Bluewaves ← Alle Notizen
Die Normen, die niemand fertiggestellt hat
Bertrand 7. April 2026

Die Normen, die niemand fertiggestellt hat

16 Min. Lesezeit

Die KI-Verordnung der EU verlangt von Unternehmen, harmonisierte Normen einzuhalten. Die harmonisierten Normen existieren nicht.

Das ist keine Vereinfachung. Es ist die Lage. Die Europäische Kommission hat CEN-CENELEC beauftragt, die Normen zu schreiben. CEN-CENELEC hat die Frist nicht eingehalten. Dann hat es die überarbeitete Frist nicht eingehalten. Die Normen werden jetzt für das vierte Quartal 2026 erwartet. Der Stichtag für Hochrisiko-KI-Systeme ist der 2. August 2026. Die Normen sollen nach der Prüfung eintreffen.

Ein KMU kann kein Konformitätsprogramm auf einer Norm aufbauen, die nicht geschrieben wurde. Aber die Verordnung wartet nicht auf die Normungsorganisation. Artikel 9 verlangt weiterhin ein Risikomanagementsystem. Artikel 11 verlangt weiterhin eine technische Dokumentation. Artikel 13 verlangt weiterhin Transparenz. Diese Artikel sind spezifisch. Sie sagen, was zu bauen ist. Die Normen würden sagen, wie es nachzuweisen ist. Das „Was” existiert. Das „Wie” fehlt.

Das ist die Lücke. Und sie ist breiter, als die meisten Unternehmen erkennen.

Der Normungsauftrag

Im Mai 2023 erteilte die Europäische Kommission den europäischen Normungsorganisationen CEN und CENELEC einen Normungsauftrag. Der Auftrag forderte sie auf, harmonisierte Normen zu entwickeln, die die Anforderungen an Anbieter von Hochrisiko-KI-Systemen abdecken — die technischen Spezifikationen, die nach Veröffentlichung im Amtsblatt der Europäischen Union Unternehmen eine Konformitätsvermutung mit den Anforderungen der KI-Verordnung geben würden.

Der Mechanismus ist etablierte EU-Regulierungspraxis. Die Verordnung definiert die Anforderungen. Die Normungsorganisationen übersetzen diese Anforderungen in technische Spezifikationen. Unternehmen, die die Spezifikationen einhalten, gelten als konform mit der Verordnung. Es ist dieselbe Architektur, die der Maschinenverordnung, der Medizinprodukteverordnung und Dutzenden anderer EU-Produktsicherheitsrahmen zugrunde liegt.

Die ursprüngliche Frist für die Lieferung der Normen war der 30. April 2025. CEN-CENELEC hat sie nicht eingehalten. Der Vorsitzende des JTC 21 — des gemeinsamen technischen Komitees, das für die Arbeit verantwortlich ist — gab Anfang 2025 an, dass die Normen voraussichtlich bis Ende 2025 fertiggestellt würden. Am 23. Juni 2025 hat die Kommission die Frist formell auf den 31. August 2025 revidiert. CEN-CENELEC hat auch diese Frist nicht eingehalten.

Der Normungsauftrag wurde im Juni 2025 geändert, um sich an den endgültigen Text der KI-Verordnung anzupassen. Das Arbeitsprogramm des JTC 21 umfasst etwa fünfunddreißig Arbeitselemente in fünf Arbeitsgruppen: grundlegende Aspekte, operative Aspekte, Vertrauenswürdigkeit, Ingenieurwesen und spezifische Anwendungsbereiche. Dreihundert Experten aus mehr als zwanzig Ländern nehmen teil. Der Umfang ist enorm. Der Zeitrahmen war es nicht.

Was existiert

Stand März 2026 ist eine Norm in die öffentliche Umfrage eingetreten. Eine.

prEN 18286 — Künstliche Intelligenz: Qualitätsmanagementsystem für regulatorische Zwecke der EU-KI-Verordnung — wurde am 30. Oktober 2025 die erste harmonisierte Norm der KI-Verordnung, die in die öffentliche Umfrage eintrat. Die Umfrage lief bis zum 27. Dezember 2025. Nationale Normungsorganisationen reichten Kommentare ein. Das CEN kompiliert derzeit die Antworten und löst Kommentare auf, bevor die Norm angenommen werden kann.

prEN 18286 deckt Artikel 17 der KI-Verordnung ab: die Anforderung an das Qualitätsmanagementsystem. Sie übersetzt die Verpflichtungen des Artikels 17 in konkrete Governance-, Dokumentations-, Lebenszyklus- und Nachweiskontrollen. Sie sagt einem Anbieter, wie das Qualitätsmanagementsystem zu strukturieren ist, das die Verordnung verlangt. Sie ist spezifisch, detailliert und operativ nützlich.

Sie ist auch noch keine Europäische Norm. Sie ist ein Entwurf. Sie kann sich ändern. Sie kann nicht als harmonisierte Norm zitiert werden, bis sie finalisiert ist und ihre Referenz im Amtsblatt veröffentlicht wird. Die Konformitätsvermutung — der rechtliche Vorteil, der harmonisierte Normen wertvoll macht — greift erst mit dieser Veröffentlichung. Stand heute bietet prEN 18286 Orientierung. Sie bietet keine Rechtssicherheit.

Ihre Begleitnorm, prEN 18228, deckt das Risikomanagement unter Artikel 9 ab. Sie trat Mitte 2025 in die komiteeinterne Abstimmung ein. Sie hat die öffentliche Umfrage nicht erreicht. Die Risikomanagementnorm — wohl die operativ kritischste Norm für jedes Unternehmen, das ein Hochrisiko-KI-System einsetzt — liegt Monate hinter der Qualitätsmanagementnorm, die ihrerseits Monate von der Finalisierung entfernt ist.

Über diese beiden hinaus umfassen die verbleibenden Arbeitselemente Datengovernance, Bias, Cybersicherheit, Robustheit, Protokollierung, Transparenz, Computer Vision und natürliche Sprachverarbeitung. Die meisten befinden sich im Arbeitsentwurf oder in früheren Stadien. Die Pipeline ist voll. Das Ergebnis nicht.

Warum die Normen verspätet sind

Normungsorganisationen sind nicht schnell. Das ist Absicht, kein Versagen. Die Legitimität harmonisierter Normen hängt von einem Konsensverfahren ab, das Industrie, Wissenschaft, Zivilgesellschaft, Regulierer und Normungsexperten aus ganz Europa einschließt. Dieses Verfahren zu beschleunigen produziert Normen ohne Akzeptanz, die Sonderfälle übersehen, die den Unternehmen nicht dienen, denen sie dienen sollen. Das Konsensverfahren ist langsam, weil es gründlich ist.

Aber die KI-Verordnung hat ein strukturelles Zeitproblem geschaffen, das keine Prozessoptimierung lösen kann. Die Verordnung wurde am 12. Juli 2024 im Amtsblatt veröffentlicht. Die Hochrisikobestimmungen treten am 2. August 2026 in Kraft. Der Normungsauftrag wurde im Mai 2023 erteilt — bevor die Verordnung finalisiert war. Als der endgültige Text veröffentlicht wurde, musste der Auftrag angepasst werden, um sich an das tatsächliche Gesetz anzupassen. Arbeit, die gegen einen Verordnungsentwurf begonnen hatte, musste gegen den endgültigen Text überarbeitet werden. Die Uhr lief weiter. Der Umfang erweiterte sich.

Das Ergebnis ist eine Lücke zwischen dem regulatorischen Zeitplan und dem Normungszeitplan, die von Anfang an in die Architektur eingebaut war. Die Verordnung bewegt sich auf einem politischen Zeitplan. Die Normen bewegen sich auf einem technischen Konsenszeitplan. Die beiden Zeitpläne sind strukturell inkompatibel.

CEN-CENELEC erkannte das Problem. Im Oktober 2025 verabschiedeten die gemeinsamen Technischen Büros von CEN und CENELEC ein außerordentliches Maßnahmenpaket zur Beschleunigung der Lieferung. Die bedeutendste Maßnahme: die direkte Veröffentlichung von Normen nach einem positiven Umfragevotum zu ermöglichen und die separate formelle Abstimmung zu überspringen, die normalerweise folgt. Das ist außergewöhnlich. Die formelle Abstimmung ist ein grundlegender Schritt im europäischen Normungsprozess. Sie zu umgehen ist die Anerkennung, dass der normale Prozess innerhalb des regulatorischen Zeitplans nicht liefern kann.

Selbst mit dieser Beschleunigung ist das Ziel für die erste Welle von Normen das vierte Quartal 2026 — nach dem Konformitätsstichtag 2. August 2026. Die Beschleunigungsmaßnahmen sind darauf ausgelegt, Normen vor Ende 2026 zu veröffentlichen. Sie sind nicht darauf ausgelegt, Normen vor August zu veröffentlichen.

Die Lücke der Konformitätsvermutung

Zu verstehen, warum das wichtig ist, erfordert zu verstehen, was harmonisierte Normen in der europäischen Regulierungsarchitektur bewirken.

Artikel 40 der KI-Verordnung begründet die Konformitätsvermutung: Hochrisiko-KI-Systeme, die harmonisierten Normen — oder Teilen davon — entsprechen, deren Referenzen im Amtsblatt veröffentlicht wurden, gelten als konform mit den von diesen Normen abgedeckten Anforderungen. Das ist keine Konformität per Default. Es ist eine rechtliche Abkürzung. Wenn eine harmonisierte Norm die Risikomanagementanforderungen des Artikels 9 abdeckt und Ihr System dieser Norm entspricht, wird vermutet, dass Sie Artikel 9 erfüllt haben. Ein Regulierer, der Ihre Konformität anzweifelt, muss diese Vermutung widerlegen.

Ohne die harmonisierte Norm gibt es keine Vermutung. Sie müssen Artikel 9 weiterhin einhalten. Aber Sie müssen die Konformität nach eigenen Maßstäben nachweisen, mit eigener Methodik, ohne das Gerüst einer Norm, die ein Regulierer vorab genehmigt hat. Die Beweislast ist höher. Die Rechtssicherheit ist geringer.

Das ist die praktische Konsequenz der Normungslücke. Das Gesetz gilt. Die Anforderungen sind klar. Aber das Instrument, das Konformität nachweisbar macht — die harmonisierte Norm — ist nicht verfügbar. Unternehmen müssen ohne die Orientierung konform sein, die die Regulierungsarchitektur bereitstellen sollte.

Die Analogie ist architektonisch. Die Verordnung sagt: Bauen Sie ein Haus, das diese strukturellen Anforderungen erfüllt. Die harmonisierte Norm ist die Bauordnung, die spezifiziert, wie diese Anforderungen zu erfüllen sind — die Materialien, die Methoden, die Maße. Ohne die Bauordnung müssen Sie immer noch ein strukturell solides Haus bauen. Aber Sie müssen beweisen, dass es strukturell solide ist, ohne Bezug auf die Ordnung, nach der der Prüfer ausgebildet wurde. Sie bauen nach Anforderungen, nicht nach Spezifikationen. Die Anforderungen sind dieselben. Der Nachweis ist schwieriger.

Der Rückgriff auf gemeinsame Spezifikationen

Die KI-Verordnung hat dieses Problem vorhergesehen. Artikel 41 ermächtigt die Kommission, gemeinsame Spezifikationen zu erlassen — Durchführungsrechtsakte, die als alternativer Konformitätsweg dienen, wenn harmonisierte Normen nicht verfügbar sind.

Die Bedingungen sind explizit. Die Kommission kann gemeinsame Spezifikationen erlassen, wenn: sie harmonisierte Normen angefordert hat und die Anforderung nicht angenommen wurde, die Normen nicht innerhalb der Frist geliefert werden, oder keine Referenz zu harmonisierten Normen im Amtsblatt veröffentlicht wurde und keine solche Referenz innerhalb eines angemessenen Zeitraums erwartet wird.

Alle drei Bedingungen sind erfüllt. Die Anforderung wurde angenommen, aber die Frist wurde versäumt — zweimal. Keine Referenz wurde im Amtsblatt veröffentlicht. Keine wird vor dem 2. August 2026 erwartet.

Die Kommission hat die rechtliche Befugnis, heute gemeinsame Spezifikationen zu erlassen. Sie hat es nicht getan. Der Grund ist politisch, nicht rechtlich. Gemeinsame Spezifikationen sind von der Kommission verfasste Durchführungsrechtsakte — sie umgehen den konsensbasierten Normungsprozess. Die Normungsgemeinschaft sieht sie als Eingriff in ihren Bereich. Industriegruppen bevorzugen im Konsens entwickelte Normen gegenüber durch Regulierung auferlegten Spezifikationen. Die Kommission war historisch zurückhaltend beim Einsatz des Mechanismus der gemeinsamen Spezifikationen und hat es vorgezogen, auf harmonisierte Normen zu warten.

Das Ergebnis: Der primäre Konformitätsweg (harmonisierte Normen) ist nicht verfügbar. Der Ausweichweg (gemeinsame Spezifikationen) wurde nicht aktiviert. Die Unternehmen stehen mit dem Verordnungstext und dem, was sie daraus bauen können, allein.

Der Digital-Omnibus und die sich verschiebende Frist

Die Normungslücke ist ein Haupttreiber des Digital-Omnibus — des Gesetzgebungsvorschlags, den die Kommission am 19. November 2025 veröffentlichte, um den Anwendungszeitplan der KI-Verordnung zu ändern.

Die politische Logik ist einfach. Die Verordnung verlangt Konformität. Konformität wird durch harmonisierte Normen erleichtert. Die harmonisierten Normen sind nicht fertig. Also die Konformitätsfrist verschieben, bis die Normen fertig sind. Der Digital-Omnibus schlägt vor, die Frist vom 2. August 2026 für Hochrisikobestimmungen durch einen Mechanismus zu ersetzen, der an die Verfügbarkeit harmonisierter Normen gekoppelt ist — in der Praxis die Verschiebung des Stichtags auf den 2. Dezember 2027 für eigenständige Hochrisiko-KI-Systeme (Anhang III) und den 2. August 2028 für in Produkte eingebettete KI-Systeme (Anhang I).

Der Rat hat seine Position am 13. März 2026 angenommen. Die Ausschüsse IMCO und LIBE des Europäischen Parlaments haben ihren gemeinsamen Bericht am 18. März 2026 angenommen — 101 Stimmen dafür, 9 dagegen, 8 Enthaltungen. Beide Institutionen unterstützen die Verschiebung. Die Plenarabstimmung des Parlaments war für den 26. März geplant. Trilog-Verhandlungen zwischen Parlament, Rat und Kommission werden folgen.

Das politische Momentum ist klar. Beide Mitgesetzgeber unterstützen die Verschiebung. Der Trilog wird Details verhandeln, nicht das Prinzip.

Aber — und ich habe diesen Punkt schon gemacht und werde ihn wieder machen — der Digital-Omnibus wurde nicht angenommen. Er wurde nicht im Amtsblatt veröffentlicht. Er ist nicht in Kraft getreten. Stand 7. April 2026 ist der 2. August 2026 Gesetz. Für Dezember 2027 zu planen ist rational. Auf Dezember 2027 zu setzen ist leichtsinnig. Der Unterschied zwischen planen und setzen ist, ob Sie begonnen haben, sich auf August vorzubereiten.

Ein Unternehmen, das die Konformitätsarbeit nicht begonnen hat, weil es erwartet, dass sich die Frist verschiebt, geht eine Wette ein. Die Wahrscheinlichkeiten sprechen für die Verschiebung. Der Nachteil, falsch zu liegen, ist nicht abstrakt — er ist operativ. Es ist das hektische Aufbauen eines Risikomanagementsystems, einer technischen Dokumentation, einer Protokollierungsinfrastruktur und von Mechanismen zur menschlichen Aufsicht in den Wochen zwischen einem gescheiterten Trilog und dem 2. August. Die Wahrscheinlichkeit ist gering. Die Auswirkung ist katastrophal.

Was ein Unternehmen heute tun kann

Das Fehlen harmonisierter Normen bedeutet nicht das Fehlen von Anforderungen. Die materiellen Bestimmungen der KI-Verordnung sind eigenständig. Sie sagen, was zu bauen ist. Die Normen hätten eine Konsensmethodik zum Bauen bereitgestellt. Ohne die Normen müssen Sie die Methodik selbst aufbauen — aber das Ziel ist dasselbe.

Das existiert, und das können Sie damit tun.

Artikel 9 — Risikomanagement. Die Verordnung spezifiziert die Anforderungen an ein Risikomanagementsystem im Detail. Es muss ein kontinuierlicher iterativer Prozess sein. Es muss bekannte und vernünftigerweise vorhersehbare Risiken identifizieren und analysieren. Es muss die Risiken bewerten, die entstehen, wenn das System bestimmungsgemäß und unter Bedingungen vernünftigerweise vorhersehbaren Missbrauchs verwendet wird. Es muss geeignete Risikomanagementmaßnahmen ergreifen. Der Artikel ist präskriptiv. Sie brauchen prEN 18228 nicht, um ein Risikomanagementsystem aufzubauen. Sie brauchen Artikel 9, die technische Dokumentation Ihres Systems und jemanden mit Fachkompetenz im Anwendungsbereich Ihres KI-Systems. Die Norm wird, wenn sie kommt, eine strukturierte Methodik bereitstellen. Der Artikel liefert die Anforderungen, die diese Methodik erfüllen muss.

Artikel 10 — Datengovernance. Trainings-, Validierungs- und Testdatensätze müssen Qualitätskriterien erfüllen: relevant, hinreichend repräsentativ, soweit möglich fehlerfrei und vollständig im Hinblick auf den Verwendungszweck. Der Artikel spezifiziert Datengovernance-Praktiken — einschließlich der Untersuchung von Verzerrungen, der Identifizierung von Lücken und geeigneter Maßnahmen zu deren Behebung. Dokumentieren Sie Ihre Daten. Dokumentieren Sie deren Quellen. Dokumentieren Sie Ihre Qualitätsprüfungen. Dokumentieren Sie, wie Sie Verzerrungen behandelt haben. Die Norm wird einen Rahmen dafür bereitstellen. Der Artikel sagt Ihnen, was der Rahmen abdecken muss.

Artikel 11 — Technische Dokumentation. Anhang IV listet den Inhalt der technischen Dokumentation im Detail auf. Allgemeine Beschreibung, Entwicklungsprozess, Überwachung und Kontrolle, Risikomanagementsystem, Änderungen im Lebenszyklus, angewandte harmonisierte Normen und Konformitätsmaßnahmen. Der letzte Punkt — angewandte harmonisierte Normen — wird vorerst leer sein. Anhang IV berücksichtigt dies ausdrücklich: Wenn keine harmonisierten Normen angewandt wurden, muss die Dokumentation „eine Auflistung anderer angewandter einschlägiger Normen und technischer Spezifikationen” enthalten. ISO/IEC 42001, ISO/IEC 23894, ISO/IEC 38507 — das sind keine harmonisierten Normen unter der KI-Verordnung, aber es sind einschlägige technische Spezifikationen, die eine Konformitätsmethodik belegen. Nutzen Sie sie. Dokumentieren Sie deren Anwendung. Die technische Dokumentation verlangt keine harmonisierten Normen. Sie verlangt die Dokumentation der Normen, die Sie tatsächlich angewandt haben.

Artikel 12 — Protokollierung. Das System muss automatisch Ereignisse protokollieren. Der Artikel spezifiziert welche: Nutzungszeitraum, Referenzdatenbanken, Eingabedaten, die zu Treffern führten, Identifizierung der an der Verifizierung beteiligten Personen. Das ist eine Ingenieuranforderung. Sie hängt nicht von einer harmonisierten Norm ab. Bauen Sie die Protokollierungsinfrastruktur auf. Die Norm wird nicht ändern, was Sie protokollieren. Sie kann ändern, wie Sie es strukturieren und speichern. Bauen Sie jetzt, verfeinern Sie später.

Artikel 13 — Transparenz. Das System muss so konzipiert sein, dass es hinreichend transparent ist, um Betreibern zu ermöglichen, die Ergebnisse zu interpretieren und angemessen zu nutzen. Die Gebrauchsanweisung muss enthalten: Identität des Anbieters, Merkmale des Systems, Fähigkeiten und Grenzen, Verwendungszweck, Genauigkeitsniveau und relevante Genauigkeitsmetriken. Schreiben Sie die Gebrauchsanweisung. Der Inhalt ist im Artikel spezifiziert. Eine harmonisierte Norm könnte das Format spezifizieren. Der Inhalt ist bereits definiert.

Artikel 14 — Menschliche Aufsicht. Ich habe darüber ausführlich in „Der 500.000-Euro-Fehler” geschrieben. Die Anforderung ist klar: Natürliche Personen müssen in der Lage sein, die Fähigkeiten und Grenzen des Systems vollständig zu verstehen, seinen Betrieb zu überwachen, entscheiden zu können, das System nicht zu nutzen oder sein Ergebnis zu ignorieren, und eingreifen oder das System unterbrechen zu können. Bauen Sie die Aufsichtsschnittstelle. Schulen Sie die Aufseher. Die Norm wird die Anforderung nicht ändern. Sie wird eine Methodik zu deren Nachweis bereitstellen.

prEN 18286 — Qualitätsmanagementsystem. Der Normentwurf ist über nationale Normungsorganisationen öffentlich zugänglich. Er ist nicht finalisiert. Er kann sich ändern. Aber er ist die detaillierteste verfügbare Orientierung für die Konformität mit Artikel 17. Lesen Sie ihn. Nutzen Sie ihn als Referenz für die Strukturierung Ihres Qualitätsmanagementsystems. Wenn die endgültige Norm veröffentlicht wird, passen Sie sich an. Die Kosten der Anpassung eines gegen den Entwurf gebauten Systems an die endgültige Norm sind Justierung. Die Kosten, nichts zu bauen, während man auf die endgültige Norm wartet, sind der Start bei null.

Die ISO-Brücke

Das Fehlen KI-Verordnungs-spezifischer harmonisierter Normen bedeutet nicht das Fehlen von Normen. Die internationale Normungslandschaft bietet relevante Rahmenwerke, die zwar nicht die Konformitätsvermutung nach Artikel 40 gewähren, aber strukturierte Methodiken zur Erfüllung der Anforderungen der KI-Verordnung bereitstellen.

ISO/IEC 42001 — Managementsystem für Künstliche Intelligenz — bietet eine Managementsystemnorm für Organisationen, die KI nutzen oder bereitstellen. Sie deckt Risikobewertung, Governance und Lebenszyklusmanagement ab. Sie entspricht nicht direkt den Anforderungen der KI-Verordnung, adressiert aber dieselben strukturellen Anliegen. Ein Unternehmen mit einem nach ISO 42001 zertifizierten Managementsystem hat einen Rahmen, der sich in Konformität mit der KI-Verordnung übersetzen lässt — durch Anpassung, nicht durch Neuerfindung.

ISO/IEC 23894 — Künstliche Intelligenz: Leitfaden zum Risikomanagement — bietet einen Risikomanagementrahmen speziell für KI-Systeme. Sie stimmt konzeptionell mit Artikel 9 überein, wurde aber unabhängig von der KI-Verordnung entwickelt. Ein Unternehmen, das ISO 23894 implementiert, hat ein Risikomanagementsystem, das den größten Teil dessen abdeckt, was Artikel 9 verlangt — mit Lücken, die durch das Lesen von Artikel 9 selbst geschlossen werden können.

Diese Normen sind keine Ersatzmittel für harmonisierte Normen. Sie gewähren nicht die Konformitätsvermutung. Aber sie bieten etwas, das die fehlenden harmonisierten Normen nicht bieten können: Struktur. Ein Risikomanagementsystem, das auf ISO 23894 aufgebaut und auf Artikel 9 zugeschnitten ist, ist nachweislich robuster als ein Risikomanagementsystem, das ohne methodischen Rahmen von Grund auf aufgebaut wurde. Wenn ein Regulierer die Konformität ohne harmonisierte Normen bewertet, steht das Unternehmen, das eine anerkannte internationale Norm angewandt — und deren Anwendung dokumentiert — hat, stärker da als das Unternehmen, das nichts angewandt hat.

Die Durchsetzungsrealität

Die praktische Frage ist, was passiert, wenn die Durchsetzung ohne harmonisierte Normen beginnt. Die Antwort hängt vom Durchsetzer ab.

Nationale zuständige Behörden, die seit Monaten operativ sind — Finnlands Traficom, Spaniens AESIA, Deutschlands Bundesnetzagentur — hatten Zeit, Durchsetzungsmethodiken zu entwickeln. Diese Behörden verstehen die Normungslücke. Sie wissen, dass kein Unternehmen Konformität mit einer Norm nachweisen kann, die nicht existiert. Ihr Durchsetzungsansatz wird die Abwesenheit harmonisierter Normen notwendigerweise berücksichtigen — indem Konformität anhand der Verordnungsanforderungen bewertet wird, nicht anhand technischer Spezifikationen.

Das ist kein Freibrief für Nachlässigkeit. Das Fehlen harmonisierter Normen reduziert nicht die Anforderungen. Es verändert den Beweisrahmen. Ein Unternehmen muss weiterhin die Artikel 9 bis 15 einhalten. Es muss weiterhin ein Risikomanagementsystem, technische Dokumentation, Protokollierung, Transparenz und menschliche Aufsicht haben. Was es nicht haben kann, ist eine harmonisierte Norm, auf die es als Nachweis verweisen kann. Der Nachweis muss aus der Substanz dessen kommen, was das Unternehmen gebaut, dokumentiert und implementiert hat.

Die Unternehmen, die in einem Durchsetzungsumfeld ohne harmonisierte Normen am besten abschneiden werden, sind die, die die Arbeit gemacht haben. Nicht die, die auf die Norm gewartet haben. Nicht die, die eine Beratungsfirma beauftragt haben, eine Lückenanalyse zu erstellen. Die, die Artikel 9 gelesen, ein Risikomanagementsystem aufgebaut, es dokumentiert und gepflegt haben. Die, die Artikel 11 und Anhang IV gelesen, die technische Dokumentation erstellt und aktuell gehalten haben. Die, die den Verordnungstext als Spezifikation behandelt haben — denn ohne harmonisierte Normen ist er es.

Die Position

Die Normungslücke ist real, strukturell und wird sich nicht vor dem 2. August 2026 schließen. Der Digital-Omnibus kann den Konformitätsstichtag auf Dezember 2027 verschieben. Die harmonisierten Normen können im vierten Quartal 2026 kommen. Beides kann passieren. Beides ist nicht passiert.

Die Lücke rechtfertigt kein Nichtstun. Sie rechtfertigt eine andere Art des Handelns. Bauen Sie auf dem Verordnungstext auf, nicht auf einer Norm, die nicht existiert. Nutzen Sie die Normentwürfe als Orientierung, nicht als Konformitätsweg. Wenden Sie internationale Normen an, wo sie dieselben Anliegen adressieren. Dokumentieren Sie alles — die Methodik, die angewandten Normen, die identifizierten Lücken, die getroffenen Entscheidungen.

Die Unternehmen, die die Normungslücke erfolgreich navigieren, werden die sein, die das Fehlen von Normen als Baubeschränkung behandelt haben, nicht als Bauausrede. Leonardo da Vinci arbeitete ohne CAD-Software. Die Beschränkungen stoppten die Arbeit nicht. Sie formten sie.

Die Normen werden kommen. Sie kommen immer. Die Frage ist, ob Sie etwas gebaut haben, das es wert ist, daran ausgerichtet zu werden — oder ob Sie am Zeichentisch gesessen und auf Baupläne gewartet haben, die nie kamen.

Die Baupläne sind verspätet. Das Bauen ist nicht optional.

Geschrieben von
Bertrand
Kreativtechnologe

Ein Serienunternehmer mit einem Doktortitel in KI und fünfundzwanzig Jahren Erfahrung im Aufbau von Systemen in ganz Europa. Er schreibt Code so, wie er surft: Muster lesen, Flow finden, Schwieriges einfach aussehen lassen.

← Alle Notizen