Whitepaper: Regulatorische Reife 2026

Kapitel 1 & Executive Summary

2026 ist kein Übergangsjahr. Mit dem AI Act, der NIS2-Richtlinie und dem Digital Operational Resilience Act (DORA) hat die Europäische Union einen Regulierungsrahmen gesetzt, der nicht mehr diskutiert wird – er wird durchgesetzt. Für Unternehmen, die digitale Dienste in Europa anbieten, EU-Kunden beliefern oder mit regulierten Finanzinstituten kontrahieren, ist die Frage der Betroffenheit längst beantwortet. Die entscheidende Frage ist eine andere: Wie gut sind sie vorbereitet?

Regulierung als Strukturtest

Der eigentliche Paradigmenwechsel liegt nicht im Umfang der neuen Regelwerke, sondern in ihrer Logik. AI Act, NIS2 und DORA regulieren nicht primär Produkte – sie regulieren Organisationen. Sie stellen drei Fragen, die heute in jeder Due Diligence, in jedem Kundengespräch und in jeder Finanzierungsrunde auf dem Tisch liegen:

AI Act · NIS2 · DORA – regulieren Organisationen, nicht Produkte.

Unternehmen, die diese Fragen überzeugend beantworten können, durchlaufen Prüfprozesse schneller, mit weniger Auflagen und zu besseren Konditionen. Unternehmen, die es nicht können, bezahlen dafür – in Bewertungsabschlägen, verlangsamten Deals und verlorenen Kunden.

Die Schweizer Ausgangslage

Schweizer Unternehmen stehen vor einem spezifischen Spannungsfeld: Sie agieren in einem pragmatischen nationalen Rechtsrahmen, sind aber tief in europäische Märkte, Lieferketten und Kapitalströme eingebunden. EU-Regulierung erreicht sie nicht primär über Gesetze, sondern über Verträge, Auditrechte und Beschaffungslogiken – der Markt übernimmt die Aufsichtsfunktion.

Was im Schweizer Kontext als ausreichend gilt, ist aus Sicht europäischer Investoren, Kunden und Auditoren nicht zwingend erklär- oder nachweisfähig.

Was das für Bewertungen bedeutet

Regulatorische Defizite werden in M&A-, Finanzierungs- und Kundenprozessen eingepreist – direkt über Bewertungsabschläge oder indirekt über Earn-out-Strukturen, Garantien und Verzögerungen. Je unstrukturierter die Ausgangslage, desto stärker wird der Preis verhandelt.

EU AI Act

5–25 %

Ab August 2026 · Hochrisiko-KI

NIS2

3–10 %

Umsetzungsfrist Okt. 2024 · Cyber-Governance

DORA

5–12 %

Seit Jan 2025 · Operative Resilienz

10–30 %

Indikative Bandbreite bei mehreren Regimen · stark abhängig von Schweregrad, Reparaturaufwand und Verhandlungsdynamik

Entscheidend ist nicht die einzelne Norm, sondern fehlende strukturelle Anschlussfähigkeit. Umgekehrt gilt: Unternehmen mit klarer Governance, belastbarer Dokumentation und nachvollziehbaren Abhängigkeitsstrukturen schließen Deals schneller, mit weniger Auflagen und stärkerer Verhandlungsposition.

Die drei Regime im Überblick

	EU AI Act	NIS2	DORA
Geltung	Ab 2. August 2026 (Hochrisiko-KI)	Umsetzungsfrist Okt. 2024	Seit 17. Januar 2025
Zielgruppe	Provider und Deployer von KI-Systemen	Wesentliche Einrichtungen und ihre Lieferketten	Finanzsektor und ICT-Drittanbieter
Kernfrage	Ist Ihr KI-System dokumentiert, erklärbar und auditierbar?	Ist Ihre Organisation cyber-resilient und führungsfähig?	Sind Drittparteien- und ICT-Strukturen anschlussfähig?
Abschläge (indikativ)	Siehe Regime-Übersicht oben

Was dieses Whitepaper leistet – und was nicht

Dieses Whitepaper verbindet europäische Digitalregulierung mit betriebswirtschaftlicher Realität. Es analysiert typische Muster regulatorischer Defizite, ihre Wirkung auf Due Diligence, Bewertung und Dealstruktur sowie strukturierte Orientierungsrahmen zur Einordnung regulatorischer Reife. Es richtet sich an Geschäftsleitungen, Verwaltungsräte, Investoren und beratende Funktionen, die regulatorische Anforderungen im Zusammenhang mit Strategie, Organisation und Wertschöpfung einordnen möchten.

Das Whitepaper erhebt keinen Anspruch auf Vollständigkeit. Es bietet eine fundierte Lesart aus der Transaktionspraxis – als Grundlage für informierte Entscheidungen in einem Umfeld, das keine Zeit lässt zu warten.

Regulatorische Reife ist kein Selbstzweck. Sie ist ein messbarer Faktor in Bewertungen, ein Vertrauenssignal gegenüber Investoren und Kunden, und 2026 der Unterschied zwischen einer Due Diligence, die reibungslos verläuft, und einer, die Monate kostet. Europäische Digitalregulierung wirkt als Strukturtest für Organisationen – dieser Test findet statt, ob Unternehmen sich darauf vorbereiten oder nicht.

Methodischer Hinweis: Sämtliche in diesem Whitepaper genannten Bewertungsabschläge, Kostenbandbreiten und Scoring-Logiken sind modellbasierte Schätzungen ohne empirischen Marktbezug. Zentrale Regelwerke wie der AI Act treten erst ab August 2026 vollständig in Kraft; belastbare Transaktionsdaten liegen noch nicht vor. Alle Zahlen dienen der Orientierung und der Strukturierung von Diskussionen – nicht der Budgetierung oder verbindlichen Bewertung.

Kapitel 2 – Das Gesamt-Narrativ: Warum sich der Rahmen verändert hat

2.1 Europa verfolgt seit 2020 eine neue digitale Regulierungsagenda

Seit 2020 lässt sich in der Europäischen Union eine strategische Neuausrichtung beobachten. Digitale Technologien, KI und vernetzte Infrastrukturen werden nicht mehr primär als Wachstumshebel verstanden, sondern zugleich als potenzielle systemische Risiken.

Drei Leitmotive prägen diese Entwicklung:

der Anspruch auf technologische Handlungsfähigkeit,
die Stärkung wirtschaftlicher und operativer Resilienz,
sowie der Schutz von Märkten und Akteuren in hochvernetzten Systemen.

Mit Regelwerken wie dem AI Act, der NIS2-Richtlinie und dem Digital Operational Resilience Act (DORA) entsteht ein kohärenter Rahmen, der nicht isolierte Einzelrisiken adressiert, sondern strukturelle Voraussetzungen unternehmerischer Tätigkeit.

2.2 Vom Produkt zur Struktur: Ein regulatorischer Paradigmenwechsel

Ein zentrales Merkmal der neuen EU-Regulierung liegt darin, dass nicht mehr primär einzelne Produkte oder Services reguliert werden, sondern die Systeme, aus denen sie hervorgehen.

AI Act

Datenherkunft & Trainingslogiken
Modellarchitekturen
Risikoanalysen
Monitoring-Mechanismen
Menschliche Aufsicht

NIS2

Security-by-Design
Asset-Inventare
Logging-Pflichten
Management-Verantwortung

DORA

ICT-Risikomanagement
Drittparteien- & Cloud-Transparenz
Test- & Eskalationsmechanismen

Regulierung greift damit tief in technologische, organisatorische und governance-bezogene Grundlagen ein.

2.3 Schweizer Ausgangslage und Bewertungsrelevanz

Für Schweizer Unternehmen entsteht aus dieser Entwicklung eine spezifische Spannungslage. Sie agieren in einem pragmatischen nationalen Rechtsrahmen, sind jedoch häufig in europäische Märkte, Lieferketten und Infrastrukturen eingebunden. Daraus ergeben sich asymmetrische Compliance-Erwartungen, unterschiedliche Governance-Logiken und architektonische Spannungen zwischen nationaler Praxis und europäischer Auditlogik. Was im Schweizer Kontext ausreichend sein kann, ist aus Sicht europäischer Marktteilnehmer nicht zwingend erklär- oder auditfähig.

In Transaktionen wird diese Diskrepanz greifbar: Während Investoren vor 2020 vor allem auf Produkt, Team und Marktpotenzial blickten, haben sich die Bewertungskriterien spürbar erweitert. Ab 2025/2026 rücken zusätzlich in den Fokus:

technologische Architektur,
Governance-Strukturen,
Datenqualität,
Sicherheits- und Resilienzmechanismen,
sowie die Fähigkeit, regulatorische Anforderungen nachvollziehbar zu erfüllen.

In diesem Kontext werden strukturelle Defizite zunehmend als wirtschaftlicher Risikofaktor wahrgenommen. Sie wirken sich auf Due-Diligence-Tiefe, Verhandlungsspielräume und letztlich auf Bewertungsmultiplikatoren aus.

2.4 Extraterritoriale Wirkung und veränderte Führungslogik

Die extraterritoriale Wirkung europäischer Regulierung entsteht weniger durch formale Rechtsbindung als durch Marktmechanismen. EU-Anforderungen greifen faktisch überall dort, wo EU-Daten verarbeitet, EU-Kunden beliefert, EU-Infrastrukturen genutzt oder regulierte EU-Unternehmen als Geschäftspartner auftreten.

Regulierung wird damit über Verträge, Auditrechte und Beschaffungslogiken weitergegeben. Der Markt übernimmt eine Aufsichtsfunktion.

In diesem Umfeld verschiebt sich die Rolle von Compliance. Sie ist nicht länger ein nachgelagerter juristischer Prüfpunkt, sondern ein strukturierendes Prinzip unternehmerischer Organisation. Regulatorische Anforderungen beeinflussen:

Daten- und Prozessflüsse,
System- und Modellarchitekturen,
Logging- und Auditfähigkeit,
Drittparteien-Management,
sowie Entscheidungs- und Eskalationsstrukturen.

Unternehmen, die diese Zusammenhänge frühzeitig berücksichtigen, verbessern nicht nur ihre regulatorische Anschlussfähigkeit, sondern auch ihre operative Steuerbarkeit. Doch welche konkreten Spannungen entstehen, wenn Schweizer Unternehmen auf diesen europäischen Rahmen treffen?

Kapitel 3 – Schweiz und EU: ein strukturelles Spannungsfeld

3.1 Unterschiedliche institutionelle Logiken

Die Schweiz und die Europäische Union beruhen auf grundlegend unterschiedlichen politischen und institutionellen Modellen. Diese Unterschiede wirken sich unmittelbar auf Gesetzgebung, Regulierungsstil und Erwartungshaltungen gegenüber Unternehmen aus.

Schweiz

Direkte Demokratie & Föderalismus
Konsensorientierte Gesetzgebung
Prinzipienbasiert, alltagstauglich
Hohe Auslegungskompetenz

Europäische Union

Supranationale Institutionen
Hochprofessioneller Regulierungsapparat
Technisch detaillierte Regelwerke
Auditfähige Anforderungen

Für Unternehmen bedeutet dies: Sie bewegen sich zwischen zwei Systemen mit unterschiedlichen Anforderungen an Nachweisbarkeit, Dokumentation und formale Steuerungsfähigkeit.

3.2 Gesetzgebung, Einfluss und Entscheidungslogik

In der Schweiz bestehen vielfältige formelle und informelle Möglichkeiten, Gesetzgebungsprozesse mitzugestalten. Volksinitiativen, Referenden und parlamentarische Prozesse sind integraler Bestandteil des Systems.

In der EU liegt das Initiativrecht weitgehend bei der Europäischen Kommission. Unternehmen und Mitgliedstaaten wirken primär konsultativ mit. Der Einfluss erfolgt indirekt, zeitverzögert und in einem komplexen institutionellen Rahmen.

Für Schweizer Unternehmen entsteht daraus eine Asymmetrie: Sie sind faktisch mit Regelwerken konfrontiert, deren Entstehung sie nicht mitgestalten konnten und deren Logik nicht aus ihrem eigenen politischen System stammt.

Die Schweizer Rechtsordnung ist stark legitimationsgetrieben. Entscheidungen sind häufig das Ergebnis langwieriger Aushandlungsprozesse, mit dem Ziel breiter Akzeptanz.

Die EU verfolgt demgegenüber eine stärker technokratische Logik. Regulierung dient der Harmonisierung, Standardisierung und Steuerbarkeit komplexer Märkte. Legitimation entsteht primär über institutionelle Verfahren, nicht über direkte Beteiligung.

Diese Unterschiede prägen auch die Wahrnehmung von Regulierung: Während sie im Schweizer Kontext oft als Rahmen verstanden wird, der Handlungsspielräume eröffnet, wird sie im EU-Kontext als Instrument zur aktiven Strukturierung von Märkten eingesetzt.

3.3 Regulierungsstil: Prinzipien vs. Architektur

Der Unterschied zeigt sich besonders deutlich im Regulierungsstil.

Die Schweiz arbeitet überwiegend mit:

prinzipienbasierten Gesetzen,
offenen Begriffen,
hoher Auslegungskompetenz auf Unternehmensebene.

Die EU setzt zunehmend auf:

technisch detaillierte Regelwerke,
auditfähige Anforderungen,
klar definierte Rollen, Prozesse und Nachweise.

Schweiz

Datenschutz

revDSG – prinzipienbasiert

GDPR – detailliert, auditfähig

Künstliche Intelligenz

Keine sektorübergreifende KI-Regulierung

AI Act – risikoklassenbasiert

Cybersicherheit

Nationale Regelungen, Empfehlungen

NIS2 – verbindlich, managementpflichtig

Finanzmarkt / ICT-Risiko

FINMA-Rundschreiben – prinzipienbasiert

DORA – operativ, auditpflichtig

Diese Unterschiede führen dazu, dass europäische Regulierungen weniger Interpretationsspielraum lassen, dafür aber stärker auf formale Umsetzbarkeit und Kontrolle ausgerichtet sind.

Ein besonders deutliches Beispiel liefert der Finanzsektor: Die FINMA reguliert ICT-Risiken über prinzipienbasierte Rundschreiben (insb. RS 2023/1 «Operationelle Risiken und Resilienz»), die Unternehmen erheblichen Auslegungsspielraum lassen. DORA hingegen verlangt auditfähige Prozesse, definierte Testintervalle und formalisierte Drittparteiensteuerung. Für Schweizer Finanzdienstleister, die mit EU-regulierten Gegenparteien kontrahieren, genügt FINMA-Konformität allein häufig nicht mehr – sie müssen zusätzlich DORA-Anschlussfähigkeit nachweisen können.

3.4 Extraterritoriale Wirkung durch Marktmechanismen

Die EU reguliert Schweizer Unternehmen nicht primär über formale Hoheitsakte, sondern über Marktmechanismen.

Regulatorische Anforderungen greifen faktisch immer dann, wenn Unternehmen:

Der Markt fungiert als Durchsetzungsinstanz – nicht das Gesetz.

Europäische Standards werden über Verträge, Auditrechte und Beschaffungslogiken weitergegeben

3.5 Warum sich das Spannungsfeld ab 2026 zuspitzt

Ab 2026 wirken mehrere Entwicklungen gleichzeitig:

AI Act
schrittweises Inkrafttreten

NIS2
Cyber & Management

DORA
Operative Resilienz

M&A
Regulatorisch geprägt

↓ ↓ ↓ ↓

Kumulierter Anpassungsdruck ab 2026

Diese Gleichzeitigkeit erhöht den Anpassungsdruck erheblich. Unternehmen müssen regulatorische Anforderungen integrieren, die aus einem anderen institutionellen System stammen, ohne dass sie auf nationale Ausgleichsmechanismen zurückgreifen können.

3.6 Strukturelle Folgen und strategische Einordnung

Aus dieser Systemdifferenz entstehen strukturelle Anpassungslasten. Sie manifestieren sich nicht zwingend im Tagesgeschäft, werden jedoch in Stresssituationen sichtbar – etwa bei Incidents, Audits oder Transaktionen.

Fehlende oder inkonsistente Strukturen wirken sich aus durch:

verlängerte Prüfprozesse,
erhöhte Unsicherheit bei Investoren,
zusätzliche Auflagen in Verträgen,
sowie Bewertungsabschläge.

Diese Effekte sind weniger Ausdruck einzelner Regelwerke als Folge fehlender organisatorischer Übersetzungsfähigkeit.

Das beschriebene Spannungsfeld stellt für Schweizer Unternehmen eine strategische Herausforderung dar. Gleichzeitig eröffnet es Handlungsspielräume.

Unternehmen, die frühzeitig Strukturen aufbauen, um regulatorische Anforderungen nachvollziehbar, skalierbar und auditfähig zu integrieren, verbessern ihre Anschlussfähigkeit an europäische Märkte. Solche Ansätze sind eine praktikable Antwort auf die systemischen Unterschiede in einem zunehmend regulierten Umfeld.

Das Spannungsfeld zwischen Schweiz und EU ist kein temporäres Phänomen, sondern Ausdruck unterschiedlicher institutioneller Logiken. Unternehmen, die diese Unterschiede erkennen und strukturell adressieren, können regulatorische Anforderungen in einen Wettbewerbsvorteil übersetzen. Unternehmen, die sie ignorieren, tragen ein erhöhtes Risiko – nicht primär rechtlich, sondern organisatorisch und ökonomisch.

Diese Risiken sind kein abstraktes Szenario. In Transaktionen, Audits und Kundenbeziehungen verdichten sie sich zu messbaren Defiziten – und genau dort setzt das nächste Kapitel an.

Kapitel 4 – Kumulierte regulatorische Defizite als Bewertungsfaktor

4.1 Einordnung und Charakteristik

Der Begriff Technical Debt ist in der Technologiepraxis etabliert. Er beschreibt strukturelle Altlasten, die entstehen, wenn Architektur- oder Designentscheidungen vertagt werden. In Markt- und Transaktionskontexten lässt sich seit einigen Jahren ein vergleichbares Phänomen beobachten: kumulierte regulatorische Defizite. Gemeint sind nicht einzelne Rechtsverstöße, sondern Abweichungen zwischen regulatorischen Anforderungen und der tatsächlichen organisatorischen, technischen und dokumentarischen Leistungsfähigkeit eines Unternehmens. Diese Defizite bleiben im operativen Alltag häufig latent, entfalten ihre Wirkung jedoch abrupt in Audits, Due Diligences oder Transaktionen.

Regulatorische Defizite sind primär ein Struktur- und Architekturthema, nicht allein ein juristisches Problem. Sie entstehen insbesondere dort, wo:

Dokumentation unvollständig oder inkonsistent

Risiken nicht systematisch analysiert

Governance unklar oder fragmentiert

Systeme nicht audit- oder erklärfähig

CH/EU-Dualität organisatorisch nicht übersetzt

Datenflüsse und Abhängigkeiten nicht nachvollziehbar

Im Tagesgeschäft bleiben diese Punkte oft ohne unmittelbare Konsequenz. In Transaktionssituationen werden sie jedoch zu zentralen Bewertungsthemen.

4.2 Ursachen und Bewertungsperspektive

Marktbeobachtungen zeigen, dass sich regulatorische Defizite regelmäßig aus einer Kombination folgender Faktoren ergeben: unzureichende oder nicht gepflegte Dokumentation, inkonsistente technische oder organisatorische Architekturen, fehlende Übersetzung zwischen nationalen und EU-Anforderungen, unklare Verantwortlichkeiten und Entscheidungswege sowie technische oder organisatorische Blind Spots, insbesondere bei Daten, KI-Modellen und Drittparteien. Diese Ursachen wirken selten isoliert, sondern verstärken sich gegenseitig.

In M&A-Prozessen analysieren Investoren regulatorische Defizite typischerweise entlang vier Dimensionen:

Time to Remediate: Wie lange dauert es, die Defizite zu beheben?
Cost to Remediate: Welche finanziellen Aufwände sind erforderlich?
Risk Exposure: Welche Risiken bestehen bis zur Behebung?
Delay Impact: Welche Verzögerungen entstehen für Wachstum, Produktentwicklung oder Marktzugang?

Time to Remediate

Wie lange dauert die Behebung der Defizite?

Cost to Remediate

Welcher finanzielle Aufwand ist erforderlich?

Risk Exposure

Welche Risiken bestehen bis zur Behebung?

Delay Impact

Welche Wachstums- und Marktzugangsverzögerungen?

Je länger, teurer und riskanter die Behebung eingeschätzt wird, desto stärker wirken sich regulatorische Defizite auf Bewertungsmultiplikatoren aus.

4.3 Indikative Bewertungsabschläge

In Transaktionen werden regulatorische Defizite häufig pauschal oder implizit bepreist (zu den indikativen Bandbreiten siehe Kapitel 1). Entscheidend ist nicht die einzelne Norm, sondern die Gesamtsituation – je chaotischer die Ausgangslage, desto stärker wird verhandelt.

4.4 Typische Indikatoren und Schweizer Relevanz

Regulatorische Defizite werden in Due-Diligence-Prozessen insbesondere dort sichtbar, wo:

Architektur- oder Abhängigkeitsdiagramme fehlen

Datenflüsse nicht konsistent beschrieben

KI-Modelle nicht dokumentiert oder erklärbar

Policies nicht versioniert oder operationalisiert

Logging- und Monitoring-Konzepte lückenhaft

Verantwortlichkeiten nicht klar zugeordnet

Solche Befunde führen selten unmittelbar zu Deal-Abbrüchen, aber häufig zu Nachverhandlungen, Auflagen oder Bewertungsanpassungen. Für Schweizer Unternehmen ist diese Dynamik besonders relevant, da:

EU-Exposure in vielen digitalen Geschäftsmodellen strukturell gegeben ist,
nationale Regelungen häufig weniger formalisierte Nachweise verlangen,
Implementierungsaufwände europäischer Standards unterschätzt werden,
Einflussmöglichkeiten auf EU-Regulierung begrenzt sind.

Die Herausforderung liegt weniger im Recht selbst als in der organisatorischen Übersetzung. In der Praxis lassen sich regulatorische Defizite insbesondere durch systematische Dokumentation zentraler Strukturen, klare Governance- und Entscheidungsmodelle, konsistente technische Architekturen und priorisierte Roadmaps zur regulatorischen Anschlussfähigkeit reduzieren. Die Ausgestaltung hängt vom Geschäftsmodell und Kontext ab.

4.5 Fazit

Kumulierte regulatorische Defizite sind 2026 ein wesentlicher, häufig unterschätzter Bewertungsfaktor. Unternehmen, die strukturelle Anschlussfähigkeit herstellen, verbessern Skalierbarkeit, Vertrauen und Verhandlungsposition. Unternehmen, die regulatorische Defizite ignorieren, tragen erhöhte Risiken – nicht primär rechtlich, sondern ökonomisch und organisatorisch.

Wie diese Defizite in der Praxis eingepreist werden, zeigt sich besonders deutlich in Transaktions- und Due-Diligence-Prozessen – der Perspektive, die Kapitel 5 einnimmt.

Kapitel 5 – Die Investorensicht: Wie Due Diligence 2026 funktioniert

5.1 Ein veränderter Bewertungsrahmen

M&A-, Venture-Capital- und Private-Equity-Prozesse haben sich seit 2020 spürbar verändert. Während früher Produkt, Markt und Team im Vordergrund standen, haben sich die Bewertungskriterien bis 2026 erweitert.

Neben klassischen Faktoren gewinnen zunehmend an Bedeutung:

Diese Faktoren wirken nicht isoliert, sondern beeinflussen Skalierbarkeit, Risikoeinschätzung und Dealstruktur.

5.2 Der Perspektivwechsel in der Due Diligence

In vielen Transaktionen lässt sich ein Perspektivwechsel beobachten. Neben der Frage, ob ein Produkt funktioniert, tritt zunehmend eine zweite Ebene:

Kann das Unternehmen unter regulatorischen Rahmenbedingungen skalieren?

Investoren prüfen dabei weniger juristische Detailfragen als strukturelle Voraussetzungen, etwa:

ob KI-Systeme dokumentiert und erklärbar sind,
ob Sicherheits- und Logging-Konzepte auditfähig sind,
ob Resilienz nicht nur technisch, sondern organisatorisch verankert ist,
ob Datenherkunft und -verarbeitung nachvollziehbar sind.

Compliance wird damit nicht als Kontrollinstrument verstanden, sondern als Indikator für Skalierungsfähigkeit.

5.3 Drei Risikodimensionen in der Bewertung

In der Bewertung lassen sich regelmäßig drei Risikodimensionen unterscheiden:

Produkt- & Marktrisiken

Weiterhin relevant, aber nicht mehr allein ausschlaggebend

Architektur- & Organisationsrisiken

Dokumentation, Datenflüsse, Governance, Security, Resilienz

Regulatorische Risiken

AI Act, NIS2, DORA – wirken häufig multiplikativ auf Preis und Dealstruktur

5.4 Differenzierung der Due-Diligence-Typen

Die klassische Legal Due Diligence hat sich in vielen Transaktionen ausdifferenziert. Typischerweise werden heute geprüft:

Governance DD

Weiterentwicklung der klassischen Legal DD – Strukturen, Verantwortlichkeiten, Policies

Architecture & Integrity DD

Früher Tech DD, heute stärker strukturell geprägt – Systeme, Abhängigkeiten, Dokumentation

Data & AI DD

Neu durch AI Act und datengetriebene Modelle – Datenherkunft, Modelle, Erklärbarkeit

Cyber & Resilience DD

Verstärkt durch NIS2 und DORA – Security, Logging, BC/DR, Incident-Response

Fehlende Dokumentation oder mangelnde Auditfähigkeit wirken sich dabei regelmäßig negativ aus – unabhängig von der Produktqualität.

5.5 Einpreisung regulatorischer Defizite

Regulatorische Defizite werden in der Praxis entlang mehrerer Dimensionen bewertet:

Je nach Ausprägung können diese Faktoren zu Bewertungsabschlägen, Earn-out-Strukturen oder zusätzlichen Garantien führen. Entscheidend ist dabei weniger die formale Nonkonformität als das Vertrauen, das das Zielunternehmen insgesamt aufbaut – oder eben nicht.

5.6 Indikative Kostenbandbreiten

Die Bandbreiten variieren stark nach Unternehmensgröße, Komplexität und Ausgangslage:

Diese Aufwände werden in Bewertungen nicht immer explizit ausgewiesen, fließen jedoch in die Preisfindung und Verhandlungslogik ein.

5.7 Typische Leitfragen von Investoren

Unabhängig von Dealgröße oder Branche wiederholen sich in Due Diligence häufig Fragen wie:

Wie schnell lassen sich regulatorische Anforderungen integrieren?
Ist die AI-Act-Dokumentation vorhanden und belastbar?
Gibt es Logging- und Incident-Management-Strukturen?
Sind Outsourcing-Verträge regulatorisch anschlussfähig?
Wie ist die Datenqualität dokumentiert?
Sind Verantwortlichkeiten auf Managementebene klar zugeordnet?
Wie auditfähig ist die Organisation insgesamt?

Diese Fragen zielen weniger auf formale Compliance als auf organisatorische Reife.

5.8 Due Diligence als Organisations- und Führungstest

In Summe wirkt Due Diligence 2026 zunehmend als Test organisationaler Steuerungsfähigkeit. Bewertet werden nicht nur Produkte oder Technologien, sondern:

Ein starkes Team bleibt wichtig – seine Wirkung entfaltet sich jedoch nur dann voll, wenn die organisatorischen Grundlagen skalierbar sind.

5.9 Fazit

Regulatorische Reife ist zu einem relevanten Faktor der Wertschöpfung geworden. Für Investoren ist sie kein Selbstzweck, sondern ein Indikator dafür, ob Wachstum unter realen Markt- und Regulierungsbedingungen tragfähig ist.

Unternehmen, die regulatorische Anforderungen strukturiert integrieren, verbessern nicht nur ihre Compliance, sondern auch ihre Verhandlungsposition und Bewertungsstabilität.

Um diese Bewertungslogik in ein konkretes Analyse-Instrument zu überführen, braucht es eine Methodik, die Komplexität reduziert, ohne sie zu trivialisieren. Die Regulatory Heatmap bietet einen solchen Rahmen.

Kapitel 6 – Regulatory Heatmap 2026: Orientierungslogik für die Praxis

6.1 Einordnung: Warum eine Heatmap hilfreich sein kann

Die europäische Digitalregulierung 2026 ist kein Nebeneinander einzelner Regelwerke mehr, sondern ein komplexes Regulierungsökosystem. AI Act, NIS2 und DORA – die drei Kernregime dieses Whitepapers – wirken gleichzeitig und überlagern sich technisch, organisatorisch und wirtschaftlich. Ergänzend wirken GDPR, Data Act und DSA/DMA, die im Folgenden nicht eigenständig behandelt, aber in der Heatmap als Kontextfaktoren berücksichtigt werden.

Die Regulatory Heatmap 2026 ordnet diese Anforderungen nicht isoliert, sondern in ihrer kombinierten Wirkung ein – als heuristisches Instrument, das Komplexität strukturiert, ohne sie zu vereinfachen.

6.2 Die beiden Analyseachsen der Heatmap

Die Heatmap basiert auf zwei Dimensionen, die sich in Markt- und Transaktionskontexten als besonders relevant erwiesen haben:

X-Achse: Regulatorische Tiefe– beschreibt, wie tief regulatorische Anforderungen in Prozesse, Governance und Organisation eingreifen(1 = gering, 4 = sehr hoch)

Y-Achse: Technische Invasivität– beschreibt, wie stark bestehende IT-, Daten- oder Systemarchitekturen betroffen sind(1 = oberflächlich, 4 = systemkritisch)

Die Kombination dieser Achsen erlaubt eine strukturierte Einordnung regulatorischer Themenfelder.

6.3 Die vier Zonen der Heatmap (Leseraster)

Zur besseren Orientierung lassen sich vier Zonen unterscheiden:

Grün: geringe strukturelle Auswirkungen
Gelb: operative oder organisatorische Schwächen
Orange: substanzielle strukturelle Risiken
Rot: hohe kumulative Wirkung auf Bewertung, Zeit und Kosten

Diese Einteilung beschreibt beobachtete Effekte, keine zwingenden Folgen.

Regulatorische Tiefe 1

Reg. Tiefe 2

Reg. Tiefe 3

Reg. Tiefe 4

Tech. Invasivität 4

NIS2 Logging

AI Act Hochrisiko

DORA ICT-Risk

AI Act Daten

Tech. Invasivität 3

GDPR Datenflüsse

Data Act

NIS2 Governance

DORA Third-Party

Tech. Invasivität 2

Logging Basis

Policies

DORA BC/DR

NIS2 Lieferkette

Tech. Invasivität 1

Risk Ownership

Dokumentation

Awareness

Governance-Lücken

6.4 Zonen Rot und Orange – hohe und substanzielle Wirkung

Aus struktureller Sicht dürften bestimmte Regulierungsbereiche besonders wirkungsstark sein, da sie technisch invasiv sind und tief in Governance-Strukturen eingreifen.

Zone Rot – Typische Beispiele

AI Act – Hochrisiko-KI: Hohe Anforderungen an Dokumentation, Governance und technische Kontrolle
AI Act – Datenqualität: Fehlende Nachweise zur Datenherkunft erschweren Zertifizierung
NIS2 – Governance: Verstärkte Managementverantwortung und Auditfähigkeit erforderlich
DORA – ICT-Risiko & Third-Party: Besonders relevant im Finanz- und Versicherungsumfeld; unklare Verträge führen zu strukturellem Nachholbedarf

Indikative Bewertungswirkungen könnten im Bereich von 12–30 % liegen, begleitet von mehrmonatigen Verzögerungen. In der Zone Orange liegen Themen, die regelmäßig erhöhten Umsetzungsaufwand verursachen, ohne zwingend dealkritisch zu sein:

Zone Orange – Typische Themen

GDPR-Datenflüsse und Rechtsgrundlagen
Data Act – Interoperabilität und Zugangsrechte
DORA – Business Continuity & Resilienztests
NIS2 – Lieferketten- und Drittparteienrisiken

Remediation: typischerweise 3–9 Monate

6.5 Zonen Gelb und Grün – Schwächen und Stabilitätsfaktoren

Zone Gelb – Organisatorische Schwächen

Unvollständige oder nicht versionierte Policies
Unklare Awareness- und Trainingskonzepte
Einfache Governance-Lücken

Vergleichsweise schnell behebbar, kumulativ jedoch relevant

Zone Grün – Stabilisierende Elemente

Konsistentes Logging & Monitoring
Dokumentierte Daten- und Modellstrukturen
Klare Risk Ownership und nachvollziehbare Eskalationspfade
Robuste Sicherheitsarchitekturen

Schaffen Vertrauen bei Partnern und Investoren

6.6 Branchenspezifische Einordnung (indikativ)

Die Wirkung regulatorischer Anforderungen variiert stark nach Branche:

AI Act

NIS2

DORA

GDPR

FinTech / Banking

Hoch

Mittel

Hoch

Mittel

HealthTech

Hoch

Mittel

Gering

Hoch

SaaS / Plattformen

Mittel

Manufact. / IoT

Mittel

Hoch

Gering

E-Commerce

Gering

Minimal

Mittel

Diese Einordnung dient der Orientierung und ersetzt keine individuelle Analyse.

6.7 Fazit

Investoren und Unternehmen nutzen vergleichbare Raster, um regulatorische Schwerpunkte zu lokalisieren, Remediation-Aufwände abzuschätzen, Bewertungsrisiken zu diskutieren und Post-Merger-Roadmaps zu priorisieren. Die Regulatory Heatmap 2026 ist kein Instrument zur Vereinfachung regulatorischer Realität, sondern zur Strukturierung komplexer Zusammenhänge. Ihre Aussagekraft liegt nicht in Exaktheit, sondern in Orientierung.

Kapitel 7 – Regulatory Readiness Index: Operationalisierung regulatorischer Reife

7.1 Warum Operationalisierung notwendig ist

Regulatorische Risiken entfalten ihre Wirkung in Transaktionen nicht abstrakt, sondern über Zeit, Kosten, Unsicherheit und Verzögerungen. Für Investoren, Verwaltungsräte und Unternehmensleitungen entsteht damit die Frage, wie regulatorische Anschlussfähigkeit vergleichbar, diskutierbar und steuerbar gemacht werden kann.

Der im Folgenden dargestellte Regulatory Readiness Index 2026 (RRI) ist ein analytisches Werkzeug, das regulatorische Reife strukturiert erfasst. Er verbindet die in den vorangegangenen Kapiteln beschriebenen Bewertungsdimensionen (Time to Remediate, Cost to Remediate, Risk Exposure, Delay Impact) mit einem konkreten Analysegerüst für die Praxis.

7.2 Die sechs Analyse-Dimensionen des RRI

Der RRI basiert auf sechs Dimensionen, die sich in Markt- und Transaktionskontexten als besonders relevant erwiesen haben:

Governance & Verantwortlichkeiten

Rollen, Mandate, Board-Reporting, klare Ownership-Strukturen

Dokumentation & Auditfähigkeit

Technische Dokumentation, Policies, Audit Trails, Nachvollziehbarkeit

Risikomanagement & Complianceprozesse

ICT-Risiken, KI-Risikoanalysen, Register, Incident- und Change-Prozesse

Technische Architektur & Security

Logging, Monitoring, Security-Architekturen, Robustheit

Datenmanagement & Datenqualität

Data Lineage, Herkunftsnachweise, Bias-Kontrolle, Datenschutz

Operative Resilienz & Third-Party-Management

BC/DR, Resilienztests, Cloud-Governance, Outsourcing-Steuerung

7.3 Fünf Reifegrade als Orientierungsraster

Zur Einordnung entlang dieser Dimensionen lassen sich fünf Reifegrade unterscheiden:

1
Reaktiv

2
Fragmentiert

3
Strukturiert

4
Integriert

5
Hochintegriert

Level 1 – Reaktiv

Strukturen ad hoc, kaum dokumentiert. Regulatorische Anforderungen werden erst bei konkretem Anlass adressiert.

Level 2 – Fragmentiert

Einzelne Policies vorhanden, aber nicht konsistent integriert. Dokumentation lückenhaft, Verantwortlichkeiten unklar.

Level 3 – Strukturiert

Grundlegende Prozesse und Dokumentation etabliert, teilweise auditfähig. Governance formal verankert, aber nicht durchgängig gelebt.

Level 4 – Integriert

Governance, Technik und Prozesse konsistent verzahnt, EU-anschlussfähig. Regelmäßige Reviews, Board-Reporting etabliert.

Level 5 – Hochintegriert

Hohe Transparenz, automatisierte Kontrollen, proaktive Steuerung. Regulatorische Anforderungen als strategisches Element verankert.

7.4 Beispiel: RRI-Scoring eines fiktiven Schweizer SaaS-Unternehmens

Um die Anwendung des RRI zu veranschaulichen, zeigt das folgende Beispiel eine fiktive Standortbestimmung. Das Unternehmen «DataFlow AG» ist ein Schweizer SaaS-Anbieter mit 120 Mitarbeitenden, der KI-gestützte Datenanalyse für europäische Firmenkunden anbietet. Es steht vor einer Series-B-Finanzierung.

Dimension	Level	Befund
Governance	3	CISO benannt, Board-Reporting quartalweise, aber KI-Verantwortlichkeit nicht formalisiert
Dokumentation	2	Policies vorhanden, aber nicht versioniert; technische Dokumentation der KI-Modelle lückenhaft
Risikomanagement	2	ICT-Risikoregister existiert, KI-Risikoanalyse fehlt; Incident-Prozess rudimentär
Architektur & Security	3	Logging etabliert, Monitoring automatisiert; Penetrationstests jährlich, aber kein BC/DR-Test
Datenmanagement	2	Datenherkunft teilweise dokumentiert, kein systematisches Data Lineage; Bias-Kontrolle ad hoc
Operative Resilienz	3	Cloud-Verträge mit Auditklauseln, aber kein strukturiertes Third-Party-Register

Gesamtscore: 2.5 (Fragmentiert bis Strukturiert)

Was dieses Scoring für die Series-B-Verhandlung bedeutet: Die Dokumentationslücken bei KI-Modellen (Level 2) und das fehlende KI-Risikoregister sind die kritischsten Befunde – sie betreffen direkt die AI-Act-Anschlussfähigkeit ab August 2026. Ein Investor wird hier Earn-out-Strukturen oder spezifische Remediation-Milestones fordern. Die Architektur- und Governance-Scores (Level 3) hingegen zeigen eine Grundlage, auf der sich aufbauen lässt. Eine gezielte Roadmap mit Fokus auf Dokumentation und KI-Governance könnte die Verhandlungsposition in 3–6 Monaten substantiell verbessern.

7.5 Prüffelder und Checklisten

In Due-Diligence-Prozessen strukturieren Checklisten die Diskussion. Die folgenden Prüffelder bilden typische Schwerpunkte:

AI Act

Technische Dokumentation
Datenherkunft
Governance & Monitoring

NIS2

Security-Governance
Incident-Management
Logging & BC/DR

DORA

ICT-Risikomanagement
Drittparteiensteuerung
Resilienztests

7.6 Fazit

Der RRI entfaltet seinen Nutzen, wenn er in bestehende Entscheidungsprozesse integriert wird: in Produkt- und Architekturentscheidungen, Governance und Board-Reporting, M&A-Vorbereitung und Enterprise Risk Management. In Transaktionen wirkt regulatorische Reife regelmäßig auf Bewertungsmultiplikatoren, Earn-out-Strukturen, Garantien und Closing Conditions. Seine Stärke liegt nicht in Exaktheit, sondern darin, Annahmen transparent, Lücken sichtbar und Gespräche sachlich zu machen – ob im Verwaltungsrat, in der Due Diligence oder bei der internen Standortbestimmung.

Dieses Whitepaper berührt Themen, die Sie weiter vertiefen können:

DORA Self-Check · Schweizer KMU → DORA-Leitfaden → Quiz Digitalrecht → Gespräch anfragen →

← Wissensraum