Die neue EU KI-Verordnung

Ab dem 2. Februar 2025 gelten in der Europäischen Union die Allgemeinen Bestimmungen und Verbote der am 02. August 2024 in Kraft getretenen KI-Verordnung (Englisch: AI Act).

Die Verordnung soll für einen sicheren Umgang mit künstlicher Intelligenz (KI) sorgen. Der AI Act ist ein wichtiger Schritt, um die Rechte der Bürger und Bürgerinnen in der EU zu schützen und gleichzeitig die Innovationen in der KI-Branche zu fördern. Durch die Kombination von Konformitätsbewertungen, Anforderungen an die Kompetenz der Anwender und der Entwicklung von eigenständigen KI-Systemen folgt die EU einem einzigartigen Ansatz, der Innovation und Verantwortung im Gleichgewicht halten soll.

Ein zentraler Bestandteil der neuen Verordnung ist das Verbot von KI-Systemen, die unannehmbares Risiko bergen. Dazu gehören insbesondere Anwendungen, die soziale Verhaltensbewertungen vornehmen, bei denen Menschen in bestimmte Kategorien eingeteilt oder belohnt/bestraft werden. Ein weiteres Verbotsziel sind Gesichtserkennungssysteme im öffentlichen Raum, die nur mit wenigen Ausnahmen erlaubt sind, wie der Verfolgung von Straftaten durch die Polizei oder andere Sicherheitsbehörden.

Ein weiterer Schwerpunkt der Verordnung liegt auf der Kompetenz der Anwender von Hochrisiko-KI-Systemen. Ab dem 2. Februar 2025 dürfen Mitarbeiterinnen und Mitarbeiter KI am Arbeitsplatz nur nutzen, wenn sie über ausreichende Kenntnisse, Erfahrung und Ausbildung verfügen. Dies bezieht sich auf technische Kenntnisse, die Verständigung des Anwendungskontexts sowie Erfahrungen und Schulungen im Umgang mit KI.

Die Verpflichtung zur KI-Kompetenz gilt für alle Anbieter und Betreiber, unabhängig von ihrer Größe oder Ausrichtung.

In den kommenden Monaten ist ein Leitfaden für General Purpose AI (GPAI) zu erwarten, der den rechtssicheren Umgang mit diesen Systemen beschreiben soll. In diesem Zusammenhang werden auch Anforderungen an die technische Dokumentation, die Offenlegung der Trainingsdaten und die rechtlichen Fragen rund um Urheberrechte gestellt.

Die EU plant zudem, eigene KI-Modelle zu entwickeln, um die Abhängigkeit von US-amerikanischen Anbietern zu reduzieren. Ziel ist es, offene, mehrsprachige Sprachmodelle zu schaffen, die allen Bürgern, Unternehmen und Behörden zugänglich sind. Dies soll auch sicherstellen, dass Sprachen, die weniger verbreitet sind, nicht vernachlässigt werden.

Die gesamte KI-Verordnung finde Sie hier.

Die KI-Verordnung klassifiziert KI-Systeme in vier Risikostufen: unannehmbares Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko. Für Unternehmen, die KI in IT- und OT-Umgebungen einsetzen, ergeben sich daraus klare Vorgaben und neue Herausforderungen:

• Risikobewertung von KI-Systemen: Bestehende IT-/OT-Sicherheitsprozesse müssen angepasst werden, um KI-spezifische Risiken zu identifizieren und zu minimieren. Dies umfasst die Analyse von Fehlfunktionen, potenziellen Manipulationen sowie unbeabsichtigten Konsequenzen durch KI-gestützte Entscheidungen.
• Dokumentationspflichten: Unternehmen müssen umfassende Nachweise über die Sicherheit und Integrität ihrer KI-Anwendungen erbringen. Dies betrifft auch die OT-Sicherheitslandschaft, in der der Einsatz von KI zunehmend für Automatisierungs- und Optimierungsprozesse genutzt wird. Die Transparenzanforderungen beinhalten die Offenlegung von Algorithmen, Trainingsdaten und Entscheidungsprozessen.
• Synergien mit bestehenden Standards: Der AI-Act ist eng mit bestehenden IT-Sicherheitsstandards wie ISO 27001, NIS-2 und branchenspezifischen Richtlinien wie der TRBS 1115-1 verknüpft. Unternehmen können diese Synergien nutzen, um ihre Sicherheitskonzepte zu optimieren und neue Compliance-Anforderungen effizient zu integrieren.

• Durchführung eines Quick Health Checks (QHC): Eine erste Bestandsaufnahme der bestehenden IT-/OT-Sicherheitsarchitektur hilft, potenzielle Schwachstellen im Umgang mit KI zu identifizieren. Dieser unkomplizierte Einstieg liefert wertvolle Erkenntnisse und bildet die Grundlage für weiterführende Maßnahmen.
• Erweiterte Gefährdungsbeurteilungen (GBU): KI-spezifische Risiken müssen in bestehende Gefährdungsbeurteilungen integriert werden. Dazu gehören Bedrohungen wie Bias in Trainingsdaten, fehlerhafte Entscheidungsprozesse oder die Manipulation von KI-Systemen in OT-Umgebungen.
• Schulungen und Sensibilisierung: Führungskräfte und OT-Personal sollten gezielt auf die neuen regulatorischen Anforderungen vorbereitet werden. Neben technischem Know-how ist das Verständnis für rechtliche und ethische Aspekte der KI-Nutzung entscheidend.
• Integration von KI-Governance-Strukturen: Unternehmen sollten interne Richtlinien und Kontrollmechanismen entwickeln, um den sicheren und verantwortungsvollen Einsatz von KI-Systemen zu gewährleisten. Dies umfasst auch die Ernennung von KI-Verantwortlichen und die Einrichtung von Compliance-Teams.

Die KI-Verordnung ist nicht nur eine regulatorische Herausforderung, sondern auch eine Chance, Innovationspotenziale sicher zu nutzen. Unternehmen, die frühzeitig auf die neuen Anforderungen reagieren, können sich als Vorreiter im Bereich der sicheren und verantwortungsvollen KI-Nutzung positionieren. Dies stärkt nicht nur das Vertrauen von Kunden und Partnern, sondern erhöht auch die Wettbewerbsfähigkeit auf dem internationalen Markt.

Besonders im Bereich der industriellen Steuerungssysteme (OT) bietet die KI-Verordnung die Möglichkeit, KI-gestützte Optimierungen sicher und transparent zu implementieren. Unternehmen können dadurch nicht nur ihre Effizienz steigern, sondern auch neue Geschäftsmodelle entwickeln.

Die KI-Verordnung setzt neue Standards für den Umgang mit Künstlicher Intelligenz und fordert Unternehmen heraus, ihre IT-/OT-Sicherheitsstrategien anzupassen. Mit einem proaktiven Ansatz können Unternehmen nicht nur die gesetzlichen Anforderungen erfüllen, sondern auch ihre Innovationskraft und Wettbewerbsfähigkeit stärken. Die Kombination aus regulatorischer Klarheit und technologischem Fortschritt bietet die Grundlage für eine verantwortungsvolle und zukunftssichere Nutzung von KI in Europa.

Quellen:

Zdf heute | handelsblatt | heise | https://ai-act-law.eu/de/