KW 17 Rückblick

KI ohne Cloud, Com­pli­ance ohne Auf­schub – KW 17 im Rückblick

96 Pro­zent. So hoch ist der Anteil der Unter­neh­men, die in den ver­gan­ge­nen zwei Jah­ren von Ran­som­wa­re getrof­fen wur­den und dabei fest­stel­len muss­ten, dass auch ihre Back­ups ange­grif­fen wur­den. Die­se Zahl aus einer aktu­el­len ESG-Stu­die stand in der ver­gan­ge­nen Woche neben zwei gesetz­li­chen Fris­ten, einem KI-Markt­trend mit ein­deu­ti­ger Rich­tung – und einem Bran­che­n­er­eig­nis, das die Health­ca­re-IT einen Takt beschleunigte.

---

NIS2 und KRI­TIS-Dach­ge­setz: kei­ne Über­gangs­räu­me mehr

Das NIS2-Umset­zungs­ge­setz ist seit Dezem­ber 2025 in Kraft. Die BSI-Regis­trie­rungs­frist lief am 6. März 2026 ab – Unter­neh­men, die sich noch nicht regis­triert haben, befin­den sich im Ver­zug. Back­up-Manage­ment ist dabei einer von zehn gesetz­lich defi­nier­ten Pflicht­be­rei­chen, inklu­si­ve doku­men­tier­ter Recovery-Tests.

Par­al­lel gilt seit dem 17. März 2026 das KRI­TIS-Dach­ge­setz. Betrei­ber kri­ti­scher Anla­gen in den Sek­to­ren Gesund­heit, Ener­gie, Was­ser und Trans­port müs­sen sich bis zum 17. Juli 2026 auf der gemein­sa­men Platt­form von BBK und BSI regis­trie­ren. Gefor­dert sind Busi­ness-Con­ti­nui­ty-Kon­zep­te und phy­si­sche Sicher­heits­nach­wei­se für die Daten­spei­che­rung – kei­ne Emp­feh­lun­gen, son­dern ein­klag­ba­re Anforderungen.

Bei­de Geset­ze erzeu­gen gemein­sam eine Sog­wir­kung, die über klas­si­sche IT-Sicher­heits­bud­gets hin­aus­geht: Wer Com­pli­ance nach­wei­sen muss, braucht nach­weis­ba­re Resi­li­enz – und zwar auf dem Papier wie in der Praxis.

91 Pro­zent wol­len KI ohne Cloud – und der EU AI Act macht Druck

Der Enter­pri­se AI Infra­struc­tu­re Sur­vey 2026, für den 203 KI-Ent­schei­dungs­trä­ger welt­weit befragt wur­den, lie­fert eine kla­re Aus­sa­ge: 91 Pro­zent wür­den bei KI-Anwen­dun­gen mit sen­si­blen Daten lie­ber auf loka­le Ser­ver set­zen als auf Public-Cloud-Lösun­gen. 79 Pro­zent der Unter­neh­men haben KI-Workloads bereits aktiv von der Cloud zurück in eige­ne Infra­struk­tu­ren ver­la­gert. Als Trei­ber nen­nen die Befrag­ten Daten­sou­ve­rä­ni­tät, DSGVO-Kon­for­mi­tät, Latenz und Vendor-Lock-in-Risiken.

Dazu kommt ab August 2026 der EU AI Act: Für Hoch­ri­si­ko-KI-Sys­te­me gilt dann voll­stän­di­ge Com­pli­ance-Pflicht – mit Buß­gel­dern bis zu 15 Mil­lio­nen Euro oder drei Pro­zent des welt­wei­ten Jah­res­um­sat­zes. Die Fra­ge, wo KI-Trai­nings­da­ten lie­gen und wer im Zwei­fels­fall dar­auf zugrei­fen kann, ist damit kei­ne tech­ni­sche Prä­fe­renz mehr, son­dern ein regu­la­to­ri­sches Kriterium.

CLOUD Act, Copi­lot und die Debat­te, die nicht verstummt

Micro­soft-Pro­duk­te ste­hen seit Wochen im Fokus der Sou­ve­rä­ni­täts­de­bat­te. Der CLOUD Act ermög­licht US-Behör­den unter bestimm­ten Vor­aus­set­zun­gen Zugriff auf Daten, die bei ame­ri­ka­ni­schen Anbie­tern lie­gen – unab­hän­gig vom Ser­ver­stand­ort. Für Unter­neh­men, die Copi­lot im Ein­satz haben, bedeu­tet das: Unter­neh­mens­da­ten kön­nen unter die­sem Rechts­rah­men die EU ver­las­sen. Die­se Kon­se­quenz ist in der Fach­öf­fent­lich­keit ange­kom­men, auch wenn sie sel­ten so direkt benannt wird.

Der Gegen­ent­wurf – KI-Infe­renz auf loka­ler, euro­pä­isch kon­trol­lier­ter Hard­ware – gewinnt dabei nicht nur regu­la­to­ri­schen Rück­halt, son­dern auch stra­te­gi­schen. Das Bun­des­mi­nis­te­ri­um für Digi­ta­les för­dert aktiv die Ent­wick­lung einer On-Pre­mi­ses-KI-Platt­form. Und auf dem EU-Gip­fel zur Digi­ta­len Sou­ve­rä­ni­tät war ​„Made in Euro­pe” kein Wer­be­slo­gan, son­dern beschaf­fungs­po­li­ti­sche Forderung.

Was die­se Woche auf Lin­ke­dIn dis­ku­tiert wurde

Die DMEA 2026 – Euro­pas füh­ren­des Event für Digi­tal Health – fand vom 21. bis 23. April in Ber­lin statt und domi­nier­te die Sicht­bar­keit der FAST LTA Unter­neh­mens­sei­te in der ver­gan­ge­nen Woche. Die Mes­se­kom­mu­ni­ka­ti­on rück­te dabei zwei The­men in den Mit­tel­punkt: die Com­pli­ance-Anfor­de­run­gen für Health­ca­re-IT unter NIS2 und KRI­TIS-DachG sowie die Ver­bin­dung zwi­schen Audit-Ergeb­nis­sen und pra­xis­taug­li­chen Daten­si­che­rungs­kon­zep­ten. Der Post zum zwei­ten Mes­se­tag erziel­te mit 62 Reak­tio­nen den höchs­ten Wert aller Cor­po­ra­te-Bei­trä­ge der ver­gan­ge­nen 30 Tage.

Par­al­lel lief in der Fach­com­mu­ni­ty die Debat­te um Micro­soft Copi­lot und den CLOUD Act. Die Fra­ge, was es bedeu­tet, wenn Unter­neh­mens-KI auf Infra­struk­tur eines US-Kon­zerns betrie­ben wird, wur­de kom­men­tiert, geteilt und mit dem 91-Pro­zent-Trend in Ver­bin­dung gebracht. On-Pre­mi­ses-KI war dabei kein Rand­the­ma – son­dern der gemein­sa­me Nen­ner meh­re­rer par­al­le­ler Diskussionen.

Fazit

KW 17 hat drei Ent­wick­lun­gen gebün­delt, die struk­tu­rell zusam­men­ge­hö­ren: Regu­la­to­rik ohne Auf­schub, ein KI-Markt der sich gegen die Cloud ent­schei­det, und eine CLOUD-Act-Debat­te, die die Fra­ge der Daten­sou­ve­rä­ni­tät in die Unter­neh­mens­füh­rung trägt. Wer die­se Signa­le noch als Par­al­lel­ent­wick­lun­gen wahr­nimmt, hat die Kon­ver­genz bereits verpasst.

---

Quel­len

Ran­som­wa­re & Backup-Resilienz

• 96 % der Ran­som­wa­re-Opfer ver­lie­ren auch Back­ups – ESG-Stu­die via secu​ri​ty​-insi​der​.de: https://​www​.secu​ri​ty​-insi​der​.de/​i​m​m​u​t​a​b​i​l​i​t​y​-​b​a​c​k​u​p​s​-​r​a​n​s​o​m​w​a​r​e​-​u​n​v​e​r​a​e​n​d​e​r​l​i​c​h​e​-​s​p​e​i​c​h​e​r​-​a​-​d​8​d​b​f​f​f​8​1​6​5​6​7​4​0​7​8​c​4​2​6​6​f​9​2​b​4​0​6f4a/
• Com­pu­ter­Weekly: Sto­rage-Trends 2026, Ran­som­wa­re bleibt größ­te Bedro­hung: https://​www​.com​pu​ter​weekly​.com/​d​e​/​t​i​p​p​/​S​t​o​r​a​g​e​T​r​e​n​d​s​-​2​0​2​6​-​R​a​n​s​o​m​w​a​r​e​-​b​l​e​i​b​t​-​g​r​o​e​s​s​t​e​-​B​e​d​r​ohung
• BSI / born​ci​ty​.com – World Back­up Day 2026: https://​born​ci​ty​.com/​b​l​o​g​/​2​0​2​6​/​0​3​/​3​1​/​w​o​r​l​d​-​b​a​c​k​u​p​-​d​a​y​-​b​s​i​-​r​u​f​t​-​z​u​r​-​d​a​t​e​n​s​i​c​h​e​r​u​n​g​-auf/

NIS2 & KRITIS-Dachgesetz

• NIS2UmsuCG, Regis­trie­rungs­pflicht BSI – sec​jur​.com: https://​www​.sec​jur​.com/​b​l​o​g​/​n​i​s​2​-​u​m​s​e​tzung
• KRI­TIS-DachG in Kraft seit 17.03.2026, Frist 17.07.2026 – open​kri​tis​.de: https://www.openkritis.de/it-sicherheitsgesetz/kritis-dachgesetz-sicherheitsgesetz‑3 – 0.html
• Bun­des­tag – Beschluss KRI­TIS-Dach­ge­setz: https://​www​.bun​des​tag​.de/​d​o​k​u​m​e​n​t​e​/​t​e​x​t​a​r​c​h​i​v​/​2​0​2​6​/​k​w​0​5​-​d​e​-​k​r​i​t​i​s​c​h​e​-​i​n​f​r​a​s​t​r​u​k​t​u​r​-​1​1​37002

On-Pre­mi­ses-KI & EU AI Act

• Enter­pri­se AI Infra­struc­tu­re Sur­vey 2026 (Cloudian/​Centiment, 203 Ent­schei­der) – 91 % bevor­zu­gen On-Prem für sen­si­ble KI-Daten, 79 % Migra­ti­on aus Cloud: ind​-ai​.net / sto​rage​-insi​der​.de
• EU AI Act, Hoch­ri­si­ko-KI Com­pli­ance ab August 2026: https://​heyda​ta​.eu/​m​a​g​a​z​i​n​/​d​e​r​-​e​u​-​a​i​-​a​c​t​-​v​e​r​a​e​n​d​e​r​t​-​c​o​r​p​o​r​a​t​e​-​c​o​m​p​l​i​a​n​c​e​-​a​b​-​2026/

Digi­ta­le Sou­ve­rä­ni­tät & CLOUD Act

• EU-Gip­fel Digi­ta­le Sou­ve­rä­ni­tät – bmds​.bund​.de: https://​bmds​.bund​.de/​a​k​t​u​e​l​l​e​s​/​a​k​t​u​e​l​l​e​-​m​e​l​d​u​n​g​e​n​/​d​e​t​a​i​l​/​e​u​-​s​u​m​m​i​t​-​d​a​s​-​w​a​r​-​d​e​r​-​g​i​p​f​e​l​-​z​u​r​-​e​u​r​o​p​a​e​i​s​c​h​e​n​-​d​i​g​i​t​a​l​e​n​-​s​o​u​v​e​r​a​e​n​itaet
• Bun­des­mi­nis­te­ri­um för­dert On-Pre­mi­ses-KI-Platt­form: https://​www​.iti​ko​.de/​a​r​t​i​k​e​l​/​2​2​0​2​2​5​8​/​b​u​n​d​e​s​m​i​n​i​s​t​e​r​i​u​m​-​f​-​r​d​e​r​t​-​e​n​t​w​i​c​k​l​u​n​g​-​e​i​n​e​r​-​o​n​-​p​r​e​m​i​s​e​s​-​k​i​-​p​l​a​t​t​f​o​r​m​.html
• DMEA 2026 (21. – 23. April Ber­lin): https://​www​.dmea​.de