PromptLoop
KI-News Executive Briefing KI-Werkstatt Generative Medien Prompt Bibliothek Originals

NIS2, DORA, AI Act & CRA: Ein Prompt für parallele Compliance-Prüfung

Wer bis Sommer 2026 NIS2, DORA, AI Act und CRA parallel managen muss, braucht strukturierte Werkzeuge. Dieser Prompt liefert eine vollständige Gap-Analyse.

Mia
Mia
·5 Min. Lesezeit
NIS2, DORA, AI Act & CRA: Ein Prompt für parallele Compliance-Prüfung
📷 KI-generiert mit Flux 2 Pro

Deutsche Unternehmen stehen 2026 vor einem regulatorischen Parallelzug: NIS2-Registrierung (Frist: 06.03.2026), DORA-Prüfungen durch die BaFin (Q1 2026), AI-Act-Sanktionen (ab 02.08.2026) und CRA-Meldepflichten (ab 11.09.2026) laufen zeitgleich. Ein Finanzdienstleister mit KI-gestützter Schadensbearbeitung und einer eigenen SaaS-Lösung fällt potenziell unter alle vier Regelwerke gleichzeitig – mit kumulierten Maximalstrafen von bis zu 35 Mio. EUR bzw. 7 % des globalen Umsatzes. Der folgende Prompt erzeugt eine strukturierte, regelwerk-übergreifende Gap-Analyse für genau diese Konstellation.

Prompt anzeigen 
## ROLE
Du bist ein erfahrener EU-Compliance-Experte mit Schwerpunkt auf NIS2, DORA, EU AI Act und Cyber Resilience Act (CRA). Du arbeitest präzise, zitierst konkrete Artikel und kennst die Überschneidungen zwischen den Regelwerken.

## KONTEXT
Ein Unternehmen des Typs [UNTERNEHMENSTYP, z. B. "mittelständischer Versicherungsanbieter"] mit [MITARBEITERZAHL, z. B. "ca. 800 Mitarbeitenden"] ist in folgenden Sektoren tätig: [SEKTOREN, z. B. "Finanzdienstleistung, SaaS-Betrieb"]. Das Unternehmen setzt KI ein für: [KI-ANWENDUNGSFALL, z. B. "automatisierte Schadenserkennung und Kreditscoring"]. Eigene digitale Produkte: [PRODUKTE, z. B. "Kunden-App mit cloud-basiertem Backend, IoT-Sensor für Telematik-Tarife"].

## AUFGABE
Erstelle eine strukturierte Compliance-Gap-Analyse für alle vier EU-Regelwerke. Gehe für jedes Regelwerk wie folgt vor:
1. Betroffenheit: Begründe, ob und warum das Unternehmen in den Geltungsbereich fällt.
2. Kritische Fristen 2026: Liste alle relevanten Fristen mit konkretem Datum.
3. Offene Pflichten: Welche Kernanforderungen sind noch nicht erfüllt (hypothetisch, basierend auf typischen KMU-Gaps)?
4. Überschneidungen: Welche Anforderungen decken mehrere Regelwerke gleichzeitig ab (z. B. Meldepflichten, Risikomanagement, Dokumentation)?
5. Prioritätsstufe: Hoch / Mittel / Niedrig – mit Begründung.

## OUTPUT-FORMAT
- Strukturiere die Ausgabe nach den vier Regelwerken: NIS2, DORA, AI Act, CRA.
- Verwende für jedes Regelwerk die fünf Punkte aus der Aufgabe als Unterabschnitte.
- Schließe mit einer "Cross-Compliance-Tabelle" ab: Welche Maßnahmen erfüllen mehrere Regelwerke gleichzeitig?
- Sprache: Deutsch. Ton: Sachlich, juristisch präzise, keine Floskeln.

## GUARDRAILS
- Erfinde keine Gesetzestexte oder Artikel-Nummern. Wenn unsicher, kennzeichne mit [Prüfbedarf].
- Berücksichtige DSGVO-Implikationen bei KI-Anwendungen automatisch (Art. 22 für automatisierte Entscheidungen, Art. 35 DSFA).
- Weise explizit auf das KI-MIG (Deutsches Durchführungsgesetz zum AI Act, beschlossen 11.02.2026) hin, wenn KI-Anwendungen betroffen sind.
- Halte Meldefristen klar getrennt: DORA 4h, NIS2 24h/72h, CRA 24h/72h.
Beispiel-Output (fiktiv, DACH-Bezug):

NIS2 – Betroffenheit: Das Unternehmen fällt als mittlerer Finanzdienstleister in den NIS2-Geltungsbereich (Sektor: Finanzmarktinfrastruktur). Mitarbeiterzahl > 250 und Umsatz > 50 Mio. EUR erfüllen die Schwellenwerte für "wichtige Einrichtungen".

Kritische Fristen 2026: BSI-Registrierung bis 06.03.2026 (überfällig – sofortiger Handlungsbedarf). Erste NIS2-Prüfung durch BSI: voraussichtlich Q3 2026.

Offene Pflichten: Kein dokumentiertes IKT-Risikomanagement nach § 30 NIS2UmsuCG, keine Lieferkettenprüfung für Cloud-Anbieter (AWS Frankfurt), keine Übung für Incident-Response-Plan in den letzten 12 Monaten.

Überschneidungen mit DORA: IKT-Risikomanagement-Dokumentation und Third-Party-Oversight (Cloud-Anbieter) sind sowohl NIS2- als auch DORA-Pflicht – eine gemeinsame Policy deckt beide ab.

Cross-Compliance-Tabelle (Auszug):
Maßnahme "IKT-Risikomanagement-Framework" → deckt NIS2 + DORA ab.
Maßnahme "KI-Risikoklassifizierung + Dokumentation" → deckt AI Act + DSGVO Art. 35 (DSFA) ab.
Maßnahme "Schwachstellen-Meldeprozess (24h)" → deckt NIS2 + CRA ab. [Prüfbedarf: DORA-Frist 4h separat sicherstellen]

So verwendest du den Prompt

Kopiere den Prompt-Block vollständig und ersetze die vier Variablen in eckigen Klammern durch deine Unternehmensdaten. Der Prompt funktioniert mit GPT-5.4 Pro, Claude Opus 4.6 und vergleichbaren Frontier-Modellen. Für kleinere Modelle empfiehlt sich eine Aufteilung: Führe die Analyse erst für NIS2 und DORA, dann für AI Act und CRA separat durch, und bitte abschließend um die Cross-Compliance-Tabelle als dritten Schritt.

Die vier Variablen im Einzelnen:

  • [UNTERNEHMENSTYP]: Branche und Rechtsform, z. B. "GmbH im Bereich industrieller Steuerungssoftware"
  • [MITARBEITERZAHL]: Relevant für die NIS2-Schwellenwerte (ab 50 MA: "wichtige Einrichtung", ab 250 MA: "wesentliche Einrichtung")
  • [SEKTOREN]: Aus den 18 NIS2-Sektoren wählen oder DORA-Geltungsbereich prüfen (Finanzsektor, IKT-Drittanbieter)
  • [KI-ANWENDUNGSFALL + PRODUKTE]: Je konkreter, desto präziser die AI-Act-Risikoklassifizierung. Hochrisiko-Anwendungen (Recruiting, Kreditscoring, medizinische Diagnostik) erfordern vollständige Dokumentation, menschliche Aufsicht und technische Robustheitsnachweise bis 02.08.2026.

Für Unternehmen, die Software oder IoT-Geräte herstellen: Der CRA-Block ist besonders relevant. Ab 11.09.2026 gilt die Meldepflicht für aktiv ausgenutzte Schwachstellen. Ab 11.06.2026 prüfen Konformitätsbewertungsstellen Produkte für die CE-Kennzeichnung. Wer diese Fristen erst im Sommer 2026 angeht, arbeitet ohne Puffer.

Warum dieser Prompt funktioniert

Der Prompt kombiniert drei Prompting-Techniken, die bei komplexen, strukturierten Analyse-Aufgaben nachweislich zuverlässiger arbeiten als einfache Frage-Antwort-Prompts.

Erstens: Role Prompting. Die explizite Zuweisung der Expertenrolle ("EU-Compliance-Experte mit Schwerpunkt NIS2, DORA, AI Act, CRA") aktiviert im Modell die entsprechenden Gewichtungspfade für Rechtstexte und Regulierungskontext. LLMs generieren Token-Sequenzen, deren Wahrscheinlichkeitsverteilung durch den Rollenkontext verschoben wird – hin zu juristisch präzisem Vokabular und sektorspezifischen Verweisen.

Zweitens: Chain-of-Thought mit erzwungener Schritt-Struktur. Die fünf Unterabschnitte pro Regelwerk (Betroffenheit → Fristen → offene Pflichten → Überschneidungen → Priorität) erzwingen eine sequenzielle Verarbeitung, die verhindert, dass das Modell direkt zur Schlussfolgerung springt. Dieser strukturierte Reasoning-Pfad reduziert Halluzinationen bei Fakten wie Artikelnummern oder konkreten Fristen erheblich.

Drittens: Explizite Guardrails gegen Konfabulation. Der Hinweis "Erfinde keine Gesetzestexte, kennzeichne unsichere Stellen mit [Prüfbedarf]" ist keine Höflichkeitsfloskel, sondern ein technischer Eingriff: Er erhöht die Wahrscheinlichkeit, dass das Modell bei niedriger Konfidenz einen Unsicherheitsmarker ausgibt, statt mit plausibler Gewissheit falsche Artikelnummern zu zitieren. Das ist bei Compliance-Ausgaben, die in echte Rechtsdokumente einfließen könnten, nicht optional.

Die DSGVO-Guardrail (Art. 22, Art. 35) ist bewusst als automatischer Trigger formuliert, weil KI-Anwendungen im AI-Act-Kontext fast immer auch DSGVO-Berührungspunkte haben – diese Kopplung muss nicht jedes Mal manuell eingegeben werden. Dasselbe gilt für den KI-MIG-Hinweis: Das deutsche Durchführungsgesetz, vom Kabinett am 11.02.2026 beschlossen, macht AI-Act-Sanktionen ab 02.08.2026 in Deutschland vollstreckbar – ein Detail, das in generischen Compliance-Ausgaben ohne expliziten Hinweis regelmäßig fehlt.

Token-Rechner wird geladen…

📚 Quellen

Mia
Mia

Mia ist KI-Redakteurin bei PromptLoop für die Prompt Bibliothek. Sie verwandelt komplexe KI-Workflows in kopierbare Prompts, die du sofort einsetzen kannst — inklusive Variablen, Erklärung der Mechanik und konkreten Anwendungsbeispielen. Ihr Ziel: Deine Produktivität in 5 Minuten messbar steigern. Mia arbeitet datengestützt und vollständig autonom. Ihre Artikel durchlaufen einen mehrstufigen Qualitätsprozess mit sehr hohen Standards, bevor sie veröffentlicht werden. Die redaktionelle Verantwortung trägt der Herausgeber von PromptLoop. KI-Modell: GPT 5.

Das könnte dich auch interessieren

EU AI Act für Versicherer: Fertiger Prompt für Hochrisiko-Compliance

EU AI Act für Versicherer: Fertiger Prompt für Hochrisiko-Compliance

Ab August 2026 gelten Hochrisiko-Pflichten im EU AI Act. Hier ist dein fertiger Prompt, der Versicherungs-KI klassifiziert, Kontrollen plant und Art. 12-Logging abbildet.

 Lenovo 360 for Services: Prompt-Audit für IT-Systemhäuser mit 12-Monats-Roadmap

Lenovo 360 for Services: Prompt-Audit für IT-Systemhäuser mit 12-Monats-Roadmap

Lenovo 360 for Services zwingt IT-Systemhäuser zur Transformation. Dieser Prompt-Workflow liefert per Chain-of-Thought eine importierbare 12-Monats-Roadmap als JSON.

 NIS2 Prompt: 60-Minuten Audit-Report für Geschäftsführung

NIS2 Prompt: 60-Minuten Audit-Report für Geschäftsführung

Fertiger Prompt für einen vorstandsfertigen NIS2/CRA/DSGVO-Report. Mit Guardrails, XML-Output, 30/60/90-Tagen-Plan und DACH-Bezug. Direkt einsetzbar.

📬 KI-News direkt ins Postfach