Cloud and AI Development Act 2026
Technische Mindeststandards, Governance-Anforderungen und weitere Pflichten
Inhalte, Pflichten und
Auswirkungen für Unternehmen
Stand: Juni 2026
Lesezeit: ca. 5 Minuten
Das Wichtigste zum Cloud and AI Development Act auf einen Blick
Mit dem geplanten Cloud and AI Development Act verfolgt die Europäische Union das Ziel, einen einheitlichen Rechtsrahmen für Cloud- und KI-Infrastrukturen zu schaffen und die digitale Souveränität Europas zu stärken. Im Mittelpunkt stehen neue technische und organisatorische Anforderungen für Cloud-Dienste, Rechenzentren und KI-basierte Systeme sowie ein abgestuftes Compliance-Modell über sogenannte Assurance Levels.
Besonders betroffen sind Cloud-Anbieter, Hyperscaler, Rechenzentrumsbetreiber, IT-Dienstleister, Softwareunternehmen, öffentliche Auftraggeber sowie KRITIS- und NIS2-relevante Organisationen. Diese müssen sich auf strengere Vorgaben zu Datenlokalisierung, Sicherheitszertifizierungen, Auditpflichten, Open-Source-Governance sowie neue Beschaffungs- und Nachweisprozesse einstellen.
Ergänzend werden Infrastrukturmaßnahmen wie Data Centre Acceleration Zones, ein EU-weites Cloud-Register sowie einheitliche Anforderungen für öffentliche Beschaffung eingeführt. Ziel ist eine stärker harmonisierte, sichere und interoperable Cloud- und KI-Landschaft innerhalb der EU.
Kerndaten des Cloud and AI Development Act
Der Cloud and AI Development Act ist ein unionsrechtlicher Verordnungsvorschlag, der darauf abzielt, einen kohärenten Rechtsrahmen für Cloud- und KI-Dienste innerhalb der Europäischen Union zu schaffen. Er steht in engem Zusammenhang mit bestehenden Regelwerken wie der NIS2-Richtlinie, dem AI Act sowie weiteren Vorgaben aus dem Datenschutz- und Cybersecurity-Bereich.
Zentrales Element ist das sogenannte Union Cloud Sovereignty Framework, das vier Assurance Levels definiert. Diese sollen künftig festlegen, welche technischen, organisatorischen und rechtlichen Anforderungen Cloud-Dienste erfüllen müssen, um in der EU eingesetzt werden zu dürfen oder in öffentlichen Beschaffungen berücksichtigt zu werden. Die Anforderungen reichen dabei von grundlegenden Sicherheits- und Transparenzpflichten bis hin zu stark erweiterten Vorgaben zur Datenlokalisierung, Drittstaatenunabhängigkeit und Auditierbarkeit.
Zur Umsetzung sind verpflichtende Self-Assessments, externe Prüfungen durch akkreditierte Stellen sowie die Veröffentlichung relevanter Informationen in einem europäischen Register vorgesehen. Nationale Aufsichtsbehörden sollen umfassende Befugnisse zur Überwachung und Durchsetzung erhalten.
Hintergrund und Ziele
Der Hintergrund des Gesetzes liegt in der zunehmenden Abhängigkeit Europas von globalen Cloud- und Technologieanbietern sowie in der wachsenden Bedeutung von KI-gestützten Infrastrukturen für Wirtschaft und Verwaltung. Gleichzeitig sieht die Europäische Kommission erhebliche strukturelle Defizite im bestehenden System, insbesondere hinsichtlich einheitlicher Sicherheitsstandards, transparenter Lieferketten und interoperabler digitaler Infrastrukturen.
Ziel des Cloud and AI Development Act ist es daher, die digitale Souveränität der Europäischen Union zu stärken und gleichzeitig ein hohes Sicherheitsniveau für Cloud- und KI-Dienste sicherzustellen. Dazu sollen technische Mindeststandards harmonisiert, Beschaffungsprozesse im öffentlichen Sektor vereinheitlicht und strategische Infrastrukturprojekte durch beschleunigte Verfahren unterstützt werden.
Ein weiterer zentraler Aspekt ist die Förderung von Open Source sowie die Schaffung eines stabilen Rahmens für europäische Innovations- und Cloud-Ökosysteme, um langfristig die Abhängigkeit von außereuropäischen Anbietern zu reduzieren.
Wesentlicher Regelungsinhalt
Der Regelungsinhalt des Vorschlags basiert auf einem mehrstufigen Governance- und Compliance-System für Cloud-Dienste. Im Zentrum steht das Union Cloud Sovereignty Framework mit vier Assurance Levels, die unterschiedliche Anforderungen an Sicherheit, Datenverarbeitung und organisatorische Kontrolle definieren. Mit steigender Stufe nehmen insbesondere Anforderungen an Datenlokalisierung, Zugriffskontrollen, Drittstaatenunabhängigkeit und Auditierbarkeit deutlich zu.
Cloud-Anbieter sollen künftig verpflichtet sein, ihre Dienste selbstständig einzustufen und durch Self-Assessments zu bewerten. Diese Einstufung wird durch externe Audits überprüft und in einem EU-weiten Register dokumentiert. Ergänzend erhalten nationale Behörden umfangreiche Kontroll- und Eingriffsbefugnisse, um die Einhaltung der Vorgaben sicherzustellen.
Ein weiterer wesentlicher Bestandteil betrifft die öffentliche Beschaffung. Hier sollen Risikoanalysen verpflichtend eingeführt werden, wobei die Wahl von Cloud-Diensten künftig stärker an den jeweiligen Assurance Levels ausgerichtet wird. Für kritische Anwendungen können höhere Sicherheitsstufen verbindlich werden.
Im Bereich Infrastruktur sieht der Vorschlag die Einführung sogenannter Data Centre Acceleration Zones vor, innerhalb derer Genehmigungs- und Planungsverfahren für Rechenzentren beschleunigt werden sollen. Zusätzlich können strategische Projekte auf EU-Ebene besonders gefördert und koordiniert werden.
Auch im Bereich Open Source werden neue Anforderungen eingeführt. Unternehmen sollen verpflichtet werden, Open-Source-Governance-Strukturen aufzubauen, Lizenz- und Sicherheitsanforderungen einzuhalten und Wiederverwendungsprozesse systematisch zu berücksichtigen. Ergänzend werden Monitoring- und Föderationsmechanismen geschaffen, die langfristig auf eine stärker integrierte europäische Cloud-Architektur abzielen.
Für Cloud-Anbieter und Betreiber von Rechenzentren ergeben sich besonders weitreichende Auswirkungen. Sie müssen künftig umfassende Anforderungen an Datenlokalisierung, Sicherheitsarchitektur, Subunternehmersteuerung und Software-Lieferketten erfüllen. Darüber hinaus steigen die Anforderungen an Dokumentation, Auditierbarkeit und regulatorische Nachweise erheblich, da die Einstufung in Assurance Levels zentral für die Marktfähigkeit ihrer Dienste wird.
Unternehmen, die in den Anwendungsbereich der NIS2-Richtlinie fallen, sind insbesondere mittelbar betroffen, da sie ihre Cloud-Strategien stärker an regulatorischen Sicherheitsniveaus ausrichten und ihre Due-Diligence-Prozesse entsprechend erweitern müssen.
Insgesamt müssen Unternehmen ihre internen Governance-, Beschaffungs- und Compliance-Strukturen umfassend anpassen, da die neuen Anforderungen nicht nur technische Systeme, sondern auch organisatorische Prozesse und Verantwortlichkeiten betreffen.
Sanktionen und Durchsetzung
Bei Verstößen gegen die Vorgaben des Cloud and AI Development Act sieht der Verordnungsvorschlag ein abgestuftes Sanktionssystem vor. Dieses kann insbesondere den Entzug von Anerkennungen, finanzielle Sanktionen sowie weitere aufsichtsrechtliche Maßnahmen umfassen.
Darüber hinaus können Verstöße auch indirekte Konsequenzen haben, etwa im Rahmen öffentlicher Vergabeverfahren oder durch aufsichtsrechtliche Maßnahmen im Kontext bestehender Cybersecurity-Regime wie der NIS2-Richtlinie.
Die wichtigsten Fragen – kurz beantwortet
Betroffen sind insbesondere Cloud-Anbieter, Rechenzentrumsbetreiber, Software- und IT-Dienstleister, öffentliche Auftraggeber sowie Unternehmen aus KRITIS- und NIS2-relevanten Sektoren.
Unternehmen müssen sich auf umfassende neue Anforderungen in den Bereichen Sicherheit, Datenlokalisierung, Auditierung, Beschaffung und Open-Source-Governance einstellen.
Die öffentliche Beschaffung wird künftig stark an den Assurance Levels ausgerichtet und erfordert verpflichtende Risikoanalysen sowie eine strukturierte Dokumentation der Auswahlentscheidungen.
