DSB erblassen ließe.

Und doch sind sie da. Auf dem Markt. Mit Nutzern. Mit Umsatz.

Die implizite Botschaft, die einem auch ungehört entgegenkommt, lautet: Qualität zählt nicht, Geschwindigkeit zählt.

Wenn Qualität nicht zählt, was bleibt dann uns Kleinen, die auf Qualität ihren Ruf und oft auch ihr Überleben bauen?

Die Brüssel-Epiphanie (mit der ich nicht gerechnet hatte)

Hier kommt der Teil, den ich vor zwei Jahren nie zu schreiben geglaubt hätte.

Lange habe ich die EU-Regulierung mit Verärgerung betrachtet. Die DSGVO 2018 schien mir ein Klotz: viel Mühe für jene, die ohnehin gut arbeiteten, während die Großen weiterhin ihren Dingen nachgingen und schlimmstenfalls Strafen zahlten, die für sie Kleingeld waren.

Doch dann begann ich, das Bild zu betrachten, das gerade entsteht. Und ich hatte ein seltsames, fast kontraintuitives Gefühl: Brüssel ist vielleicht eine der wenigen Waffen, die uns bleiben.

Nicht weil „Bürokratie schön ist“, weit gefehlt. Sondern weil das, was sich abzeichnet, keine isolierte Verordnung ist. Es ist ein integriertes regulatorisches Ökosystem, das den Maßstab des Wettbewerbs verändert.

Wenn Europa zu 80 % aus KMU besteht und will, dass diese KMU im KI-Zeitalter überleben, muss es etwas Einfaches und sehr Schwieriges tun: verhindern, dass Größe der einzige Wettbewerbsvorteil ist.

Und genau das versucht es, im Guten wie im Schlechten.

Sieben Normen, eine Richtung

Ich liste sie auf, ja, aber mit einer Idee: lies sie nicht als „sieben Pflichten“. Lies sie als Industriestrategie.

AI Act, der große Anhebende

Der AI Act ist seit dem 1. August 2024 in Kraft, mit gestaffelter Anwendung. Verbote ab Februar 2025, Pflichten für Hochrisikosysteme ab August 2026.

Das Interessante: er sagt nicht „macht keine KI“. Er sagt „macht sie gut“. Er klassifiziert Systeme nach Risiko, und wo das Risiko hoch ist, verlangt er Dinge, die eigentlich normal sein sollten: Risikomanagement, Datenqualität, menschliche Aufsicht, Dokumentation, Transparenz.

Für ein KMU, das ohnehin geordnet arbeitet, ist Compliance oft ein handhabbares Delta. Nicht gratis, sicher. Aber handhabbar.

Für jene, die ein kritisches System in drei Wochen ohne wirkliches Verständnis seines Verhaltens in Produktion gebracht haben, wird es ein Abgrund. Sie müssen Prozesse, Governance, Architektur neu denken. Sie müssen abbremsen.

Und hier wird der AI Act paradoxerweise pro-KMU. Nicht weil er die Kleinen als Kleine schützt, sondern weil er belohnt, wer schon eine Kultur des „machen wir’s gut“ pflegt.

Es gibt auch einen Punkt, der mich bei General-Purpose-Modellen sehr interessiert: Transparenz- und Dokumentationspflichten für Anbieter, vor allem bei Modellen mit systemischem Risiko. Übersetzt: wenn ich ein Produkt auf einem Foundation-Modell baue, habe ich mehr Anspruch darauf, Grenzen, Risiken, Konturen zu kennen. Heute versteht man sie oft nur durch Paper und Corporate-Posts.

Cyber Resilience Act, das Ende von „läuft, fass es nicht an“

Der CRA ist seit dem 10. Dezember 2024 in Kraft. Meldepflichten ab September 2026, volle Anwendung ab Dezember 2027.

Hier ändert sich der Ton wirklich: wer ein Produkt mit digitalen Elementen auf den europäischen Markt bringt, ist über den gesamten Lebenszyklus für die Sicherheit verantwortlich. Sicherheitsupdates für mindestens fünf Jahre, dokumentiertes Schwachstellenmanagement, schnelle Meldungen, und vor allem SBOM.

Das SBOM ist nüchtern gesagt ein Inventar: zu wissen, was in deiner Software steckt, Abhängigkeiten inklusive. Wenn eine kritische CVE veröffentlicht wird, musst du keine Archäologie betreiben. Du weißt es.

Und weißt du, wer oft schon so strukturiert ist? KMU mit modernen Stacks, anständigen Pipelines, nachvollziehbaren Abhängigkeiten.

Wer leidet? Riesige Organisationen mit Jahren technischer Schulden, unanfassbarem Legacy, 2016 eingefrorenen Komponenten und niemandem, der die Karte des Geländes hat.

Der CRA macht Wartung von „wenn Zeit bleibt“ zur Pflicht. Und plötzlich hört die manische Update-Aufmerksamkeit auf, eine persönliche Marotte zu sein, und wird zur Wettbewerbshaltung.

Product Liability Directive, Software ist nicht mehr unantastbar

Die neue PLD wurde 2024 verabschiedet, die Mitgliedstaaten müssen sie bis Dezember 2026 umsetzen.

Hier gestehe ich, ein wenig Angst zu haben. Sie weitet die Produkthaftung auf Software aus. Und in einigen Fällen führt sie Mechanismen wie eine Beweislastumkehr ein: bei plausiblem Zusammenhang zwischen Mangel und Schaden muss der Hersteller beweisen, dass das Produkt nicht mangelhaft war.

Stell dir nun ein Unternehmen vor, das eine Finanz-App ohne ernsthafte Tests, ohne Code-Review, ohne Dokumentation ausgeliefert hat. Wenn ein Schaden eintritt, wie weist es das nach?

Ein KMU, das mit CI, automatischen Tests, nachvollziehbaren Reviews, kommentierten Architekturentscheidungen, Changelogs und Release Notes arbeitet, hat plötzlich etwas Wertvolles, das es vorher nicht so genannt hatte: eine Verteidigungsakte.

Die PLD verwandelt Prozessqualität konkret in eine juristische Schutzschicht.

European Accessibility Act, das Web ist nicht nur für gut Sehende

Der EAA gilt schon seit dem 28. Juni 2025.

Barrierefreiheit heißt WCAG 2.1 AA als Referenz: Semantik, Kontrast, Tastatur, Screenreader, Textalternativen. Nicht die „schöne Seite“, die Seite, die auch jemand mit Behinderung nutzen kann.

Wer Barrierefreiheit immer als Anforderung behandelt hat, startet im Vorteil. Wer großartige, mit Screenreader unbenutzbare Oberflächen gebaut hat, muss rennen.

Und hier liegt eine sehr konkrete Chance: Barrierefreiheit als Dienst. Audit, Remediation, barrierefreie Designsysteme. Es gibt auch die Ausnahme für Kleinstunternehmen, ein interessantes Detail: du kannst klein genug sein, um in manchen Fällen nicht verpflichtet zu sein, aber kompetent genug, um anderen zu helfen.

NIS2, Cybersicherheit ist nicht mehr optional

NIS2 sollte bis Oktober 2024 umgesetzt werden, in Italien ist die Umsetzung erfolgt. Die Anwendung ist gestaffelt.

Was KMU trifft, ist nicht nur „bist du erfasst oder nicht“. Es ist der Supply-Chain-Effekt. Ist dein Kunde NIS2-pflichtig, verlangt er Garantien. Verfahren. Incident Response. Maßnahmen.

Sicherheit wird zur kommerziellen Voraussetzung. Wer keine ernsthafte Haltung nachweist, arbeitet mit bestimmten Kunden nicht. Punkt.

Auch hier: wer früh investiert hat, vielleicht mühsam und ohne Ruhm, ist jetzt vorn.

Data Act, die erzeugten Daten gehören auch dir

Der Data Act ist seit 11. Januar 2024 in Kraft und gilt seit 12. September 2025.

Einfach gesagt: Daten, die durch die Nutzung eines vernetzten Produkts entstehen, müssen für den Nutzer zugänglich und auf Anfrage mit Dritten teilbar sein.

Wer von Lock-in lebt, bekommt einen Schlag. Für KMU kann es eine große Bresche sein: sind Daten portierbar, muss jemand die Infrastruktur bauen — APIs, Konnektoren, Formate.

Es ist fast eine Anti-Lock-in-Norm. Und viele KMU hatten schlicht nie die Kraft, aggressives Lock-in zu betreiben. Dieser „Mangel“ kann jetzt zum Vorteil werden.

DMA und DSA, Gatekeeper mit anderen Regeln

Der DMA ist seit März 2024 voll anwendbar, der DSA seit Februar 2024.

Hier ist der Punkt politisch, aber sehr konkret: Gatekeeper können nicht mehr mit derselben Straffreiheit spielen. Interoperabilität, Verbote der Selbstbevorzugung, mehr Transparenz.

Reicht das? Vermutlich nicht. Ich erwarte Schlupflöcher, kreative Auslegungen, sehr gut bezahlte Anwälte.

Aber ein Prinzip ändert sich: groß zu sein gibt einem nicht mehr automatisch das Recht zu mogeln.

Zusammen genommen ist es keine Compliance, sondern ein Maßstabwechsel

Wenn ich diese Normen als Ganzes betrachte, sehe ich eine recht klare Botschaft.

Auf dem europäischen Markt gewinnt, wer es gut macht.

Gut heißt: transparente, beaufsichtigte KI, gepflegte und sichere Software, echte Verantwortung bei Schäden, Barrierefreiheit als Anforderung, Cybersicherheit als Alltagspraxis, weniger eingesperrte Daten, stärker kontrollierte dominante Plattformen.

Und fast unwillkürlich begünstigt diese Richtung Eigenschaften, die seriöse KMU typisch auszeichnen: Detailgenauigkeit, Kundennähe, aktuellere Stacks, weniger unanfassbares Legacy, weniger Anreize für „bringen wir es raus, wir schauen dann“.

Aber die Wirklichkeit ist nicht nur rosig

Es wäre unredlich zu behaupten, Compliance sei kostenlos. Sie kostet Zeit, Geld, Fokus. Und in einem mittleren (oder kleinen) Unternehmen ist jede Stunde für Doku und Prozesse eine Stunde, die nicht ins Produkt fließt.

Es gibt auch ein reales Risiko: dass Compliance erneut zum Vorteil der Großen wird, jener, die sich Rechtsabteilungen und Governance-Plattformen leisten können.

Aber Europa hat einen Punkt vielleicht verstanden: Verhältnismäßigkeit. Viele Normen unterscheiden nach Risiko und Größe. Und es gibt einen anderen Weg, der mir sehr konkret scheint: Compliance in einen Dienst zu verwandeln.

Wer CRA, AI Act, NIS2, EAA wirklich versteht — nicht nur als Häkchen, sondern als technische Implikationen —, kann das verkaufen. SBOMs, Audits, Hardening, KI-Governance, Barrierefreiheits-Assessments. Compliance hört auf, nur Kosten zu sein, und wird zur Marktkompetenz.

Was ich Montagfrüh wirklich tun würde

Ich will nicht mit Moral schließen. Lieber konkret, denn dort können sich KMU gegenseitig helfen.

Wir versuchen, einen einzigen internen Rahmen zu bauen, nicht sieben getrennte Prozesse. Notgedrungen, wir sind klein. Und diesmal ist Kleinsein ein Vorteil, weil wir uns Silos nicht leisten können. Die Doku für den CRA hilft auch der PLD. Das SBOM dient dem CRA, wird aber auch zur nützlichen Basis für NIS2-artige Anfragen. Die risikobasierte Logik des AI Act passt gut zum DSGVO-Ansatz.

Wir versuchen auch, Compliance als Produkt zu behandeln, nicht nur als Pflicht. Wenn ein Kunde sich anpassen muss, muss jemand ihn begleiten. Wenn du ihn gut begleitest, verkaufst du keine „Bürokratie“. Du verkaufst Risikoreduktion, operative Kontinuität, Reputation.

Dann die Schulung. Nicht eine, die bei Folien aufhört. Schulung, um das Warum der Regeln zu verstehen, denn wenn du das Warum verstehst, brauchst du die Checkliste weniger. Du denkst klarer, wenn der seltsame Fall kommt, der nirgends geschrieben steht.

Und schließlich das Netzwerk. Templates, Prozesse, geteilte Lessons Learned. Compliance ist kein Nullsummenspiel. Wenn dein Ökosystem solider ist, bist du es auch.

Vielleicht ist das der Punkt: wir müssen uns nicht entschuldigen, klein zu sein

Ich gebe mich keinen Illusionen hin. Big Tech wird in Compliance investieren, sich anpassen, lobbyieren, vorteilhafte Auslegungen suchen.

Aber etwas hat sich geändert: Europa sagt, dass auf seinem Markt Geschwindigkeit ohne Verantwortung keine Superkraft mehr ist.

Und für jene, die wie wir immer mit Sorgfalt gebaut haben — nicht aus Tugend, sondern aus Notwendigkeit —, ist das eine seltsame, schöne Nachricht. Vielleicht müssen wir nicht größer werden. Vielleicht reicht es, weiter mit Aufmerksamkeit und Verantwortung zu arbeiten.

Nur dass jetzt, endlich, jemand versucht, diese Wahl zählen zu lassen.

Was du mitnimmst

  • Wir müssen uns nicht entschuldigen, klein zu sein: Europa verschiebt den Wettbewerb von der Skalierung zur architektonischen Ernsthaftigkeit.

  • Der CRA macht Wartung von ‚wenn Zeit bleibt’ zur Pflicht: wer einen modernen Stack hat, startet vorn, wer unanfassbares Legacy hat, zahlt.

  • Die PLD verwandelt Prozessqualität in eine juristische Schutzschicht: CI, Tests, nachvollziehbare Reviews werden zur Verteidigungsakte.

  • Gut verstandene Compliance lässt sich als Dienst verkaufen: SBOM, Audits, Hardening, KI-Governance, Barrierefreiheits-Assessment.

  • Es ist ein Arbitrage-Fenster: es bleibt nicht ewig, aber es ist jetzt offen.

Fragen & Antworten

Warum kann ein italienisches Tech-KMU nicht mit Big Tech über Skalierung konkurrieren?

Weil jede Woche Google, Microsoft, OpenAI oder ein gut finanziertes Startup dieselbe Idee ankündigt, die dein Team zu Wochenanfang hatte. Es ist nicht Kopie: sie haben Skala, Kapital und Geschwindigkeit, die kein Dutzend Leute in Pescara erreichen kann. Wettbewerb auf generalistischer KI ist von vornherein verloren.

Was ist das Paradox des Kleinen?

Dass gerade die kleine Größe — kombiniert mit der EU-Regulierung 2026-2027 — zum Wettbewerbsvorteil wird. CRA, AI Act, NIS2, EAA fordern Architektur-, Sicherheits-, Barrierefreiheits- und Dokumentationsauflagen, die globale Big Player strukturell schwer schnell erfüllen können. Ein italienisches KMU, das ohnehin ernsthafte Software macht, startet mit der kulturellen Infrastruktur, die Compliance verlangt.

Warum ist die EU-Regulierung gute Nachricht für KMU?

Weil sie den Wettbewerb vom Feld der Skalierung (wo die Kleinen verlieren) auf das Feld der architektonischen Ernsthaftigkeit verschiebt (wo die Kleinen gewinnen können). Software in Europa 2026-2027 belohnt nicht den, der zuerst baut, sondern den, der nachhaltig, sicher und konform baut. Eine Regelumkehr zugunsten derer, die auf solidem Fundament gebaut haben — nicht nur auf Geschwindigkeit.

Was sollte ein Software-KMU heute konkret tun?

Aufhören, auf generalistischer KI zu konkurrieren. Sich auf Vertikalen mit regulatorischen Hürden spezialisieren (Gesundheit, öffentliche Verwaltung, Finanzen), in Delivery-Prozesse investieren, die SBOM, Audit-Logs und Barrierefreiheit als natürliche Ausgabe erzeugen — nicht als Zusatzkosten am Projektende. Wenn die Großen abbremsen müssen, beschleunigt, wer schon bereit war. Ein Arbitrage-Fenster, das nicht ewig bleibt — aber jetzt offen ist.

Der Autor

Andrea Margiovanni

Andrea Margiovanni

Ich verfolge das Verhältnis zwischen KI und europäischer Regulierung als politisches Faktum, nicht als technisches Spektakel. Ich arbeite mit Teams, die KI mit AI Act, CRA, NIS2 vereinbar machen müssen, ohne Compliance auf eine Checkliste zu reduzieren.

Zum Weg
Verwandt
·10 MIN

Der Mensch ist eine Position

Ich bin Atheist, ich komme aus der Philosophie, ich arbeite in der europäischen Compliance. Die erste Enzyklika Leos XIV. über die Künstl...

Künstliche Intelligenz · AI Act · Digitale Souveränität · Compliance · Ethik · Technikphilosophie
·6 MIN

Zwölf Berufe auf der Suche nach einem Markt

Die erste nationale europäische Norm zu den Berufsbildern der KI ist am 30. April erschienen. Sie verdient es, ernst genommen zu werden, ...

AI Act · Künstliche Intelligenz · Compliance · EU-Regulierung · IT-Markt · Arbeit
·9 MIN

Die Sanduhr der Compliance

Eine Karte des italienischen Compliance-Marktes von innen: oben die spezialisierte Beratung, unten die Plattformen, in der Mitte das eing...

Compliance · Italienischer Markt · IT-Beratung · Digitale Souveränität · ACN
© 2026 Andrea Margiovanni Mit Sorgfalt, von Hand gemacht