Was die Kommission wirklich angekündigt hat

Am 7. Juli 2026 stellte die EU-Kommission ihren Aktionsplan zu Cybersicherheit und künstlicher Intelligenz vor, und die Exekutiv-Vizepräsidentin Henna Virkkunen brachte es klar auf den Punkt, dass KI die Bedeutung von Cybersicherheit verändert und die Union Schritt halten muss. Auffällig ist, was der Plan nicht enthält, nämlich kein neues Gesetz. Stattdessen fördert er die Umsetzung bereits geltenden Rechts, der NIS2-Richtlinie, des Cyber Resilience Act und der KI-Verordnung. Drei konkrete Schritte stecken darin, eine EU-Bewertungskapazität für die Fähigkeiten und Risiken fortgeschrittener KI-Modelle, ein europäischer Blueprint und eine mit der EU-Cyberagentur ENISA gebaute sichere Testplattform, damit kritische Sektoren KI gefahrlos erproben, und eine EU Grand Challenge, die Forschung und Unternehmen für KI-gestützte Abwehr fördert. Das liest sich weniger wie ein Regelbuch und mehr wie eine Entscheidung, wo Europa selbst mit anpackt.

Warum der Plan eine eigene Prüfkapazität baut

Der Schwerpunkt liegt auf der EU-Bewertungskapazität. Die KI-Verordnung verlangt bereits, fortgeschrittene Modelle vor dem Markt auf Risiken zu prüfen, und der Plan sagt, Europa werde die unabhängige Bewertung stärken, statt einen Anbieter seine eigene Hausaufgabe benoten zu lassen. Das ist ebenso eine Souveränitäts- wie eine Sicherheitsaussage, denn die meisten Spitzenmodelle sind amerikanisch, und Europa will nicht von den Laboren abhängen, die sie bauen, um ihre Sicherheit zu bescheinigen. Die sichere Testplattform dehnt dieselbe Logik auf Betreiber aus und gibt Banken, Krankenhäusern und Netzbetreibern einen kontrollierten Ort, um fortgeschrittene KI ohne Risiko für Produktivsysteme zu erproben. Und der Zeitpunkt hat Gewicht, denn ab dem 2. August 2026 erhält die Kommission ihre Durchsetzungsbefugnisse über Allzweck-KI, einschließlich des Rechts, von Anbietern Auskunft und Maßnahmen zu verlangen. Der Plan ist das Gerüst, das kurz vor diesem Datum hochgezogen wird.

Was ein Betreiber daraus mitnimmt

Diese Woche landet nichts Neues auf Ihrem Compliance-Tisch, und genau das gilt es zu verinnerlichen. Ihre Pflichten aus NIS2 und dem Cyber Resilience Act ändern sich nicht, sitzen nun aber in einem ausdrücklichen KI-Bedrohungsrahmen, denn dieselben Modelle, die Ihre Berichte entwerfen, können auch die Aufklärung automatisieren, Schadcode schreiben und einen Einbruch schneller eskalieren, als ein menschliches Team reagiert. Wer einen Dienst im kritischen Sektor betreibt, sollte damit rechnen, dass die sichere Testplattform zum vorgesehenen Weg wird, einen KI-Einsatz vor regulierten Lasten nachzuweisen, und dass die nationale Behörde, in Deutschland das BSI, den Blueprint in Vorgaben übersetzt, an denen Sie gemessen werden. Die Handlung ist nicht das Ablegen von Papier, sondern das Tempo, denn eine auf menschliche Angreifer eingestellte Abwehr trifft nun auf maschinelle.