Compliance 2026: Chain-of-Thought-Prompt analysiert EU AI Act, NIS2 und KRITIS

Drei Regelwerke, drei Behörden, zwei unterschiedliche Meldefristen für denselben Vorfall: Wer in Deutschland eine kritische Infrastruktur oder ein KI-gestütztes System betreibt, sitzt ab Mitte 2026 im Schnittfeld von EU AI Act, NIS2-Umsetzungsgesetz (NIS2UmsG) und KRITIS-Dachgesetz. Das NIS2UmsG ist seit Dezember 2025 in Kraft und betrifft schätzungsweise 29.500 Unternehmen in Deutschland — gleichzeitig fehlen noch immer EU-seitige Leitlinien zur High-Risk-Klassifikation nach Artikel 6 des AI Act, die die Kommission bereits im Februar 2026 hätte veröffentlichen sollen. Der folgende Chain-of-Thought-Prompt nimmt dieses strukturelle Problem auf und übersetzt es in eine maschinenlesbare Analyse- und Priorisierungslogik.

Das Kernproblem ist nicht die Komplexität der einzelnen Regelwerke, sondern ihre fehlende Koordination: Ein AI-gestützter Cyber-Vorfall löst unter NIS2 eine 24-Stunden-Meldepflicht an das nationale CSIRT aus, unter dem AI Act hingegen eine 15-Tage-Frist an die Marktüberwachungsbehörde — mit jeweils anderen Nachweispflichten. CDU/CSU und Grüne kritisierten bei der ersten Lesung des KRITIS-Dachgesetzes im Bundestag (November 2025) explizit die fehlende Abstimmung mit dem NIS2UmsG. Dieser Prompt zwingt das Modell, genau diese Lücken systematisch herauszuarbeiten.

ROLE:
Du bist ein erfahrener Compliance-Architekt mit Spezialisierung auf europäisches Regulierungsrecht
(EU AI Act, NIS2-Richtlinie, KRITIS-Dachgesetz Deutschland). Du analysierst regulatorische
Überschneidungen und erstellst priorisierte Umsetzungs-Roadmaps für konkrete Unternehmensprofile.
Du kennst die aktuellen Implementierungsstände (Stand: Q2 2026).

KONTEXT:
Ab Mitte 2026 überschneiden sich drei Regelwerke im DACH-Raum:
- EU AI Act (Hochrisiko-KI-Anforderungen ab August 2026, Meldefrist 15 Tage an Marktüberwachungsbehörde)
- NIS2-Umsetzungsgesetz Deutschland (in Kraft seit Dezember 2025, Meldefrist 24h an CSIRT,
  Sanktionen bis 20 Mio. EUR oder 2% globaler Umsatz)
- KRITIS-Dachgesetz (erste Lesung Bundestag November 2025, Koordinationsdefizit zu NIS2)

Bekannte Konfliktpunkte:
1. Duale Meldepflichten: Ein KI-gestützter Cyber-Vorfall löst BEIDE Melderegimes gleichzeitig aus.
2. Schwellenwert-Mismatch: "High-Risk" (AI Act) ≠ "kritisches Ereignis" (NIS2).
3. Behörden-Fragmentierung: BSI (NIS2), Marktüberwachungsbehörde (AI Act), KRITIS-Koordinierungsstelle
   sprechen nicht dieselbe Sprache.
4. Fehlende EU-Leitlinien: Artikel-6-Klassifikationsleitlinien des AI Act stehen noch aus (Stand: April 2026).

AUFGABE:
Analysiere Schritt für Schritt (Chain-of-Thought), welche Überschneidungen und Konflikte der drei
Regelwerke für das unten beschriebene Unternehmen konkret entstehen. Erstelle danach eine
priorisierte Umsetzungs-Roadmap mit klaren Handlungsschritten.

Gehe dabei in folgender Reihenfolge vor:
Schritt 1 — Profil-Mapping: Ordne das Unternehmensprofil den Geltungsbereichen der drei Regelwerke zu.
Schritt 2 — Konflikt-Analyse: Identifiziere alle Überschneidungen, Widersprüche und Lücken.
Schritt 3 — Risikobewertung: Bewerte jeden Konfliktpunkt nach Eintrittswahrscheinlichkeit (hoch/mittel/niedrig)
  und Schadenspotenzial (Bußgeld, Reputationsschaden, Betriebsunterbrechung).
Schritt 4 — Roadmap: Erstelle eine nach Priorität und Zeitachse geordnete Umsetzungsliste
  (sofort / bis Q3 2026 / bis Q4 2026 / bis 2027).

VARIABLEN (bitte ersetzen):
- [UNTERNEHMENSTYP]: z.B. Krankenhaus / Energieversorger / Fintech-Plattform / Logistikdienstleister
- [MITARBEITERZAHL]: z.B. 500
- [KI-EINSATZ]: z.B. KI-gestützte Triage-Software / Anomalie-Erkennung im Stromnetz / Kredit-Scoring
- [SITZ]: z.B. München / Wien / Zürich
- [KRITIS-SEKTOR]: z.B. Gesundheit / Energie / Finanz / Transport
- [DATENSCHUTZBEAUFTRAGTER_VORHANDEN]: ja / nein

OUTPUT-FORMAT:
- Schritt 1–3 als strukturierte Liste mit Begründung je Punkt
- Roadmap als Tabelle: Spalten: Maßnahme | Regelwerk | Priorität | Deadline | Verantwortlich
- Abschluss: 3 "Quick Wins" (sofort umsetzbar, ohne externe Hilfe)

GUARDRAILS:
- Keine rechtliche Beratung, nur strukturierte Analyse.
- Weise explizit auf fehlende Leitlinien (Art. 6 AI Act) hin und formuliere Maßnahmen unter Vorbehalt.
- DSGVO-Hinweis: Bei personenbezogenen Daten Art. 35 DSGVO (DSFA) prüfen.
- Keine Annahmen ohne Kennzeichnung als "[Annahme]".
- Wenn Informationen fehlen, formuliere konkrete Rückfragen statt Platzhalterantworten.

Beispiel-Output (fiktiv, DACH-Kontext):

Unternehmensprofil: Privatkrankenhaus München, 520 Mitarbeiter, KI-gestützte Triage-Software (Notaufnahme), KRITIS-Sektor Gesundheit, DSB vorhanden.

Schritt 1 — Profil-Mapping:
✓ EU AI Act: Triage-Software fällt voraussichtlich unter Anhang III, Nr. 5a (medizinische Diagnose) → High-Risk-System. [Annahme: Klassifikation unter Vorbehalt, da Art.-6-Leitlinien noch ausstehen]
✓ NIS2UmsG: Krankenhaus mit >500 Mitarbeitern in Sektor Gesundheit = „wichtige Einrichtung" → vollständige NIS2-Pflichten.
✓ KRITIS-Dachgesetz: Krankenhaus über 30.000 vollstationären Fällen/Jahr = KRITIS-Schwelle wahrscheinlich erreicht → Registrierungspflicht BSI.

Schritt 2 — Konfliktpunkte:
⚠️ Konflikt 1 (KRITISCH): Triage-KI-Ausfall mit Patientendatenverlust → NIS2: Meldung an BSI innerhalb 24h; AI Act: Meldung an Marktüberwachungsbehörde innerhalb 15 Tage. Unterschiedliche Dokumentationspflichten, keine gemeinsame Meldemaske. Risiko: Fristversäumnis durch unklare Zuständigkeit intern.
⚠️ Konflikt 2 (MITTEL): KRITIS-Dachgesetz fordert Resilienzpläne; NIS2UmsG fordert Risikomanagement-Dokumentation — inhaltliche Überschneidung ohne harmonisiertes Template.

Quick Wins:
1. Dual-Meldungs-SOP erstellen: Einen Prozess, zwei Formulare, eine Frist-Checkliste (24h / 15 Tage).
2. Triage-Software beim DSB für DSFA nach Art. 35 DSGVO anmelden.
3. BSI-KRITIS-Registrierungsstatus prüfen (Online-Selbstauskunft BSI, kostenfrei, 30 Minuten).

So verwendest du den Prompt

Füge den Prompt vollständig in GPT-5.4 Pro oder Claude Opus 4.6 ein. Ersetze die sechs Variablen in eckigen Klammern mit deinem konkreten Unternehmensprofil — je präziser die Angaben, desto detailliertere Konfliktzuordnungen erhältst du in Schritt 2. Der KRITIS-Sektor ist dabei die kritischste Variable: Er bestimmt, ob das KRITIS-Dachgesetz überhaupt greift und welche Schwellenwerte (z.B. Patientenzahlen im Gesundheitssektor, versorgter Bevölkerungsanteil im Energiesektor) relevant sind.

Der Prompt ist bewusst ohne feste Antwortlänge gebaut. Das OUTPUT-FORMAT-Feld zwingt das Modell stattdessen zu einer strukturierten Tabelle für die Roadmap und einer nummerierten Quick-Win-Liste — so erhältst du ein direkt weiterverwendbares Dokument statt eines Fließtext-Essays. Für Teams empfiehlt sich ein Follow-up-Prompt: „Erstelle aus der Roadmap einen RACI-Plan für folgende Rollen: [Rollen eintragen]."

Warum dieser Prompt funktioniert

Der Prompt kombiniert drei nachweislich effektive Techniken. Erstens setzt er auf Role Prompting: Die Zuweisung der Rolle „Compliance-Architekt mit Spezialisierung auf europäisches Regulierungsrecht" aktiviert im Modell ein spezifisches Kontext-Cluster, das regulatorisches Vokabular und Argumentationsstrukturen aus juristischen Trainingsdaten bevorzugt — ein Effekt, der in der Prompt-Engineering-Forschung als „persona activation" dokumentiert ist.

Zweitens erzwingt der Chain-of-Thought-Ansatz durch die explizite Vier-Schritte-Sequenz eine schrittweise Dekomposition des Problems. LLMs neigen bei komplexen Mehrfachbedingungen (hier: drei Regelwerke, sechs Variablen) ohne strukturierte Zwischenschritte zu Halluzinationen durch Token-Vorhersage-Shortcuts. Die Schrittstruktur zwingt das Modell, jeden Analyseschritt als Zwischenoutput zu materialisieren, bevor es weiterrechnet — das reduziert inkonsistente Schlussfolgerungen messbar.

Drittens sorgen die Guardrails für regulatorische Ehrlichkeit: Der explizite Verweis auf fehlende Art.-6-Leitlinien des AI Act verhindert, dass das Modell mit falscher Konfidenz klassifiziert. Das „[Annahme]"-Kennzeichnungs-Gebot ist ein einfaches, aber wirkungsvolles Signal, das das Modell dazu bringt, Unsicherheiten sichtbar zu machen statt zu glätten — entscheidend in einem Bereich, wo eine falsch klassifizierte Hochrisiko-KI Bußgelder von bis zu 35 Mio. EUR oder 7% des weltweiten Vorjahresumsatzes nach sich ziehen kann.