Mit dem Digital Omnibus verschiebt die EU die Anwendbarkeit der Hochrisiko-Pflichten des AI Act um 12 bis 18 Monate. Wer 2025 und 2026 seine Compliance-Maschine fest gegen feste Termine gebaut hat, sah am 10. Juli zu, wie sich genau diese Termine bewegten. Das eigentliche Thema ist nicht die neue Frist — es ist das bewegliche Ziel.
Am 10. Juli 2026 verschiebt sich der Boden
Heute, am 10. Juli 2026, ist die formelle Annahme des "Digital Omnibus on AI" Realität geworden. Das Gesetzespaket ändert den EU AI Act an mehreren Stellen — die folgenreichste Änderung ist eine Verschiebung: Die Anwendbarkeit der Pflichten für Hochrisiko-KI wird nach hinten geschoben. Eigenständige Annex-III-Systeme greifen nun erst ab dem 2. Dezember 2027. KI, die in regulierte Produkte nach Annex I eingebettet ist, ist erst ab dem 2. August 2028 erfasst. Die Veröffentlichung im Amtsblatt steht unmittelbar bevor.
Auf dem Papier ist das eine Entlastung. Mehr Zeit, mehr Vorbereitungsspielraum, weniger Druck auf die Roadmap. In der Praxis ist es etwas anderes — und das ist der Punkt, über den heute zu wenig gesprochen wird.
Wer in den letzten anderthalb Jahren ernst genommen hat, was aus Brüssel kam, hat gehandelt. Teams wurden aufgebaut, Audit-Prozesse definiert, Dokumentationspflichten in Sprints gegossen, Budgets gegen konkrete Stichtage geplant. Diese Termine waren das Fundament. Und dieses Fundament ist gerade um 12 bis 18 Monate verrutscht.
Klingt interessant?
Eine Verschiebung ist auch eine Lektion
Es ist verlockend, die Verschiebung schlicht als gute Nachricht zu verbuchen. Ich halte das für zu kurz gegriffen. Die eigentliche Botschaft ist nicht "ihr habt mehr Zeit", sondern "die Zeit, die ihr hattet, war nie verlässlich".
Das regulatorische Ziel bewegt sich — und es bewegt sich in beide Richtungen. Fristen werden verschoben, dann unter politischem Druck wieder vorgezogen. Definitionen von "Hochrisiko" werden geschärft oder aufgeweicht. Pflichten, die heute zentral erscheinen, können in der nächsten Verhandlungsrunde zur Fussnote werden — und umgekehrt. Der Digital Omnibus ist nicht das Ende der Bewegung. Er ist der Beweis, dass Bewegung der Normalzustand ist.
Wer eine Compliance-Architektur baut, die nur funktioniert, wenn der 2. August 2026 der Stichtag bleibt, hat keine Architektur gebaut. Er hat eine Wette platziert. Und am 10. Juli 2026 ist diese Wette für viele nicht aufgegangen — nicht weil sie falsch lag, sondern weil das Spielfeld sich verschoben hat.
Dasselbe Muster kennen wir von der technischen Seite. Wer seinen Stack fest gegen einen einzigen Anbieter, ein einziges Modell oder eine einzige Annahme verdrahtet, baut etwas Fragiles. Es funktioniert genau so lange, wie die Annahme hält. Regulierung ist nur eine weitere Annahme, die sich ändern kann — und gerade geändert hat.
Was das für CTOs und Tech-Leads bedeutet
Drei Konsequenzen, die ich für relevant halte:
Erstens: Hört auf, gegen Termine zu bauen, fangt an, gegen Veränderung zu bauen. Die konkrete Frage ist nicht "Sind wir bis zum 2. Dezember 2027 fertig?", sondern "Wie schnell können wir reagieren, wenn sich dieser Termin wieder bewegt?". Compliance-Anforderungen gehören nicht hart in den Code, sondern in eine Schicht aus Konfiguration und Policy, die sich ändern lässt, ohne dass das System darunter angefasst werden muss. Wer das verinnerlicht, für den ist die nächste Verschiebung eine Konfigurationsänderung — und kein Quartalsprojekt.
Zweitens: Die Verschiebung kostet nichts, das Stillhalten schon. Es wäre ein Fehler, die gewonnenen 12 bis 18 Monate als Pause zu interpretieren. Die Pflichten kommen — nur später. Wer die Vorbereitung jetzt einstellt, baut denselben Stichtag-Druck einfach für 2027 und 2028 wieder auf. Klüger ist, die zusätzliche Zeit zu nutzen, um Flexibilität zu schaffen, statt einen festen Endpunkt anzusteuern.
Drittens: Fragilität entsteht durch feste Annahmen, nicht durch falsche. Eure Architektur darf keine einzelne Annahme als unveränderlich behandeln — weder eine Deadline, noch einen Anbieter, noch ein Modell. Was Veränderung übersteht, ist Flexibilität. Alles andere ist eine Wette mit langer Laufzeit.
Und genau hier kommt nopex ins Spiel
Der Digital Omnibus bestätigt, was wir seit Langem sagen: Das Einzige, worauf man sich in dieser Branche verlassen kann, ist, dass sich die Grundlagen verschieben — die Fristen, die Modelle, die Anbieter, die Regeln. Eine Plattform, die nur unter festen Annahmen funktioniert, ist auf Dauer keine.
nopex ist genau dafür gebaut. Wir kombinieren agentenbasierte Softwareentwicklung mit einer Infrastruktur, die keine harte Single-Vendor-Abhängigkeit schafft und in europäischen Rechenzentren betrieben wird. Compliance-relevante Anforderungen leben bei uns in einer Policy- und Konfigurationsschicht — nicht im Fundament. Verschiebt sich eine Hochrisiko-Frist um anderthalb Jahre, oder wird sie morgen wieder vorgezogen, ändert ihr eine Konfiguration, keine Codebasis. Ihr passt eine Policy an, statt euer System neu zu plattformieren.
Genau das ist der Sinn: Ihr arbeitet weiter, während sich die Regulierung bewegt. Die Frage, welcher Stichtag heute gilt, welches Modell erlaubt ist oder welche Pflicht als Nächstes greift, soll euch nicht aufhalten — darum kümmert sich die Plattform. Der Digital Omnibus hat gerade gezeigt, wie schnell sich der Boden verschieben kann. Die einzige offene Frage ist, ob euer Fundament das mitmacht.


