Andrea Margiovanni .it
ITENFRDE
Home / Europäische Software-Compliance 2026

Europäische Software-Compliance 2026

CRA, AI Act, PLD, NIS2, EAA, DORA. Sechs Verordnungen, die zwischen 2026 und 2027 verändern, wie in Europa Software entworfen, verkauft und dokumentiert wird. Das ist die Indexseite — mit meiner Sicht, den Fristen und den Essays, die ich zu jeder Verordnung geschrieben habe.

Was folgt, ist meine persönliche Lesart dessen, was sich in der europäischen Software in den nächsten 18–24 Monaten ändert, mit Bezug auf die Essays, die ich zu jedem Thema geschrieben habe. Es ist keine Rechtsberatung — es ist die Sicht von jemandem, der Softwarearchitekturen entwirft, die in Produktion gehen und dort bleiben müssen.

Letzte Überarbeitung: 27. Mai 2026. Ich aktualisiere diese Seite, wenn eine neue Frist erscheint oder ich in einem Essay auf einen Punkt zurückkomme.

Die These in einem Satz

Europäische Compliance 2026–2027 wird nicht am Projektende „abgehakt”: Sie wird vom ersten Tag an in der Architektur entworfen, wie jede andere nicht-funktionale Anforderung.

Alles, was folgt, ist die Argumentation hinter diesem Satz.

Die sechs Verordnungen, in einem Atemzug

  • CRA (Cyber Resilience Act) — Sicherheitspflichten für „Produkte mit digitalen Elementen”: SBOM, Schwachstellenmanagement, Vorfallmeldung, Support für einen erklärten Zeitraum.
  • AI Act — gestaffelte Pflichten für KI-Systeme nach Risikoniveau: allgemeine Modelle, Hochrisikosysteme (HR, Kredit, Justiz), verbotene Systeme, GPAI (General Purpose AI).
  • PLD (neue Produkthaftungsrichtlinie) — erweitert die verschuldensunabhängige Haftung auf Software: Der Hersteller haftet für Schäden durch Mängel unabhängig vom Verschulden.
  • NIS2 — Cybersicherheit für wesentliche und wichtige Einrichtungen: Governance, Incident Reporting innerhalb von 24/72 Stunden, Pflichten zur digitalen Supply Chain.
  • EAA (European Accessibility Act) — verpflichtende Barrierefreiheit für E-Commerce, E-Books, Online-Banking, Ticketing, Telefon- und Verkehrsdienste ab Juni 2025.
  • DORA (Digital Operational Resilience Act) — operative Resilienz für den EU-Finanzsektor: ICT-Risikomanagement, Resilienztests, Aufsicht über kritische Drittanbieter. Seit Januar 2025 in Kraft; seine Wirkung über die Finanzbranche hinaus ist erheblich, weil er de facto Standards für operative Resilienz in der gesamten digitalen Lieferkette setzt.

Sechs Verordnungen, in unterschiedlichen Jahren von unterschiedlichen DGs in unterschiedlichen Stilen verfasst. Aber sie konvergieren in einer gemeinsamen operativen Idee: Software ist nicht mehr ein „geistiges Werk ohne technische Verantwortung” — sie ist ein industrielles Produkt mit Konformitätspflichten, die mit denen eines Kühlschranks vergleichbar sind.

Italienische Spezifität — ACN. Die italienische Agentur für Cybersicherheit (Agenzia per la Cybersicurezza Nazionale) hat eine Qualifizierungsmatrix (QC1–QC4) für Cloud-Dienste der öffentlichen Verwaltung veröffentlicht, die sich mit NIS2, CRA und DSGVO überlappt und engere operative Zwänge auferlegt. Wer an die italienische öffentliche Verwaltung verkauft, muss diese Variable als nicht-optional ansehen — gemeinsam mit dem EU-Paket zu lesen, nicht als Alternative.

Meine Essays, gruppiert nach Verordnung

CRA, Architektur, SBOM

07.05 2026
№ 65

Die Sanduhr der Compliance

Eine Karte des italienischen Compliance-Marktes von innen: oben die spezialisierte Beratung, unten die Plattformen, in der Mitte das eingeklemmte Middle Layer. Und die typisch italienische Besonderheit — ACN — die die Regeln verändert.

9′ Lesezeit
1.890 Wörter
Lesen →
21.04 2026
№ 58

DSFA als Gattung, nicht als Formular

Das im April veröffentlichte EDPB-Template für DSFA ist kein längeres Formular. Es ist die Kodifizierung einer Form. Über den Übergang vom Formular zur Gattung — und darüber, was sich für jene ändert, die Compliance als fortlaufende Schreibpraxis betreiben.

28′ Lesezeit
6.730 Wörter
Lesen →
18.04 2026
№ 56

Die letzte Flasche von Mrs Donoghue

Warum das „Produkt“, auf dem das zivilrechtliche Haftungsrecht ruht, in der heutigen Software nicht mehr existiert — und was an seine Stelle treten könnte.

33′ Lesezeit
7.380 Wörter
Lesen →
28.03 2026
№ 50

Die Inkompetenz als strukturelle Bedingung der Gegenwart

Niemand weiß, was er tut. Nicht im banalen, leicht selbstabsolvierenden Sinn aus Kollegengesprächen, wenn jemand die Schultern hebt und sagt, wir improvisieren alle.

12′ Lesezeit
2.500 Wörter
Lesen →
16.03 2026
№ 41

Dinge, die ich in fünfzehn Jahren Arbeit aufgegeben habe

Notizen zu Dingen, für deren Verlernen ich mindestens 15 Jahre gebraucht habe.

8′ Lesezeit
1.790 Wörter
Lesen →
11.03 2026
№ 39

Das Paradox des Kleinen: hoch lebe die EU-Regulierung

Zwischen AI Act, CRA und NIS2 schreibt Europa die Regeln neu: nicht der Schnellste gewinnt, sondern wer ernsthafte, sichere und barrierefreie Software baut.

10′ Lesezeit
2.180 Wörter
Lesen →
08.03 2026
№ 37

Die Hände und die Maschine: das Vertrauen in die Software

Software trägt die Welt und bleibt unsichtbar. Zwischen KI, Open Source und EU-Regeln entsteht Vertrauen durch Sorgfalt, Entscheidungen und Verantwortung.

10′ Lesezeit
2.210 Wörter
Lesen →
08.03 2026
№ 36

Compliance ist eure Sache

Zwischen 2026 und 2027 wird Software zu einem Produkt mit rechtlicher Verantwortung. Wenn der Kunde nur Go-Live will, bleibt das Risiko bei allen.

7′ Lesezeit
1.480 Wörter
Lesen →
24.02 2026
№ 29

Fügt euren Produkten keine KI hinzu. Denkt sie von Null neu.

Einen Chatbot anzukleben reicht nicht. Wenn die Hälfte der Interaktionen durch KI-Agenten läuft, müssen Software, APIs, Vertrauen und Compliance neu gedacht werden.

8′ Lesezeit
1.660 Wörter
Lesen →
18.02 2026
№ 21

Software ist ein Produkt. Und jetzt?

Ab dem 9. Dezember 2026 schließt die neue Product Liability Directive Software in den Produktbegriff ein. Was sich ändert für Roadmap, Verträge, Releases und Open Source.

10′ Lesezeit
2.220 Wörter
Lesen →

AI Act, Governance, Deployer

27.05 2026
№ 69

Der Mensch ist eine Position

Ich bin Atheist, ich komme aus der Philosophie, ich arbeite in der europäischen Compliance. Die erste Enzyklika Leos XIV. über die Künstliche Intelligenz habe ich nicht unterschrieben, ich habe mit ihr gestritten. Und ich habe darin ein Vokabular gefunden, das Brüssel noch fehlt.

10′ Lesezeit
2.020 Wörter
Lesen →
13.05 2026
№ 67

Zwölf Berufe auf der Suche nach einem Markt

Die erste nationale europäische Norm zu den Berufsbildern der KI ist am 30. April erschienen. Sie verdient es, ernst genommen zu werden, und sie verdient es, auf die richtige Weise mit Misstrauen behandelt zu werden.

6′ Lesezeit
1.270 Wörter
Lesen →
05.05 2026
№ 64

Das Gespenst sind wir

Eine lange Bestandsaufnahme der europäischen Digitalregulierung von außen betrachtet — von denen, die sie hassen — und eine Gegenlesart von innen, von dem, der diese Normen jeden Tag in technische Objekte übersetzt.

26′ Lesezeit
5.420 Wörter
Lesen →
01.05 2026
№ 63

Die Täuschung des Vertrags

Warum der Software-Liefervertrag, wie wir ihn kannten, aufgehört hat, das zentrale Instrument der Beziehung zwischen Anbieter und Kunde zu sein — und wie teuer es ist, weiter so zu tun, als wäre er es noch.

20′ Lesezeit
4.350 Wörter
Lesen →
01.05 2026
№ 62

Der Aufstieg des Compliance Engineers

Über die Figur, die aus der Lücke zwischen Software-Ingenieurkunst und europäischer Regulierung hervorgeht, und warum es kaum jemand rechtzeitig bemerkt.

17′ Lesezeit
3.700 Wörter
Lesen →
01.05 2026
№ 61

Die Spezifikationsschulden

Warum das Dokument, das ein System zertifiziert, schlechter altert als der Code, der es implementiert, und warum die nächste Generation europäischer Software-Haftungsprozesse über die Spezifikation entschieden wird.

21′ Lesezeit
4.680 Wörter
Lesen →
27.04 2026
№ 59

Die Form der Beschränkung

Regulatorische Compliance als Gegnerin des technischen Projekts zu behandeln heißt, nicht verstanden zu haben, was ein technisches Projekt ist. Ein Essay über den Kategorienfehler, der die europäische Software-Industrie schwächt, und darüber, wie der europäische Regulierungsrahmen — als System gelesen, nicht als Liste — einen strukturellen Wettbewerbsvorteil für jene konfiguriert, die ihn zu bewohnen verstehen.

18′ Lesezeit
4.380 Wörter
Lesen →
07.04 2026
№ 54

Das Verhalten ist das neue Credential. Und das ist ein Problem.

Die Cybersicherheit durchläuft einen Wandel, der mehr Aufmerksamkeit verdient, als er bekommt.

11′ Lesezeit
2.310 Wörter
Lesen →
06.04 2026
№ 53

Microsoft hat das perfekte Geständnis geschrieben — und die Rechnung zahlst du

Die Versuchung ist, das als Patzer der Rechtsabteilung abzutun. Falsch. Terms of Use entstehen nicht aus Nachlässigkeit.

19′ Lesezeit
4.080 Wörter
Lesen →
30.03 2026
№ 51

Der blinde Fleck der Advisory: was ein Anbieter weiß, was ein Analyst nicht sieht

Vor einigen Wochen erhielt ich den Bericht eines bekannten Advisory-Hauses zur Bewertung des IT-Service-Markts in unserem Segment.

6′ Lesezeit
1.350 Wörter
Lesen →
25.03 2026
№ 47

Fortschritt ist keine Richtung: Anatomie eines gefährlichen Missverständnisses

Wenn jemand schreit, der Staat ‚bremse den Fortschritt', redet er wirklich von Fortschritt — oder von etwas anderem?

29′ Lesezeit
6.380 Wörter
Lesen →
17.03 2026
№ 42

EU-Compliance 2026: ist Architektur, nicht nur Recht

In den nächsten 18 Monaten verändern CRA, AI Act, PLD, NIS2 und EAA die europäische Software. Compliance ‚abhakt' man nicht: man entwirft sie in der Architektur.

10′ Lesezeit
2.220 Wörter
Lesen →

Governance und das Handwerk der Software in einer Welt voller Zwänge

27.04 2026
№ 59

Die Form der Beschränkung

Regulatorische Compliance als Gegnerin des technischen Projekts zu behandeln heißt, nicht verstanden zu haben, was ein technisches Projekt ist. Ein Essay über den Kategorienfehler, der die europäische Software-Industrie schwächt, und darüber, wie der europäische Regulierungsrahmen — als System gelesen, nicht als Liste — einen strukturellen Wettbewerbsvorteil für jene konfiguriert, die ihn zu bewohnen verstehen.

18′ Lesezeit
4.380 Wörter
Lesen →
30.03 2026
№ 51

Der blinde Fleck der Advisory: was ein Anbieter weiß, was ein Analyst nicht sieht

Vor einigen Wochen erhielt ich den Bericht eines bekannten Advisory-Hauses zur Bewertung des IT-Service-Markts in unserem Segment.

6′ Lesezeit
1.350 Wörter
Lesen →
17.03 2026
№ 42

EU-Compliance 2026: ist Architektur, nicht nur Recht

In den nächsten 18 Monaten verändern CRA, AI Act, PLD, NIS2 und EAA die europäische Software. Compliance ‚abhakt' man nicht: man entwirft sie in der Architektur.

10′ Lesezeit
2.220 Wörter
Lesen →

Wie ich diese Seite nutzen würde

Wenn du CTO oder Head of Engineering bist: Mein operativer Vorschlag ist, diese Fristen wie Release Engineering zu behandeln — explizites Ownership, Meilensteine in der Roadmap, RACI. Nicht Rechtsabteilung mit Code Review.

Wenn du Product Manager bist: Beginne mit dem EAA, wenn du ein Verbraucherprodukt hast, mit dem CRA, wenn du B2B verkaufst. Das sind die zwei mit den greifbarsten Produktimplikationen.

Wenn du eine deutsche Tech-KMU bist: Es ist nicht katastrophisch, aber Entscheidungen sind jetzt nötig auf drei Ebenen — Logging/Audit, SBOM, Vorfallsverfahren. Ich spreche darüber direkt in einigen oben gesammelten Essays.

Wenn du Berater/Advisor bist: Das Fenster, um Readiness-Assessments zu machen, ist jetzt, nicht wenn der erste exemplarische Prozess herauskommt.

Primärquellen (Pflichtlektüre)

Lass uns zusammenarbeiten

Mein Engagement hier ist nicht, dir zu sagen „hier ist die Norm“. Es ist, dir zu helfen, sechs europäische Verordnungen in eine Reihe geordneter Architekturentscheidungen zu verwandeln, mit Roadmap und internem Ownership. Die Rechtsabteilung bleibt notwendig, ist aber nicht der richtige Ort, um zu beginnen.

Für wen das nützlich ist

  • CTOs und Heads of Engineering von Software-Vendoren und SaaS, die auf dem EU-Markt agieren

  • Product Manager, die verstehen müssen, was sich an ihrem Produkt ändert, bevor sie die nächsten vier Quartale planen

  • Gründer von Tech-KMU, die merken, dass die CRA-Frist zu nah ist, um ignoriert zu werden

  • Compliance Officers, die Anforderungen in Backlog übersetzen wollen, nicht in Policy-PDFs

Wie ich arbeite

Readiness-Assessment (2–4 Wochen)

Ich nehme Produkt, Pipeline und Supply Chain und gleiche sie mit den anwendbaren Anforderungen aus CRA, AI Act, PLD, NIS2, EAA und DORA ab. Output: eine Gap-Karte mit Prioritäten, Aufwandsschätzung und Design-in-Empfehlungen.

Compliance-Plan (3–6 Wochen)

Vom Assessment zur Roadmap. Wer macht was, mit welchen messbaren Meilensteinen, synchronisiert mit den EU-Fristen. Ein Dokument, das ein Vorstand genehmigen und ein Team ausführen kann.

Zweite Meinung zu RFPs und Anbietern (1–2 Wochen)

Ich lese einen Anbietervertrag oder ein Kaufangebot und sage dir, ob die Verantwortungskette der neuen PLD und dem CRA standhält. Nützlich vor der Unterschrift.

Operative Fragen

Bist du Anwalt?

Nein. Ich bin Systemarchitekt, der mit Rechtsteams arbeitet. Mein Output ist operativ: Flussdiagramme, RACI, Backlog. Den juristischen Rat gibt dein Anwalt.

Arbeitest du auch zu einzelnen Verordnungen (z. B. nur AI Act)?

Ja, aber widerwillig. Die sechs Verordnungen interagieren auf subtile Weise (z. B. CRA und PLD, AI Act und NIS2, oder NIS2 und DORA). Nur eine zu betrachten verbirgt oft Kosten, die in der zweiten auftauchen.

Wie lange dauert ein typisches Engagement?

Zwei bis sechs Wochen für ein Assessment oder eine Review, zwei bis drei Monate für einen vollständigen Compliance-Plan.

Übernimmst du Delivery oder Zertifizierungs-Audits?

Nein zu beidem. Beratung ist gerade deshalb unabhängig, weil sie keinen Anreiz hat, dir Delivery-Arbeit zu verkaufen. Für die Zertifizierung verweise ich an akkreditierte Stellen.

Schreib mir an hello@margiovanni.it mit zwei Zeilen Kontext. Ich antworte innerhalb weniger Werktage mit einem konkreten Vorschlag oder einem höflichen Nein, wenn es nicht in meinen Bereich fällt.

Möchtest du benachrichtigt werden, wenn ich diese Seite aktualisiere?

Der RSS-Feed DE meldet jede Aktualisierung der Hauptessays. Für direktere Gespräche schreib mir: hello@margiovanni.it.

Questions & answers

Welche europäischen Verordnungen wirken sich 2026–2027 auf Software aus?

Sechs: Cyber Resilience Act (CRA), AI Act, Product Liability Directive (PLD), NIS2, European Accessibility Act (EAA), DORA (sektoral, Finanzwesen). Sie treten zu unterschiedlichen Zeitpunkten zwischen 2024 und 2027 in Kraft, erzeugen aber kumulative Effekte, die die Architektur europäischer Software neu zeichnen.

Ist Compliance ein juristisches oder ein Engineering-Problem?

Beides, aber der Engineering-Aspekt wird systematisch unterschätzt. Diese Verordnungen sind Systemzwänge — Liefertermine für Funktionen (Logs, Audit, SBOM, Barrierefreiheit) mit verbindlichem Datum. Sie als Bürokratie zu behandeln, die am Projektende zu erledigen ist, kostet das 5- bis 10-Fache des Design-in im Vorfeld.

Für wen gilt der Cyber Resilience Act?

Für jedes „Produkt mit digitalen Elementen“, das auf dem EU-Markt verkauft wird: kommerzielle Software, Firmware, vernetzte Geräte, SDK. Viele SaaS fallen in die Kategorie. Die erste Welle der Pflichten (Vorfallmeldung) startet im September 2026, das Hauptpaket im Dezember 2027.

Meine Software ist keine KI: betrifft mich der AI Act?

Potenziell ja. Der AI Act gilt auch für Anbieter von Systemen, die Drittanbieter-KI integrieren (OpenAI, Claude, Gemini APIs etc.), und für die Rolle des „Deployers“ — wer KI nutzt, um Entscheidungen über Personen zu treffen (HR, Kreditvergabe, Sozialleistungen). Die Fristen reichen von Februar 2025 bis August 2027.

Kann ich später anfangen, wenn es mehr Beispiele gibt?

Nein. Compliance-Design-in verlangt Architekturentscheidungen (Logging, Data Retention, SBOM, Barrierefreiheit), die sehr teuer nachzurüsten sind. Wer „abwartet, wie es die anderen machen“, zahlt doppelt.

© 2026 Andrea Margiovanni Mit Sorgfalt, von Hand gemacht