Zehn Regulierungsfelder. Zehn Handlungsräume. Manche bereits in Kraft, manche kurz davor – aber alle im selben Zeitfenster.
Wer Teil 1 gelesen hat, kennt die Einzelteile. Was dabei noch nicht sichtbar wird: wie sie aufeinandertreffen – und was das für eine Organisation bedeutet, die keine Gesamtschau hat.
Denn das ist das eigentliche Risiko. Nicht das Gesetz, das Sie kennen. Sondern die Lücke, die entsteht, wenn AI Act, Cyber Resilience Act und neue Produkthaftungsrichtlinie denselben Kalender teilen – und niemand das Zusammentreffen im Blick hatte.
Teil 2 zeigt: Wann was greift. Wer besonders betroffen ist. Und was Unternehmen jetzt konkret vorbereiten sollten.
Branchen-Spotlight: Wer ist besonders betroffen?
Maschinenbau & Produktion
ISO-Revision, CRA (vernetzte Maschinen), neue Produkthaftungsrichtlinie und Data Act (Maschinendaten) treffen diese Branche aus vier Richtungen gleichzeitig. Hinzu kommen produktbezogene Compliance-Anforderungen und – bei internationalen Lieferketten – CBAM.
Chemie & Materialverarbeitung
EUDR, REACH, CBAM und branchenspezifische Gefahrstoffvorschriften machen das Rechtskataster besonders komplex. Die Verknüpfung zwischen eingesetzten Rohstoffen und den zugehörigen Verordnungen ist ohne systematisches Monitoring kaum beherrschbar.
Software & Technologieunternehmen
EU AI Act, CRA, Data Act und neue Produkthaftungsrichtlinie (Software als Produkt) erzeugen hier den höchsten Compliance-Neubedarf. Viele dieser Unternehmen haben bisher kein strukturiertes Rechtskataster – 2026 ändert das.
Lebensmittel & Agrar
EUDR trifft hier mit unmittelbarer Wirkung. Neue EU-Kennzeichnungsanforderungen und die EU-Verpackungsverordnung (ab August 2026) kommen hinzu. Rohstoffketten sind oft lang und schwer zu dokumentieren.
Energie & Versorgung
Energieeffizienzgesetz, ISO 50001-Revision, NIS2 (Kritische Infrastruktur) und CBAM (Stromerzeugung) erzeugen einen dichten Regelungsrahmen. ISO-Audits bei Stadtwerken und Energieversorgern prüfen das Rechtskataster inzwischen regelmäßig und gezielt.
Alle personalintensiven Unternehmen ab 100 Mitarbeitende
Die Entgelttransparenzrichtlinie trifft branchenübergreifend. Die Umsetzungsfrist (7. Juni 2026) ist knapp – und die Überschneidung mit DSGVO, Arbeitsrecht und HR-Prozessen macht die Compliance-Zuständigkeit komplex.
Die Gleichzeitigkeitsfalle: Das eigentliche Risiko
Es ist verlockend, regulatorische Entwicklungen als Einzelthemen zu behandeln. AI Act hier, ISO-Revision dort, CBAM beim Einkauf, NIS2 bei der IT. Diese Trennung ist verständlich – aber sie beschreibt nicht die Realität.
Was 2026 strukturell neu ist: Mehrere tiefgreifende Regulierungsänderungen greifen gleichzeitig. Sie betreffen unterschiedliche Abteilungen, haben unterschiedliche Fristen – aber dieselbe Konsequenz, wenn sie übersehen werden: Haftung auf Leitungsebene, Bußgelder, Reputationsschäden.
Ein Unternehmen, das seine IT-Sicherheit nach NIS2 aufgebaut hat, aber übersehen hat, dass seine vernetzten Geräte unter den CRA fallen, hat eine Lücke. Ein Unternehmen, das CBAM korrekt meldet, aber im Rechtskataster keine Zuständigkeit für die neue Produkthaftungsrichtlinie abgebildet hat, hat eine andere. Beide Lücken entstehen nicht aus Fahrlässigkeit – sondern aus fehlender Gesamtschau.
Genau das ist der Unterschied zwischen einem lebendigen Rechtskataster und einer Themenliste: Das Rechtskataster stellt die Verbindung her – zwischen Rechtsgebieten, Abteilungen, Fristen und Verantwortlichkeiten.
Was Unternehmen konkret vorbereiten sollten
Sofort: Monitoring-Struktur überprüfen
Die ISO-Revision 2026, CBAM und die Produkthaftungsrichtlinie machen deutlich: Quartalsweise PDF-Updates reichen nicht mehr. Wer im nächsten Audit nachweisen muss, dass Gesetzesänderungen zeitnah erkannt und bewertet wurden, braucht einen tagesnahen Informationsprozess.
Prüffragen:
- Wie schnell erfahren Sie von einer relevanten Gesetzesänderung?
- Wer prüft, ob eine Änderung für Ihr Unternehmen gilt?
- Wie wird diese Bewertung dokumentiert?
Mittelfristig: Scope des Rechtskatasters erweitern
Folgende Rechtsgebiete sind in vielen bestehenden Rechtskatastern noch nicht vollständig abgebildet:
- EU AI Act (KI-Governance, Risikoklassifizierung)
- Cyber Resilience Act (Schwachstellenmanagement, Meldepflichten)
- Data Act (Datenzugangsrechte, Vertragsanpassungen)
- CBAM (CO₂-Dokumentation in der Lieferkette)
- Neue Produkthaftungsrichtlinie (Software als Produkt)
- Entgelttransparenz (HR-Compliance-Schnittstelle)
Strukturell: Dokumentation und Nachweisfähigkeit sicherstellen
Das ist die Dimension, die in Audits am häufigsten unterschätzt wird. Auditoren fragen nicht nur: „Haben Sie das Gesetz?“ – sie fragen: „Können Sie belegen, dass Sie es gesehen, bewertet und umgesetzt haben?“
Das erfordert keinen perfekten Compliance-Stand – aber einen belastbaren Prozess: Änderung erkannt → bewertet → zugewiesen → umgesetzt → dokumentiert.
Abschluss: Der richtige Zeitpunkt
Es gibt einen Moment, in dem Unternehmen besonders offen für das Thema Rechtskataster sind: direkt nach einem Audit, bei dem eine Abweichung festgestellt wurde, weil eine Gesetzesänderung nicht dokumentiert war.
Warten Sie nicht auf diesen Moment.
Die regulatorischen Entwicklungen der nächsten 24 Monate sind bekannt. Die Revisionszyklen sind absehbar. Die Anforderungen an Dokumentation und Nachweisführung werden nicht sinken. Und 2026 zeigt erstmals, was es bedeutet, wenn mehrere Regulierungswellen gleichzeitig treffen – ohne Gesamtüberblick.
Wer jetzt handelt, hat die Wahl. Wer wartet, hat sie nicht mehr.
Sie möchten wissen, wie Ihr bestehendes Rechtskataster für die nächsten 24 Monate aufgestellt ist?
Gerne zeige ich Ihnen, wie ein KI-gestütztes Rechtskataster diese Entwicklungen bereits heute abbildet – und wo in Ihrem Setup möglicherweise strukturelle Lücken bestehen.
