#28 Normen-Hype, NIS2 & KI und wir mittendrin – Jahresrückblick ohne Panikmodus

Egal ob ISO 9001-Revision, NIS2, KI-Verordnung oder sonstige Klassiker – Social Media hat es oft klingen lassen, als würde morgen früh jemand an der Tür klingeln und dein Zertifikat kassieren, wenn du heute nicht schon alles „umgestellt“ hast. Unsere Quintessenz: ruhig bleiben, sauber prüfen, klar dokumentieren – und sich nicht von Panikposts steuern lassen.

Gerade die ISO-9001-Revision war dafür ein Paradebeispiel. Schon im Entwurfsstadium wurde interpretiert, als wäre alles bereits in Stein gemeißelt. Natürlich kann man sich auf Änderungen vorbereiten, aber Vorbereitung heißt nicht: heute hektisch umbauen, was morgen vielleicht ganz anders kommt. Vorbereitung heißt: Themen kennen, grob einordnen, Übergangsfristen verstehen – und vor allem nicht so tun, als wäre die erste LinkedIn-Schlagzeile eine verbindliche Umsetzungsanweisung.

Ähnlich lief es beim NIS2-Thema, nur mit noch größerer Dramaturgie. Da wird gerne mit Zahlen hantiert („bis zu 30.000 Unternehmen betroffen!“), ohne den Kontext zu liefern. Wenn wir uns vor Augen halten, dass es in Deutschland über drei Millionen Unternehmen gibt, wirkt „30.000“ plötzlich deutlich weniger nach Massenpanik und eher nach: „Das betrifft einen kleinen Teil. Und genau da kommt unser wichtigster Praxishinweis ins Spiel: Egal ob das Ergebnis am Ende „Ja, betroffen“ oder „Nein, nicht betroffen“ lautet – dokumentiert euren Prüfweg wasserdicht. Nicht nur „Häkchen dran“, sondern nachvollziehbar: welche Fragen habt ihr geprüft, welche Anhänge/Definitionen herangezogen, welche Begründung steckt hinter eurem Ergebnis.

Und dann die KI-Themen: Auch hier 2025 wieder viel Druck, viel Buzzword-Bingo, wenig Einordnung. „Jetzt braucht jedes Unternehmen einen KI-Beauftragten!“ – klingt griffig, ist aber in der Regel genauso pauschal wie irreführend. Was wir sinnvoll finden (und was praktisch jedes Unternehmen betrifft), ist eine saubere KI-Policy: Was darf rein, was nicht? Wie gehen wir mit personenbezogenen Daten um? Welche Systeme sind erlaubt? Was ist vertraulich, was ist tabu? Das ist keine Raketenwissenschaft – das ist im Kern Datenschutz und gesunder Menschenverstand, nur eben übersetzt auf neue Werkzeuge. Der größere Punkt ist: KI ist kein Zauberwesen, sondern Software-as-a-Service. Und Software frisst Daten. Wer das verstanden hat, hat schon 80 % der „KI-Compliance“ im Kopf – ohne in Hysterie zu verfallen.

Der Blick nach vorn: Für 2026 erwarten wir weniger Spielerei und mehr Produktivphase – sowohl bei KI als auch bei Digitalisierung im QM. Und wir glauben, ein Thema wird dabei richtig groß: Maschinenlesbarkeit. Nicht „schöne Word-Layouts für den Ordner“, sondern Inhalte so strukturiert, dass Systeme sie zuverlässig finden, auswerten und nutzen können. Gescanntes PDF, fünf Versionen „final_final_v4“ und Überschriften, die nur fett sind statt als Überschrift formatiert – das wird uns im Alltag immer mehr auf die Füße fallen. Wenn wir KI sinnvoll nutzen wollen (und nicht nur als Textspielzeug), brauchen wir aufgeräumtes, aktuelles, zugreifbares Wissen: zentral abgelegt, versioniert, verständlich. Und idealerweise so, dass Tools austauschbar bleiben – damit wir nicht unser komplettes Firmenwissen an ein einzelnes Abo ketten, das wir irgendwann kündigen möchten.

Unterm Strich war 2025 ein Jahr mit viel Bewegung, viel Regulierung und noch mehr Geräuschkulisse. Unsere Haltung dazu ist simpel: Nicht ignorieren – aber auch nicht alles sofort umsetzen. Erst prüfen, dann entscheiden, dann dokumentieren. Und wenn man es schafft, im nächsten Jahr nicht nur zu reagieren, sondern bewusst zu gestalten, dann wird aus dem ganzen „Regulatorik-Gewitter“ vielleicht sogar ein echter Fortschritt: bessere Strukturen, bessere Datenhygiene, bessere Entscheidungen. Ohne QM-Kauderwelsch. Ohne Panikmodus. Und mit einem System, das unterstützt statt zu beschäftigen.