Die Ausgangssituation
Die Bundeswehr befindet sich mitten in einem Paradigmenwechsel. Unter dem Leitbegriff „Software Defined Defence" rückt Software als zentraler Treiber militärischer Fähigkeiten in den Mittelpunkt – von der KI-gestützten Aufklärung über Drohnenschwärme bis zur taktischen Lagedarstellung auf dem Tablet. Der Fähigkeitsbeitrag moderner Waffensysteme wird schon heute zu rund 80 % durch Software definiert. Gleichzeitig setzt die Bundeswehr – wie auch das neue Beschaffungsbeschleunigungsgesetz zeigt – zunehmend auf kommerzielle Standardprodukte (COTS) vom zivilen Markt, statt auf teure Eigenentwicklungen.
Für Unternehmen aus dem Defence-Sektor ist das eine enorme Chance. Aber es stellt sie auch vor die herausfordernde Frage: Welche regulatorischen Anforderungen gelten eigentlich für unsere Produkte, wenn wir sowohl die zivile Seite als auch das Militär mit unseren Produkten beliefern?
Das Problem: Drei Rechtsakte, drei verschiedene Ausnahme-Logiken
Mit der KI-VO, dem CRA und der NIS2-Richtlinie (in Deutschland umgesetzt seit Dezember 2025) hat die EU ein umfassendes Regelwerk für die Cybersicherheit und den verantwortungsvollen Einsatz digitaler Produkte geschaffen. Alle drei Rechtsakte enthalten Ausnahmen für den Verteidigungssektor, wobei die Zielrichtung teils sehr unterschiedlich ist: Während CRA und KI-VO an den Einsatzzweck des Produkts anknüpfen, fragt die NIS2 nach der Art des Unternehmens. In der Praxis zeigt sich: Viele Defence-Unternehmen überschätzen den Schutz, den diese Ausnahmen bieten.
CRA: Die Bereichsausnahme knüpft an die Zweckbestimmung des Herstellers
Art. 2 Abs. 7 CRA lautet: „Diese Verordnung gilt nicht für Produkte mit digitalen Elementen, die ausschließlich für Zwecke der nationalen Sicherheit oder für Verteidigungszwecke entwickelt oder geändert wurden, und auch nicht für Produkte, die speziell für die Verarbeitung von Verschlusssachen konzipiert sind.“
Entscheidend ist das Wort „ausschließlich“. Die Ausnahme greift nur, wenn der Hersteller das Produkt ausschließlich für den Verteidigungszweck entwickelt oder geändert hat. Es kommt allein auf die subjektive Zweckbestimmung des Herstellers an – also darauf, für welchen Verwendungszweck er das Produkt entwickelt und auf den Markt gebracht hat. Hierin liegt ein wesentlicher Unterschied zur objektiven Bestimmung von Dual-Use-Gütern im Exportkontrollrecht.
Das hat weitreichende praktische Konsequenzen: Ein Netzwerk-Monitoring-Tool, das für den zivilen Massenmarkt entwickelt wurde und das die Bundeswehr als Standardprodukt einkauft, bleibt CRA-pflichtig. Die militärische Nutzung lässt die CRA-Pflichten des Herstellers nicht entfallen.
Besonders relevant wird die Zweckbestimmung durch das neue Gesetz zur beschleunigten Planung und Beschaffung für die Bundeswehr (in Kraft seit 14.02.2026): § 7 verpflichtet die Bundeswehr, bei der Markterkundung auch zivile Märkte zu berücksichtigen und marktverfügbare Produkte zu identifizieren. Mehr COTS-Produkte (Commercial Off-The-Shelf) in der Bundeswehr bedeutet mehr Produkte, deren Zweckbestimmung auch den zivilen Markt umfasst – und damit mehr CRA-Relevanz.
KI-VO: Ähnliche Logik, zusätzliche Komplexität durch Zweckänderung
Art. 2 Abs. 3 KI-VO nimmt KI-Systeme aus, die „ausschließlich für militärische Zwecke, Verteidigungszwecke oder Zwecke der nationalen Sicherheit“ in Verkehr gebracht, in Betrieb genommen oder verwendet werden. Zusätzliche Komplexität entsteht durch Erwägungsgrund 24 KI-VO, der drei Konstellationen klärt:
(1) Ein für militärische Zwecke entwickeltes KI-System wird nachträglich zivil eingesetzt: Die KI-VO wird anwendbar. Wer die Zweckänderung vornimmt, muss die Pflichten eines Anbieters erfüllen. (2) Ein für zivile Zwecke in Verkehr gebrachtes System wird militärisch verwendet: Die militärische Verwendung fällt nicht unter die KI-VO – aber die zivile Nutzung bleibt KI-VO-pflichtig. (3) KI-Systeme für gemischte Zwecke (zivil und militärisch): Sie fallen grundsätzlich in den Anwendungsbereich der KI-VO.
Für die Praxis bedeutet das: Wer ein KI-System sowohl im zivilen Markt anbietet als auch an die Bundeswehr liefert, braucht die volle KI-VO-Compliance. Die militärische Nutzung durch den Betreiber (Bundeswehr) ist zwar nicht der KI-VO-Aufsicht unterworfen, aber die Pflichten des Anbieters – Risikomanagement, Daten-Governance, Transparenz, Konformitätsbewertung – bestehen fort.
NIS2: Eine fundamental andere Logik
Die NIS2-Richtlinie verfolgt einen völlig anderen Ansatz als CRA und KI-VO. Sie fragt nicht nach dem Einsatzzweck des Produkts, sondern nach der Art der Einrichtung: Schließlich regelt NIS2 die Cybersicherheit bei bestimmten Einrichtungen in verschiedenen Sektoren – darunter auch für den militärischen Bereich relevante Sektoren wie der Fahrzeugbau oder digitale Infrastruktur.
„Einrichtungen der öffentlichen Verwaltung“, die im Bereich Verteidigung tätig sind, sind von NIS2 nicht betroffen. Private Defence-Unternehmen sind von dieser Ausnahme jedoch nicht erfasst. Art. 2 Abs. 8 NIS2 gibt den Mitgliedstaaten zwar die Möglichkeit, auch private Stellen auszunehmen, die „ausschließlich“ für das Militär Dienstleistungen erbringen. Aber Deutschland hat diese Möglichkeit im BSI-Gesetz nicht in voller Breite umgesetzt. Es besteht lediglich die Möglichkeit des BMI, Ausnahmebescheide für einzelne Zulieferer des Militärs zu erlassen, wobei die Cybersicherheit und Aufsicht gleichwertig gewährleistet bleiben muss (§ 37 BSIG).
Ergebnis: Ein Defence-Unternehmen mit 60 Mitarbeitern und 15 Mio. EUR Umsatz, das elektronische Sensorsysteme herstellt, fällt unter die NIS2-Pflichten (Risikomanagement, 24h-Meldepflicht, Registrierung beim BSI) – unabhängig davon, ob seine Produkte militärisch oder zivil genutzt werden. Und selbst KMU unter den Schwellenwerten können als Zulieferer in der Lieferkette NIS2-pflichtiger Unternehmen indirekt betroffen sein.
Fazit: Was Defence-Unternehmen jetzt tun sollten
Private Defence-Unternehmen, die auch zivile Kunden bedienen oder deren Produkte auf dem zivilen Markt verfügbar sind, müssen grundsätzlich sämtliche Pflichten aus CRA, KI-VO und NIS2 einhalten. Die Bereichsausnahmen greifen nur in dem schmalen Korridor der ausschließlich militärischen Zweckbestimmung – und selbst dann muss grundsätzlich zumindest NIS2 beachtet werden.
Drei konkrete Maßnahmen drängen sich auf:
1. Zweckbestimmung prüfen: Fällt Ihr Produkt wirklich unter eine der Bereichsausnahmen? Oder ist es Dual Use? Diese Einordnung entscheidet über den Compliance-Aufwand.
2. NIS2-Betroffenheit feststellen: Prüfen Sie, ob Ihr Unternehmen die Schwellenwerte überschreitet und in einem regulierten Sektor tätig ist.
3. Ausnahmemöglichkeiten prüfen: Die Pflichten aus den „zivilen“ Gesetzen beißen sich zum Teil mit den Geheimhaltungspflichten aus den Beschaffungsverträgen der Bundeswehr. Insofern sollte geprüft werden, ob man dem Anwendungsbereich der Gesetze ggf. durch eine veränderte Produktpolitik begegnen kann und ggf. eine Ausnahmegenehmigung beim BMI beantragt werden sollte.
—
Dieser Beitrag basiert auf dem Webinar „Cyber Defence & Tech Law für Rüstungs-Startups und Softwareanbieter“ aus März 2026. Eine vertiefte Darstellung der Konfliktfelder zwischen zivilen Meldepflichten und militärischen Geheimhaltungspflichten sowie der Auswirkungen von gesetzlichen wie vertraglichen Cybersicherheits-Pflichten auf Verträge in der militärischen Lieferkette folgt in den nächsten Beiträgen dieser Reihe.
Dr. André Schmidt ist Rechtsanwalt und Partner, Fachanwalt für IT-Recht und leitet die Praxisgruppe Tech Law. Niklas Vogt ist Rechtsanwalt und Senior Associate, Fachanwalt für IT-Recht.
