Compliance-Fristen-Kalender 2026/27/28

Bereits in Kraft (historische Marker)

02.02.2025 — EU AI Act Art. 4: AI-Literacy-Pflicht für Anbieter und Betreiber von KI-Systemen.
02.08.2025 — EU AI Act GPAI-Pflichten (neu in den Markt gebrachte General-Purpose-AI-Modelle).
06.12.2025 — NIS2UmsuCG in Kraft getreten (DE) — Risikomanagement, Meldepflichten, GF-Innenhaftung § 38 BSIG.

17.01.2026 — DORA (Digital Operational Resilience Act) volle Anwendung für Finanzdienstleister + IKT-Drittanbieter.
06.03.2026 — BSI-Registrierungsfrist für wesentliche/wichtige Einrichtungen nach NIS2 (DE).
07.06.2026 — EU Pay Transparency Directive (2023/970) Umsetzungsfrist: Pflichten ab 100 MA, Joint Pay Assessment ab 5 % Gap.
02.08.2026 — EU AI Act Hochrisiko-Bestimmungen (Anhang III) anwendbar — KI in HR, Bildung, Strafverfolgung.
~Q4 2026 — NISG 2026 (AT) erwartete Inkraftsetzung der NIS2-Umsetzung in Österreich.

02.08.2027 — EU AI Act: GPAI-Bestandsmodelle (vor 02.08.2025 in Verkehr) müssen Anhang-XI-Pflichten erfüllen.
02.12.2027 — Geplant durch Digital-Omnibus-Vorschlag (19.11.2025): EU AI Act Anhang III voll anwendbar [VOLATIL — Trilog läuft, NICHT beschlossen; bis dahin gilt 02.08.2026].
11.12.2027 — Cyber Resilience Act (CRA) Hauptanforderungen anwendbar — Security-by-Design für vernetzte Produkte.
~12/2027 — Fundamental Rights Impact Assessment (FRIA) verpflichtend für Hochrisiko-KI-Betreiber (öffentliche Stellen + private mit öffentlichem Auftrag).

07.06.2028 — EU Pay Transparency: erweiterte Reporting-Pflichten auch für Unternehmen 100-149 MA (alle 3 Jahre).
~10/2028 — NIS2 erste Audit-Welle der zuständigen Behörden in DE/AT erwartet (24-Monats-Zyklen ab Inkrafttreten).