Microphone
WebChat AI

Kontakt aufnehmen

Grafik Checkbox-Häkchen

E-Mail
anfrage@explicatis.com
Telefon
+49 2234 99 303 80

Mo.-Fr. 9 - 17 Uhr

 

Künstliche Intelligenz (KI), Softwareentwicklung, Internet of Things (IoT)

IoT-Entwicklung 2026

Welche neuen EU-Regulierungen Hersteller jetzt kennen müssen

Lesezeit 4 min.

Aktualisiert am 01.04.2026
#IoT#Smart Home

Autor

Bild des Autors

Annalena Holterhoff

Inhalt

Cyber Resilience Act: Security-by-Design wird verpflichtend Radio Equipment Directive: Neue Cybersecurity-Pflichten für Funkgeräte NIS2: Mehr Cybersecurity-Anforderungen entlang der Lieferkette EU Data Act: Neue Regeln für Daten aus vernetzten Geräten AI Act: Relevanz für intelligente IoT-Systeme Internationale Entwicklungen: Auch außerhalb der EU steigt der Druck Fazit: Compliance wird Teil der Produktentwicklung
Die regulatorischen Anforderungen an IoT-Produkte entwickeln sich derzeit schneller als je zuvor. Für Unternehmen, die vernetzte Geräte entwickeln oder einsetzen, bedeutet das: Security, Datenzugriff und Compliance werden zunehmend zum integralen Bestandteil der Produktentwicklung. 2026 markiert dabei einen wichtigen Übergangspunkt. Mehrere EU-Regulierungen treten in die operative Phase ein oder entfalten erstmals konkrete Auswirkungen auf Entwicklungsprozesse. In diesem Artikel geben wir einen Überblick über die wichtigsten regulatorischen Entwicklungen für IoT-Hardware und -Software – mit Fokus auf Europa und Deutschland.

Cyber Resilience Act: Security-by-Design wird verpflichtend

Der EU Cyber Resilience Act (CRA) ist eine der wichtigsten neuen Regulierungen für digitale Produkte mit Software – und damit auch für nahezu alle IoT-Geräte.

Die Verordnung verpflichtet Hersteller dazu, Cybersecurity bereits in der Entwicklung systematisch zu berücksichtigen. Ziel ist es, Sicherheitslücken in vernetzten Produkten deutlich zu reduzieren und die Reaktionsfähigkeit bei Schwachstellen zu verbessern.

Der CRA wird stufenweise umgesetzt:

  • 11. Dezember 2024: Der CRA ist offiziell in Kraft getreten
  • ab 11. September 2026: verpflichtende Meldung aktiv ausgenutzter Schwachstellen und schwerer Sicherheitsvorfälle an das BSI (in Deutschland) und die ENISA
  • ab 11. Dezember 2027: vollständige Anwendung der CRA-Anforderungen für Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden

Für Hersteller bedeutet das insbesondere:

  • Security-by-Design und Security-by-Default in der Produktentwicklung
  • Ein strukturierter Prozess für Vulnerability Management
  • Sichere Update-Mechanismen über den gesamten Produktlebenszyklus
  • Klare Dokumentation von Sicherheitsmaßnahmen

IoT-Hersteller müssen sich damit erstmals systematisch auf regulatorisch überprüfbare Cybersecurity-Prozesse einstellen.

Radio Equipment Directive: Neue Cybersecurity-Pflichten für Funkgeräte

Bereits seit August 2025 gelten zusätzliche Sicherheitsanforderungen im Rahmen der Radio Equipment Directive (RED).

Sie betreffen insbesondere IoT-Geräte mit Funktechnologien wie: WLAN, Bluetooth, Mobilfunk (LTE/5G) und andere drahtlose Kommunikationsstandards.


Die neuen Vorgaben zielen vor allem auf drei Bereiche: 

  • Schutz der Netzwerke vor Angriffen über Geräte
  • Schutz personenbezogener Daten und Privatsphäre
  • Schutz vor Betrug (z. B. Missbrauch von Zahlungsfunktionen)

 

Für viele Hersteller wird 2026 das Jahr der praktischen Umsetzung, da bestehende Produkte und Entwicklungsprozesse an die neuen Anforderungen angepasst werden müssen.

Technisch relevant sind unter anderem:

  • Abgesicherte Kommunikationsprotokolle
  • Sichere Authentifizierungsmechanismen
  • Manipulationssichere Firmware-Updates
  • Robuste Default-Konfigurationen

NIS2: Mehr Cybersecurity-Anforderungen entlang der Lieferkette

Mit der Umsetzung der NIS2-Richtlinie in deutsches Recht werden auch IoT-Hersteller indirekt stärker reguliert.

Zwar richtet sich NIS2 primär an Betreiber kritischer und wichtiger Einrichtungen – etwa in den Bereichen Energie, Industrie, Transport oder Gesundheitswesen.

In der Praxis führt die Richtlinie jedoch dazu, dass Unternehmen ihre Lieferketten stärker absichern müssen.


Für IoT-Hersteller bedeutet das:

  • Mehr Security-Anforderungen in Kundenprojekten
  • Stärkere Audit- und Dokumentationspflichten
  • Höhere Anforderungen an Software-Supply-Chain-Security

Gerade im industriellen Umfeld werden daher Sicherheitsnachweise und Compliance-Dokumentationen zunehmend Teil von Ausschreibungen und Lieferverträgen.

EU Data Act: Neue Regeln für Daten aus vernetzten Geräten

Mit dem EU Data Act, der seit September 2025 gilt, rückt ein weiterer Aspekt stärker in den Fokus: der Zugang zu Daten aus IoT-Geräten.

Die Verordnung verpflichtet Hersteller dazu, Nutzern und Betreibern Zugriff auf bestimmte Gerätedaten zu ermöglichen. Ziel ist es, Datenmonopole aufzubrechen und Innovation zu fördern.

Für Produktentwicklung und Plattformarchitektur ergeben sich daraus neue Anforderungen:

  • Transparente Datenmodelle
  • Standardisierte Datenexport-Mechanismen
  • Klar definierte Zugriffskonzepte
  • Schnittstellen für Datenfreigabe und Datennutzung

IoT-Systeme müssen daher zunehmend so gestaltet werden, dass Daten portabel, nachvollziehbar und kontrolliert zugänglich sind.

AI Act: Relevanz für intelligente IoT-Systeme

Mit dem EU AI Act entsteht erstmals ein umfassender Rechtsrahmen für den Einsatz von Künstlicher Intelligenz.

Für klassische IoT-Geräte spielt die Verordnung zunächst eine untergeordnete Rolle. Anders sieht es jedoch bei intelligenten IoT-Systemen aus – etwa wenn Geräte:

  • KI-basierte Bild- oder Sprachverarbeitung nutzen
  • Automatisierte Entscheidungen treffen
  • Sicherheitskritische Funktionen übernehmen

Je nach Einsatzbereich können solche Systeme als High-Risk-AI eingestuft werden und unterliegen dann zusätzlichen Anforderungen, beispielsweise:

  • Risikomanagement
  • Datenqualitätsanforderungen
  • Dokumentationspflichten
  • Menschliche Kontrollmöglichkeiten

Gerade bei Industrial IoT, Smart Infrastructure oder medizinischen Anwendungen wird dieses Thema in den kommenden Jahren zunehmend relevant.

Internationale Entwicklungen: Auch außerhalb der EU steigt der Druck

Auch außerhalb Europas entstehen neue Sicherheitsanforderungen für vernetzte Geräte.

Ein Beispiel ist das Cybersecurity-Labeling-Programm der US-FCC, das ein Sicherheitslabel für Consumer-IoT-Geräte einführt. Ziel ist es, Verbrauchern transparent zu machen, welche Geräte bestimmte Sicherheitsstandards erfüllen.

Im Vereinigten Königreich gelten bereits seit 2024 neue Anforderungen für Consumer-IoT-Produkte, unter anderem:

  • Keine universellen Standardpasswörter
  • Verpflichtende Offenlegung von Update-Zeiträumen
  • Klare Kontaktmöglichkeiten zur Meldung von Sicherheitslücken

Diese Entwicklungen zeigen: Die regulatorische Dynamik rund um IoT-Security ist ein globaler Trend.

Fazit: Compliance wird Teil der Produktentwicklung

Die neuen regulatorischen Anforderungen verändern die Entwicklung von IoT-Produkten grundlegend.

Cybersecurity, Datenzugriff und regulatorische Nachweise müssen künftig von Anfang an in Architektur, Entwicklungsprozesse und Produktstrategie integriert werden.

Unternehmen profitieren dabei von einem strukturierten Vorgehen:

  • Security-by-Design in Hardware und Software
  • Klare Update- und Vulnerability-Management-Prozesse
  • Transparente Datenarchitekturen
  • Frühzeitige Berücksichtigung regulatorischer Anforderungen

Wer diese Themen früh adressiert, reduziert nicht nur regulatorische Risiken – sondern schafft auch Vertrauen bei Kunden und Partnern. Gerade im industriellen Umfeld wird regulatorische Compliance zunehmend zum Wettbewerbsvorteil.

Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine rechtliche Beratung. Trotz sorgfältiger Recherche können sich regulatorische Anforderungen ändern oder je nach Anwendung unterschiedlich ausgelegt werden.

Entdecken Sie weitere Beiträge

Künstliche Intelligenz (KI), Softwareentwicklung

Die Zukunft der Softwareentwicklung mit KI

3 Trends und unsere Prognose zur Softwareentwicklung mit KI

Lesezeit 5 min.
Blogartikel lesen

Künstliche Intelligenz (KI), Internet of Things (IoT)

KI und das Internet der Dinge (IoT)

KI und das Internet der Dinge (IoT): Ein unschlagbarer Synergieeffekt

Lesezeit 6 min.
Blogartikel lesen

Künstliche Intelligenz (KI)

Effizientes Wissensmanagement mit KI

Entdecken Sie, wie Unternehmen mit KI-gestütztem Wissensmanagement wertvolles Know-how effizient nutzbar machen – sicher, aktuell und individuell anpassbar.

Lesezeit 2 min.
Blogartikel lesen

Jetzt Experten kontaktieren!

Erstberatung und Angebotskalkulation sind kostenlos

Erstgespräch vereinbaren