Kuratierter Termin-Hub · Stand: Juli 2026

IT-Stichtage 2026/2027: alle Fristen, die Ihr Unternehmen treffen.

Microsoft dreht den Support ab, Brüssel und Berlin drehen die Pflichten auf — und jede dieser Fristen landet am Ende auf dem Tisch der Geschäftsführung. Hier stehen alle Termine chronologisch, mit Primärquelle und mit dem, was konkret zu tun ist.

Nächster Stichtag 02.08.2026 EU AI Act: Transparenzpflichten nach Artikel 50

Danach: 11.09.2026 Cyber Resilience Act · 13.10.2026 Windows 10 · 01.01.2027 E-Rechnung

★ 4,9 / 5 aus 46 Google-Bewertungen · IT-Systemhaus aus Hamburg, seit 2004 · Festpreise statt Stundenzettel

Die Timeline

Was wann fällig ist — chronologisch

Jede Frist mit Primärquelle (Microsoft, BSI, BMF, EU-Kommission). Die Einstufung berechnet sich aus dem Datum: Dringend heißt weniger als sechs Monate.

Überfällig Dringend Planbar Support-Ende Gesetzliche Frist Technik-Frist
Überfällig Gesetzliche Frist

NIS2: Registrierungsfrist beim BSI abgelaufen

Das deutsche NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Betroffene Unternehmen mussten sich bis zum 6. März 2026 im BSI-Portal registrieren — diese Frist ist vorbei. Das BSI fordert Nachzügler ausdrücklich auf, die Registrierung umgehend nachzuholen.

Das ist zu tun: Betroffenheit prüfen (ab ca. 50 Mitarbeitern oder 10 Mio. € Umsatz in regulierten Sektoren) — und falls ja: sofort registrieren, nicht auf Post vom BSI warten.

Überfällig Support-Ende

SQL Server 2016: Extended Support abgelaufen

Seit Mitte Juli 2026 liefert Microsoft keine Sicherheitsupdates mehr für SQL Server 2016. Betroffen sind vor allem die Datenbanken unter Warenwirtschaft, ERP- und Branchensoftware — oft läuft dort seit Jahren ein SQL Server, den niemand mehr auf dem Schirm hat.

Das ist zu tun: Prüfen, welche Anwendungen noch auf SQL Server 2016 laufen — dann Upgrade oder Migration mit dem Software-Hersteller abstimmen.

Dringend Gesetzliche Frist

EU AI Act: Transparenzpflichten nach Artikel 50

Wer KI im Kundenkontakt einsetzt, muss das ab jetzt offenlegen: Chatbots müssen sich als KI zu erkennen geben, KI-erzeugte Bilder, Audio und Deepfakes müssen gekennzeichnet werden. Die Hochrisiko-Pflichten wurden per „Digital Omnibus“ auf Ende 2027/2028 verschoben — die Transparenzpflichten nicht.

Das ist zu tun: Einmal durchgehen, wo im Unternehmen KI mit Kunden spricht oder Inhalte erzeugt — und die Kennzeichnung einbauen.

Dringend Gesetzliche Frist

Cyber Resilience Act: Meldepflichten starten

Hersteller vernetzter Produkte — vom smarten Sensor bis zur Maschinensteuerung mit Software — müssen aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle ab jetzt binnen 24 Stunden melden. Das trifft auch Maschinenbauer und Gerätehersteller, die sich nie als „Software-Firma“ gesehen haben.

Das ist zu tun: Klären, ob Ihre Produkte unter den CRA fallen — und einen Meldeprozess mit klarer Zuständigkeit aufsetzen.

Dringend Support-Ende

Windows 10: ESU-Jahr 1 endet — Kosten verdoppeln sich

Der reguläre Windows-10-Support endete im Oktober 2025. Unternehmen können sich mit Extended Security Updates (ESU) Zeit kaufen — aber nur bis maximal Oktober 2028, und der Preis verdoppelt sich in jedem Jahr. Am 13. Oktober 2026 läuft das erste ESU-Jahr ab.

Das ist zu tun: Verbleibende Windows-10-Geräte inventarisieren und die Umstellung auf Windows 11 vor Oktober abschließen. ESU ist eine Brücke, keine Strategie.

Dringend Gesetzliche Frist

E-Rechnung: Ausstellungspflicht ab 800.000 € Umsatz

Empfangen können muss E-Rechnungen seit 2025 jedes Unternehmen. Ab dem 1. Januar 2027 müssen Firmen mit mehr als 800.000 € Vorjahresumsatz im B2B-Geschäft auch selbst strukturierte E-Rechnungen ausstellen — ein einfaches PDF per Mail zählt dann nicht mehr.

Das ist zu tun: Rechnungssoftware auf XRechnung/ZUGFeRD prüfen und den Ablauf mit dem Steuerberater festzurren — vor dem Jahreswechsel.

Dringend Support-Ende

Windows Server 2016: Endgültiges Support-Ende

Der größte Brocken auf dieser Liste. Nach dem 12. Januar 2027 gibt es keine Sicherheitsupdates mehr — und auf Windows Server 2016 laufen in vielen Mittelständlern die zentralen Systeme: Domain Controller, Dateiserver, ERP. Eine saubere Server-Migration braucht realistisch 3 bis 6 Monate Vorlauf.

Das ist zu tun: Jetzt Server-Inventur machen, Zielbild festlegen (neue Server, Cloud oder Hybrid) und die Migration vor dem Jahresende durchziehen — nicht im Dezember anfangen.

Planbar Technik-Frist

TLS-Zertifikate: nur noch 100 Tage Laufzeit

Die Browser-Hersteller verkürzen die Laufzeit von SSL/TLS-Zertifikaten Schritt für Schritt: seit März 2026 maximal 200 Tage, ab dem 15. März 2027 nur noch 100 — bis 2029 sinkt sie auf 47 Tage. Wer Zertifikate für Website, Shop oder VPN noch von Hand erneuert, wird das Tempo nicht halten.

Das ist zu tun: Alle Zertifikate inventarisieren und die Erneuerung automatisieren (ACME). Einmal sauber eingerichtet, läuft nie wieder eines ab.

Planbar Gesetzliche Frist

EU AI Act: Hochrisiko-Pflichten (Anhang III)

Ursprünglich für August 2026 geplant, per Digital Omnibus verschoben: Ab Dezember 2027 gelten die vollen Pflichten für Hochrisiko-KI nach Anhang III — etwa KI im Bewerber-Screening, bei Kreditentscheidungen oder in kritischer Infrastruktur. Verschoben heißt nicht gestrichen.

Das ist zu tun: KI-Einsatz im Haus inventarisieren und früh prüfen, ob eine Anwendung in die Hochrisiko-Klasse fällt — die Nachweispflichten sind umfangreich.

Planbar Gesetzliche Frist

Cyber Resilience Act: Hauptpflichten gelten vollständig

Ab jetzt gilt der CRA komplett: Neue vernetzte Produkte brauchen Security-by-Design, geregelte Update-Versorgung und die CE-Kennzeichnung schließt Cybersicherheit ein. Ohne Nachweis kein Marktzugang in der EU.

Das ist zu tun: Produktentwicklung und Zulieferer rechtzeitig auf CRA-Konformität ausrichten — die Anforderungen gelten pro Produkt, nicht pro Firma.

E-Rechnung: Ausstellungspflicht für alle Gesetzliche Frist

Die Übergangsfrist endet — ab 2028 müssen auch Unternehmen unter 800.000 € Umsatz im B2B E-Rechnungen ausstellen. Quelle: BMF ↗

EU AI Act: Hochrisiko-Pflichten (Anhang I) Gesetzliche Frist

Zweite Stufe der verschobenen Hochrisiko-Regeln: KI in regulierten Produkten wie Maschinen oder Medizintechnik. Quelle: TÜV Rheinland ↗

Windows 10: ESU endgültig vorbei Support-Ende

Nach ESU-Jahr 3 ist Schluss — danach gibt es für Windows 10 unter keinen Umständen mehr Sicherheitsupdates. Quelle: Microsoft Learn ↗

Windows Server 2019: Endgültiges Support-Ende Support-Ende

Der nächste 2016er-Moment. Wer jetzt ohnehin migriert, sollte 2019er-Server gleich mitdenken. Quelle: Microsoft Learn ↗

Schon in Kraft

Diese Pflichten gelten bereits

Kein Grund zur Panik — aber ein guter Anlass zu prüfen, ob Ihr Haus hier sauber aufgestellt ist.

seit 01.01.2025

E-Rechnung: Empfangspflicht

Jedes Unternehmen muss E-Rechnungen empfangen und archivieren können — ein E-Mail-Postfach reicht, GoBD-konforme Ablage nicht vergessen.

seit 17.01.2025

DORA: Digitale Resilienz im Finanzsektor

Gilt für Banken, Versicherer, Zahlungsdienstleister — und zieht deren IT-Dienstleister und Zulieferer vertraglich mit hinein.

seit 14.10.2025

Windows 10: Support-Ende

Ohne ESU-Buchung laufen Windows-10-Geräte seither ohne Sicherheitsupdates. Die aktive Frist ist jetzt das ESU-Jahr 1 (siehe Timeline).

seit 14.10.2025

Office 2016/2019 & Exchange 2016/2019: Support-Ende

Beide Produktfamilien sind aus dem Support. Für Exchange heißt der Weg Microsoft 365 — oder der kostenpflichtige Nachfolger Exchange Server SE.

Warum das hier steht

Verpasste Stichtage werden still teuer

Sicherheitslücken ohne Verfallsdatum

Nach dem Support-Ende bleibt jede neu entdeckte Lücke für immer offen — und Angreifer scannen gezielt nach genau solchen Systemen. Cyber-Versicherer fragen im Schadensfall zuerst nach dem Patch-Stand: Ein Server ohne Updates kann den Versicherungsschutz kosten.

Bußgelder & persönliche Haftung

NIS2 sieht Bußgelder bis 10 Mio. € vor, der AI Act bis 35 Mio. € — und NIS2 nimmt die Geschäftsführung ausdrücklich persönlich in die Pflicht, die Umsetzung zu überwachen. „Das macht doch die IT“ zählt dann nicht mehr als Antwort.

Panik-Migration kostet doppelt

Wer kurz vor der Frist startet, zahlt Express-Zuschläge, wartet auf Hardware und riskiert Ausfälle mitten im Tagesgeschäft. Dieselbe Migration ist mit sechs Monaten Vorlauf ein planbares Projekt — ohne Vorlauf ein Notfall mit offenem Ende.

Terminplaner mit Stift — IT-Stichtage und Fristen für Unternehmen im Blick behalten
So räumen wir das ab

Aus einem Stapel Fristen wird ein Fahrplan

Sieben Stichtage heißen nicht sieben Projekte. Wer klug plant, erledigt die Server-Migration, das Windows-11-Rollout und die Compliance-Basics in einem Zug — mit einer Inventur, einem Zeitplan, einem Budget.

  1. 1
    15-Minuten-Erstgespräch, kostenlos.Welche Fristen treffen Sie wirklich? Erste Einordnung direkt am Telefon — ohne Vertriebsdruck.
  2. 2
    Infrastrukturanalyse zum Festpreis.Wir erfassen Server, Clients, Lizenzen und Compliance-Lücken — und übergeben einen priorisierten Handlungsplan, den Sie auch ohne uns umsetzen können.
  3. 3
    Umsetzung ohne Hektik.Migrationen gebündelt statt einzeln, zum Festpreis, mit Puffer vor der Frist — Ihr Tagesgeschäft läuft dabei weiter.

Häufige Fragen zu den IT-Stichtagen

Welcher IT-Stichtag ist für die meisten Unternehmen am dringendsten?

Das Support-Ende von Windows Server 2016 am 12. Januar 2027. Nicht, weil es das nächste Datum ist — sondern weil eine Server-Migration 3 bis 6 Monate Vorlauf braucht und oft Domain Controller, Dateiserver und ERP betrifft. Wer erst im Herbst startet, migriert unter Zeitdruck. Der nächstliegende Termin ist der EU AI Act: Ab dem 2. August 2026 müssen Chatbots und KI-Inhalte gekennzeichnet werden.

Unsere Systeme laufen doch weiter — warum sind Support-Enden überhaupt ein Problem?

Die Systeme laufen weiter, aber jede neu entdeckte Sicherheitslücke bleibt für immer offen — und Angreifer suchen gezielt nach Systemen ohne Updates. Dazu kommt: Cyber-Versicherer fragen im Schadensfall zuerst nach dem Patch-Stand. Ein Server ohne Support kann Sie den Versicherungsschutz kosten, und bei NIS2-regulierten Unternehmen ist veraltete Software ein handfester Compliance-Verstoß.

Reichen die Windows-10-ESU nicht einfach bis 2028?

Technisch ja, wirtschaftlich selten. Die ESU-Preise verdoppeln sich in jedem Jahr, Sie bekommen ausschließlich Sicherheitsupdates — keine neuen Funktionen, keine Fehlerbehebungen — und am 10. Oktober 2028 ist endgültig Schluss. Für einzelne Spezialgeräte kann ESU die richtige Brücke sein. Für die Masse der Arbeitsplätze ist die Windows-11-Migration fast immer günstiger als drei Jahre ESU.

Betrifft NIS2 auch uns als kleineres Unternehmen?

Möglicherweise ja. Die Schwelle liegt in der Regel bei 50 Mitarbeitern oder 10 Millionen Euro Umsatz — aber nur in den regulierten Sektoren, etwa Energie, Transport, Gesundheit, Lebensmittel, verarbeitendes Gewerbe oder IT-Dienste. Und selbst wer nicht direkt betroffen ist, bekommt NIS2 oft über die Lieferkette auf den Tisch, weil große Kunden Sicherheitsnachweise verlangen. Das BSI bietet online eine Betroffenheitsprüfung an.

Wir nutzen nur ChatGPT und Microsoft Copilot — betrifft uns der AI Act trotzdem?

Ja, als Betreiber. Seit Februar 2025 gilt die Pflicht zur KI-Kompetenz: Wer KI im Unternehmen einsetzt, muss seine Mitarbeiter dafür schulen. Ab dem 2. August 2026 kommen die Transparenzpflichten dazu — ein KI-Chatbot im Kundenkontakt muss sich als KI zu erkennen geben, KI-erzeugte Bilder und Deepfakes müssen gekennzeichnet werden. Die schweren Hochrisiko-Pflichten treffen dagegen nur bestimmte Anwendungsfälle, etwa KI im Bewerber-Screening.

Wie hilft hagel IT konkret bei diesen Stichtagen?

In drei Schritten: Im kostenlosen 15-Minuten-Erstgespräch klären wir, welche Fristen Sie überhaupt treffen. Danach folgt auf Wunsch eine Infrastrukturanalyse zum Festpreis — wir erfassen Server, Clients, Lizenzen und Compliance-Lücken und übergeben einen priorisierten Handlungsplan, den Sie auch ohne uns umsetzen können. Und wer möchte, bekommt die Umsetzung aus einer Hand: Migrationen gebündelt, zum Festpreis, mit Termin deutlich vor der Frist.

Welcher Stichtag trifft Sie zuerst?

Finden wir in 15 Minuten heraus — kostenlos, ohne Vertriebsdruck. Danach wissen Sie, was ansteht, was warten kann und was ein Festpreis-Projekt wäre.

Ein Mensch nimmt ab: 040 284 10 26-0 · Mo–Fr 8–18 Uhr