Ein Bericht aus den letzten Apriltagen signalisiert die Ausweitung des Digital Markets Act (DMA) auf Cloud-Anbieter – ein massiver Eingriff in die digitale Infrastruktur.
Bislang konzentrierte sich das Gesetz auf Verbraucherplattformen wie Suchmaschinen und App-Stores. Künftig sollen auch dominante Cloud-Anbieter als „Gatekeeper“ eingestuft werden. Für die deutsche Wirtschaft, deren Digitalisierung maßgeblich auf Cloud-Diensten von Amazon, Microsoft und Google basiert, könnte dies weitreichende Folgen haben.
Die neuen EU-Vorgaben für Cloud-Dienste und KI-Systeme bringen komplexe Compliance-Anforderungen mit sich, die viele Unternehmen vor Herausforderungen stellen. Dieser kostenlose Leitfaden verschafft Ihnen den notwendigen Überblick über Fristen, Pflichten und Risikoklassen des EU AI Acts. EU AI Act in 5 Schritten verstehen
Cloud-Riesen als neue Gatekeeper
Die Ankündigung vom 30. April spiegelt die wachsende Sorge der EU-Wettbewerbshüter wider: Cloud-Plattformen haben sich von simplen Speicher- und Rechendiensten zu eng verzahnten Ökosystemen entwickelt. Sie bündeln Datenbanken, Entwickler-Tools und proprietäre KI-Modelle – eine vertikale Integration, die laut EU-Wettbewerbskommissarin Teresa Ribera den Wechsel des Anbieters erschwert.
Die Kommission prüft derzeit, ob die Cloud-Sparten der großen Marktführer formal als Gatekeeper eingestuft werden. Eine solche Einstufung würde verbesserte Interoperabilität vorschreiben und den Datentransfer zwischen Diensten erleichtern. Die Regulierer richten den Blick bewusst auf die tiefere Software-Ebene: Cloud-native Architekturen sind heute das Fundament fast aller digitalen Dienste.
Verbraucherschützer begrüßen die Initiative. Einige Branchenvertreter warnen jedoch, dass die Auflagen Datenschutz und Sicherheit erschweren könnten – etwa durch alternative Vertriebswege, die nicht dieselben Sicherheitsstandards erfüllen.
NIS2: Polen macht Tempo, Spanien hinkt
Während die EU neue Cloud-Regeln vorbereitet, bleibt die Umsetzung bestehender Gesetze uneinheitlich. Polen hat die NIS2-Richtlinie erfolgreich in nationales Recht überführt – die Maßnahmen traten am 3. April in Kraft. Dies gelang, nachdem die Kommission gegen mehrere Mitgliedsstaaten ein Vertragsverletzungsverfahren eingeleitet hatte, weil sie die ursprüngliche Frist 2024 verpassten.
Andere große Volkswirtschaften tun sich schwerer. In Spanien steckt das Gesetz zur Cybersicherheitskoordinierung noch im parlamentischen Verfahren. Die Verzögerung zeigt die Komplexität des Übergangs vom alten NIS1-Rahmenwerk zu einem strengeren Regime, das nun auch Universitäten, Forschungseinrichtungen und private Sicherheitsfirmen erfasst.
Die NIS2-Richtlinie bleibt ein Eckpfeiler der Cloud-Sicherheit in Europa. Sie verpflichtet „wesentliche“ und „wichtige“ Einrichtungen zu umfassendem Risikomanagement und Meldepflichten. Schwere Cyberangriffe müssen innerhalb von 24 Stunden gemeldet werden. Die Europäische Agentur für Cybersicherheit (ENISA) beobachtet einen regelrechten Einstellungsboom: Fast 90 Prozent der Organisationen planen, ihre Cybersicherheits-Teams aufzustocken.
Angesichts der strengeren NIS2-Meldepflichten und zunehmender Cyberrisiken ist ein proaktiver Schutz der digitalen Infrastruktur für Unternehmen unerlässlich. Ein kostenloser Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um ihre IT-Sicherheit ohne hohe Investitionen zu stärken. Gratis-E-Book: Cyber-Bedrohungen abwenden
Cyber Resilience Act: Countdown für Hersteller
Parallel zu den Entwicklungen im Cloud-Wettbewerb arbeitet die Kommission an den Details des Cyber Resilience Act (CRA). Bereits im März veröffentlichte sie einen Entwurf, der Herstellern und Entwicklern ihre Pflichten erläutern soll. Das Gesetz reguliert alle Produkte mit „digitalen Elementen“ auf dem europäischen Markt.
Der CRA sieht eine mehrstufige Einführung vor. Bis zum 11. Juni müssen die Mitgliedsstaaten ihre benannten Konformitätsbewertungsstellen melden. Für die Cloud-Entwickler-Community entscheidend: Ab dem 11. September gelten Meldepflichten für ausgenutzte Sicherheitslücken und Vorfälle.
Das Gesetz setzt auf „Security by Design“. Hersteller müssen Risikobewertungen zehn Jahre lang dokumentieren und Sicherheitsupdates über den gesamten Produktlebenszyklus bereitstellen. Für Cloud-native Entwickler betrifft dies auch die Fernverarbeitung von Daten und die Software-Lieferketten moderner Anwendungen. ENISA und die Gemeinsame Forschungsstelle haben bereits begonnen, CRA-Anforderungen mit internationalen Standards abzugleichen.
EUCS in der Sackgasse – AI Act rückt näher
Trotz der Gesetzesflut bleibt ein zentrales Projekt ungelöst: Das europäische Cloud-Sicherheitsschema EUCS, ein freiwilliges Zertifizierungsprogramm von ENISA, steckt fest. Politische Streitigkeiten über „Souveränitätsanforderungen“ – die Anbieter auf höchster Sicherheitsstufe potenziell zwingen würden, ihren Sitz in der EU zu haben – blockieren die endgültige Verabschiedung.
Anfang 2026 ist das EUCS immer noch nicht in Kraft. Stattdessen existiert ein Flickenteppich nationaler Regelungen. Das hat erhebliche Auswirkungen: Mehr als 70 Prozent des EU-Cloud-Marktes werden von Anbietern außerhalb der Union bedient. Zwar wurden Souveränitätsklauseln aus einigen Entwürfen gestrichen, doch mehrere Mitgliedsstaaten drängen auf ihre Wiedereinführung.
Die Dringlichkeit wächst mit dem EU AI Act, der am 2. August vollständig in Kraft tritt. Das Gesetz schafft strenge Datenverwaltungspflichten für Hochrisiko-KI-Systeme. Da viele dieser Systeme auf Cloud-Architekturen basieren, sind Infrastrukturentscheidungen für SaaS-Unternehmen und Finanzinstitute keine rein technischen Fragen mehr. Die Strafen für Verstöße können bis zu sieben Prozent des globalen Jahresumsatzes betragen – ein mächtiger Anreiz, die Cloud-Sicherheitsstrategien an den neuen europäischen Standards auszurichten.
Ausblick: Das regulatorische Superjahr
Die kommenden sechs Monate werden zum Härtetest für die digitale Strategie der EU. Mit der möglichen Ausweitung des DMA auf die Cloud-Ebene versucht die Kommission, Wettbewerbspolitik mit Sicherheits- und Souveränitätszielen zu harmonisieren.
Branchenanalysten erwarten, dass die CRA-Meldepflicht ab September einen Wendepunkt für die Transparenz der Softwareindustrie markiert. Polens erfolgreiche NIS2-Umsetzung zeigt den übrigen Mitgliedsstaaten den Weg. Und mit dem AI Act rückt der Fokus europäischer Unternehmen von theoretischer Compliance auf die praktische Prüfung ihres gesamten Cloud-Stacks.
Bis Ende 2026 dürfte die EU das umfassendste – und komplexeste – Cloud-Sicherheitsregularium der Welt geschaffen haben. Für deutsche Unternehmen heißt das: Jetzt investieren oder später teuer nachrüsten.
