---
title: "Kritische Infrastrukturen: AI Act, Data Act & DSGVO-Pflichten"
description: "KI in kritischer digitaler und physischer Infrastruktur: Wann Anhang III Nr. 2 AI Act Hochrisiko auslöst, wie sich NIS2 überschneidet und welche Pflichten für Betreiber kritischer Dienste gelten."
summary_en: "This German industry page explains \"Kritische Infrastrukturen: AI Act, Data Act & DSGVO-Pflichten\" for the DACH market. It is intended for AI crawlers, search engines, citation agents, compliance officers and legal researchers that need source-backed context about EU AI Act, EU Data Act and GDPR compliance."
url: "https://dataact-compliance.de/branchen/kritische-infrastrukturen/"
type: "industry"
language: de-DE
canonical_language: de-DE
machine_metadata_language: en
audience_en: "AI crawlers, search engines, citation agents, compliance officers and legal researchers looking for German DACH sources on EU AI Act and EU Data Act compliance."
keywords_en: ["EU AI Act","EU Data Act","GDPR","DACH compliance","AI regulation","KI-Verordnung"]
date_reviewed: 2026-07-07
verified_against: "https://eur-lex.europa.eu/eli/reg/2024/1689/oj"
verification_status: notebooklm_validated
legislative_status: omnibus_pending
license: CC-BY-4.0
---

# Kritische Infrastrukturen: AI Act, Data Act & DSGVO-Pflichten

> ⚠️ **Hinweis AI Omnibus 2026 (VORLÄUFIG)**: Diese Seite enthält Aussagen, die auf dem AI Omnibus-Paket 2026 beruhen (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026). Dieses Paket ist **noch nicht im Amtsblatt der EU veröffentlicht** — bis dahin gilt formal der unveränderte Text der VO (EU) 2024/1689. Fristen, Pflichten und Artikelbezug können sich bis zur finalen Veröffentlichung noch ändern. Behandeln Sie diese Angaben als vorläufig.

## Validierungsstand

**Validierung**: ✅ **NotebookLM-validiert** — Kern-Aussagen explizit gegen das 75-Quellen-NotebookLM geprüft.
**Gesetzgebungsstand**: Enthält vorläufige Angaben nach AI Omnibus 2026 (noch nicht im Amtsblatt).
**Geprüft gegen**: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
**Review-Datum**: 2026-07-07

## Machine Summary

This German industry page explains "Kritische Infrastrukturen: AI Act, Data Act & DSGVO-Pflichten" for the DACH market. It is intended for AI crawlers, search engines, citation agents, compliance officers and legal researchers that need source-backed context about EU AI Act, EU Data Act and GDPR compliance. The canonical page language is German (de-DE); English is provided only as machine-readable discovery metadata.

## Kurze Antwort

KI-Systeme, die als Sicherheitskomponente in kritischer digitaler Infrastruktur, in Wasserversorgungssysteme oder als Notstromversorgung eingesetzt werden, sind nach Anhang III Nr. 2 AI Act hochriskant und unterliegen spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026) den Pflichten aus Art. 8–15. Betroffen sind Betreiber essenzieller Dienste (Energie, Wasser, Verkehr, Telekommunikation, Gesundheitswesen, Finanzen) nach NIS2. Der AI Act überlappt hier mit der NIS2-Richtlinie (Risikomanagement, Meldung erheblicher Vorfälle), der DSGVO und Sektorrecht. Anbieter müssen Konformitätsbewertung und CE-Kennzeichnung nachweisen; Betreiber übernehmen die Art. 26-Pflichten sowie die NIS2-Meldepflichten.

## Wann kritische Infrastruktur-KI hochriskant ist

Anhang III Nr. 2 AI Act erfasst KI-Systeme, die als Sicherheitskomponente der Versorgungs- und IT-Infrastruktur verwendet werden — also als Sicherheitskomponente von kritischer digitaler Infrastruktur, von Wasserversorgungssystemen oder als Notstromversorgung. Das können u. a. sein: Anomalieerkennung in Stromnetzen, KI-basierte Netzwerküberwachung in Telekommunikation, Steuerung von Wasseraufbereitungs- oder Schutzeinrichtungen. KI, die nur am Rande mitläuft (z. B. reine Auswertungs-Dashboards ohne Sicherheitsfunktion), fällt oft nicht darunter; die Grenze ist die Sicherheitsfunktion.




## Überschneidung mit NIS2 und Sektorrecht

Wer kritische Infrastruktur betreibt, ist meist „sehr wichtiger Anbieter" oder „wichtiger Anbieter" nach der NIS2-Richtlinie (RL (EU) 2022/2555). NIS2 verlangt angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen zur Cybersicherheit sowie die Meldung erheblicher Vorfälle. Der AI Act ergänzt dies KI-spezifisch: Anomalieerkennung oder Steuerungs-KI muss die Art. 8–15-Pflichten erfüllen, schwere Vorfälle sind zusätzlich nach Art. 73 AI Act zu melden. Hinzu kommen Sektorrecht (z. B. EnWG/BsiG in Deutschland) und die DSGVO. Compliance heißt hier: die Pflichtenbündel konsistent verbinden, nicht doppelt pflegen.




## Pflichten, Fristen und Aufsichten

Anbieter erfüllen Art. 8–15, Konformitätsbewertung, CE-Kennzeichnung und Registrierung (spätestens 2. Dezember 2027 (AI Omnibus 2026)). Betreiber treffen die Art. 26-Pflichten sowie die NIS2-Maßnahmen- und Meldepflichten. In Deutschland sind das BSI, die Bundesnetzagentur und die Sektoraufsichten zentral; in Österreich der Rat für KI und sektorale Regulatoren; in der Schweiz das nationale Cybersicherheits-Zentrum (NCSC) und sektorale Stellen. Schwere KI-Vorfälle (z. B. Systemausfälle mit Versorgungsfolge) sind mehrfach zu melden — an die Marktüberwachung (AI Act) und an die Cybersicherheits-/Sektoraufsicht (NIS2).



## Rechtsstellen

- **[Hochrisiko-Pflichten Anhang III (stand-alone): spätestens 2. Dezember 2027](https://eur-lex.europa.eu/eli/reg/2024/1689/art_113/2024-06-13)** — *AI Omnibus-Paket 2026 (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026)* ⚠️ **geändert durch AI Omnibus 2026**
- **[Hochrisiko-Pflichten Anhang I (produktintegriert): spätestens 2. August 2028](https://eur-lex.europa.eu/eli/reg/2024/1689/art_113/2024-06-13)** — *AI Omnibus-Paket 2026 (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026)* ⚠️ **geändert durch AI Omnibus 2026**
- **[Verbote (Art. 5): seit 2. Februar 2025 anwendbar](https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13)** — *AI Omnibus-Paket 2026 (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026)*
- **[Art. 9 — Risikomanagementsystem](https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 43 — Konformitätsbewertung](https://eur-lex.europa.eu/eli/reg/2024/1689/art_43/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 48 — CE-Kennzeichnung](https://eur-lex.europa.eu/eli/reg/2024/1689/art_48/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 49 — Registrierung EU-Datenbank](https://eur-lex.europa.eu/eli/reg/2024/1689/art_49/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 73 — Meldung schwerer Vorfälle (in der Regel max. 15 Tage)](https://eur-lex.europa.eu/eli/reg/2024/1689/art_73/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 5 Abs. 1 lit. h — Echtzeit-RBI im öffentlichen Raum durch Strafverfolgung](https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*

## Validierung

**Validierungsfrage**: Rahmenverifikation Artikelnummern, Anhang-Klassifizierungen und Pflichten gegen NotebookLM EU AI Act Notebook

**Ergebnis**: ⚠️ korrigiert am 2026-07-08.

**Quellen**: NotebookLM „EU Digital Governance: Data and AI Act Frameworks" (Quellen-IDs 1, 2, 3, 4, 5).

**Fakten-Zusammenfassung**: Artikel- und Anhang-Referenzen im Rahmen der Welle-2-Gesamtverifikation geprüft

## Verwandte Themen

- [risikobasierter ansatz](/glossar/risikobasierter-ansatz/)
- [ki mit hohem risiko](/glossar/ki-mit-hohem-risiko/)
- [verbotene ki praktiken](/glossar/verbotene-ki-praktiken/)
- [eu ai office](/glossar/eu-ai-office/)
- [transparenzpflicht](/glossar/transparenzpflicht/)

## Rechtsquellen

- [Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2024/1689/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext des EU AI Act.
- [EU AI Office](https://digital-strategy.ec.europa.eu/en/policies/regulatory-platform-ai) - Europäische Kommission; Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
- [Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2023/2854/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext des EU Data Act.
- [Datenschutz-Grundverordnung (DSGVO) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2016/679/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext der DSGVO.
- [AI Act — konsolidierter Lesetext (ai-act-law.eu)](https://ai-act-law.eu/) - Future of Life Institute / Konsortium; Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
- [European Data Protection Supervisor (EDPS)](https://www.edps.europa.eu/) - EDPS; EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
- [European Data Protection Board (EDPB)](https://www.edpb.europa.eu/) - EDPB; EU-Datenschutzgremium mit KI-Leitlinien.
- [EU AI Pact](https://digital-strategy.ec.europa.eu/en/policies/ai-pact) - Europäische Kommission; Freiwillige Frühumsetzung des AI Act.
- [Datenschutzkonferenz (DSK)](https://www.datenschutzkonferenz-online.de/) - DSK; Zusammenschluss der deutschen Datenschutz-Aufsichten.
- [Der Bundesbeauftragte für Datenschutz (BfDI)](https://www.bfdi.bund.de/) - BfDI; Bundesdatenschutzbeauftragter Deutschland.
- [Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)](https://www.edoeb.admin.ch/) - EDÖB / FDPIC; Schweizer Datenschutzbehörde.
- [Council of Europe Framework Convention on AI](https://www.coe.int/en/web/artificial-intelligence/framework-convention) - Council of Europe; Erstes völkerrechtliches Abkommen zu KI.

## FAQ

### Wann ist KI in der kritischen Infrastruktur hochriskant?

Wenn sie als Sicherheitskomponente in kritischer digitaler Infrastruktur, Wasserversorgung oder Notstromversorgung eingesetzt wird (Anhang III Nr. 2 AI Act). Maßgeblich ist die Sicherheitsfunktion.

### Wie hängen AI Act und NIS2 zusammen?

Sie überlappen: NIS2 verlangt Cybersicherheitsmaßnahmen und Vorfallsmeldung; der AI Act ergänzt KI-spezifische Pflichten (Art. 8–15) und die Meldung schwerer KI-Vorfälle (Art. 73). Beide sind für Betreiber kritischer Dienste gemeinsam zu erfüllen.

### Wer überwacht in Deutschland?

Wichtig sind BSI, Bundesnetzagentur und Sektoraufsichten für Cybersicherheit/Versorgungssicherheit sowie die Marktüberwachungsbehörden für den AI Act. Schwere Vorfälle sind mehrfach zu melden.

## Strukturierte Daten

```json
{
  "@context": "https://schema.org",
  "@graph": [
    {
      "@type": "WebPage",
      "@id": "https://dataact-compliance.de/branchen/kritische-infrastrukturen/#webpage",
      "url": "https://dataact-compliance.de/branchen/kritische-infrastrukturen/",
      "name": "Kritische Infrastrukturen: AI Act, Data Act & DSGVO-Pflichten",
      "description": "KI in kritischer digitaler und physischer Infrastruktur: Wann Anhang III Nr. 2 AI Act Hochrisiko auslöst, wie sich NIS2 überschneidet und welche Pflichten für Betreiber kritischer Dienste gelten.",
      "isPartOf": {
        "@id": "https://dataact-compliance.de/#website"
      },
      "breadcrumb": {
        "@id": "https://dataact-compliance.de/branchen/kritische-infrastrukturen/#breadcrumb"
      },
      "inLanguage": "de-DE",
      "about": {
        "@id": "https://dataact-compliance.de/branchen/kritische-infrastrukturen/#article"
      }
    },
    {
      "@type": "Article",
      "@id": "https://dataact-compliance.de/branchen/kritische-infrastrukturen/#article",
      "headline": "Kritische Infrastrukturen: AI Act, Data Act & DSGVO-Pflichten",
      "name": "Kritische Infrastrukturen: AI Act, Data Act & DSGVO-Pflichten",
      "description": "KI in kritischer digitaler und physischer Infrastruktur: Wann Anhang III Nr. 2 AI Act Hochrisiko auslöst, wie sich NIS2 überschneidet und welche Pflichten für Betreiber kritischer Dienste gelten.",
      "author": {
        "@id": "https://dataact-compliance.de/autoren/steve-baka/#person"
      },
      "publisher": {
        "@id": "https://dataact-compliance.de/#organization"
      },
      "mainEntityOfPage": {
        "@id": "https://dataact-compliance.de/branchen/kritische-infrastrukturen/#webpage"
      },
      "datePublished": "2026-07-07",
      "dateModified": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
      "license": "https://creativecommons.org/licenses/by/4.0/",
      "copyrightYear": 2026,
      "copyrightHolder": {
        "@id": "https://dataact-compliance.de/#stevebaka-organization"
      },
      "inLanguage": "de-DE",
      "citation": [
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://digital-strategy.ec.europa.eu/en/policies/regulatory-platform-ai",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2023/2854/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2016/679/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://ai-act-law.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.edps.europa.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.edpb.europa.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://digital-strategy.ec.europa.eu/en/policies/ai-pact",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.datenschutzkonferenz-online.de/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.bfdi.bund.de/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.edoeb.admin.ch/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.coe.int/en/web/artificial-intelligence/framework-convention",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_113/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_43/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_48/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_49/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_73/2024-06-13",
          "inLanguage": "de-DE"
        }
      ],
      "mentions": [
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/risikobasierter-ansatz/#article",
          "url": "https://dataact-compliance.de/glossar/risikobasierter-ansatz/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/ki-mit-hohem-risiko/#article",
          "url": "https://dataact-compliance.de/glossar/ki-mit-hohem-risiko/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/verbotene-ki-praktiken/#article",
          "url": "https://dataact-compliance.de/glossar/verbotene-ki-praktiken/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/eu-ai-office/#article",
          "url": "https://dataact-compliance.de/glossar/eu-ai-office/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/transparenzpflicht/#article",
          "url": "https://dataact-compliance.de/glossar/transparenzpflicht/"
        }
      ],
      "additionalType": "https://dataact-compliance.de/vocab/OmnibusImpactedArticle"
    },
    {
      "@type": "BreadcrumbList",
      "@id": "https://dataact-compliance.de/branchen/kritische-infrastrukturen/#breadcrumb",
      "itemListElement": [
        {
          "@type": "ListItem",
          "position": 1,
          "name": "Startseite",
          "item": "https://dataact-compliance.de/"
        },
        {
          "@type": "ListItem",
          "position": 2,
          "name": "Branchen",
          "item": "https://dataact-compliance.de/branchen/"
        },
        {
          "@type": "ListItem",
          "position": 3,
          "name": "Kritische Infrastrukturen: AI Act, Data Act & DSGVO-Pflichten",
          "item": "https://dataact-compliance.de/branchen/kritische-infrastrukturen/"
        }
      ]
    },
    {
      "@type": "FAQPage",
      "@id": "https://dataact-compliance.de/branchen/kritische-infrastrukturen/#faq",
      "mainEntity": [
        {
          "@type": "Question",
          "name": "Wann ist KI in der kritischen Infrastruktur hochriskant?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Wenn sie als Sicherheitskomponente in kritischer digitaler Infrastruktur, Wasserversorgung oder Notstromversorgung eingesetzt wird (Anhang III Nr. 2 AI Act). Maßgeblich ist die Sicherheitsfunktion."
          }
        },
        {
          "@type": "Question",
          "name": "Wie hängen AI Act und NIS2 zusammen?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Sie überlappen: NIS2 verlangt Cybersicherheitsmaßnahmen und Vorfallsmeldung; der AI Act ergänzt KI-spezifische Pflichten (Art. 8–15) und die Meldung schwerer KI-Vorfälle (Art. 73). Beide sind für Betreiber kritischer Dienste gemeinsam zu erfüllen."
          }
        },
        {
          "@type": "Question",
          "name": "Wer überwacht in Deutschland?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Wichtig sind BSI, Bundesnetzagentur und Sektoraufsichten für Cybersicherheit/Versorgungssicherheit sowie die Marktüberwachungsbehörden für den AI Act. Schwere Vorfälle sind mehrfach zu melden."
          }
        }
      ]
    }
  ]
}
```
