EU AI Act Compliance für Industrie und Mittelstand
Seit August 2024 ist er in Kraft, seit Februar 2025 greifen die ersten Verbote. Der EU AI Act ist geltendes Recht — nicht nur für KI-Entwickler, sondern auch für Maschinenbauer, OT-Betreiber und jeden, der KI-Komponenten einsetzt oder verbaut.
Der AI Act gilt — nur merken es die Wenigsten
Die meisten mittelständischen Unternehmen behandeln den EU AI Act wie eine ferne Bedrohung — irgendwo zwischen DSGVO-Erfahrungsschock und regulatorischer Erschöpfung eingefroren. Das ist ein Fehler.
Wer KI einsetzt — und sei es nur als eingebettetes Modul in einer zugekauften Anlage — trägt Verantwortung, die das Gesetz konkret adressiert. Das Marktortprinzip zieht weit: Nicht nur Entwickler, sondern auch Betreiber, Importeure und Händler fallen unter den Act.
Im OT-Umfeld liegt der Anteil sicherheitsrelevanter KI-Einsatzszenarien strukturell höher als im Consumer-Bereich. Qualitätskontrollsysteme, die autonom Ausschussentscheidungen treffen, oder KI-gestützte Anomalieerkennung im Prozessleitsystem — beides potenziell prüfpflichtig.
Was ich für Ihre AI Act Konformität tue
KI-Bestandsaufnahme
Welche KI-Systeme sind im Einsatz oder in der Entwicklung — selbst entwickelt, zugekauft oder als Komponente verbaut? KI in Produkten ist oft nicht explizit als solche ausgewiesen. Strukturierte Erfassung aller Systeme als Grundlage für die Klassifizierung.
Risikoklassifizierung
Systematische Prüfung jedes KI-Systems gegen die vier Risikoklassen des AI Act. Im Zweifel: Hochrisiko-Einstufung als Arbeitshypothese. Bei OT-Systemen besondere Prüfung auf sicherheitsrelevante Funktionen — der Schlüsselbegriff des Gesetzes.
Gap-Analyse Hochrisiko-KI
Abgleich gegen die Anforderungen aus Kapitel III Abschnitt 2 des AI Act: Datendokumentation, Transparenzpflichten, menschliche Aufsicht, Genauigkeit und Robustheit, Cybersicherheit. Schriftlicher Bericht mit priorisiertem Maßnahmenplan.
ISO/IEC 42001 Integration
Aufbau eines AI Management Systems (AIMS) nach ISO/IEC 42001 als Strukturierungshilfe. Die AI Act-spezifischen Anforderungen werden gezielt ergänzt — kein Entweder-oder, sondern ein integrierter Ansatz.
Konformitätsbewertung
Bei Hochrisiko-KI: Begleitung des formalen Konformitätsbewertungsverfahrens, Vorbereitung der technischen Dokumentation, Unterstützung bei der Notifizierung.
Schulung & Governance
Management-Briefing zum AI Act: Wer haftet? Was ist verboten? Welche Fristen gelten? Aufbau interner Governance-Strukturen für den verantwortungsvollen KI-Einsatz.
Der Stufenplan des AI Act
Februar 2025 — Verbote wirksam
Verbote für KI-Systeme mit unannehmbarem Risiko gelten. Social Scoring, Echtzeit-Biometrie in der Öffentlichkeit, manipulative Systeme: verboten.
August 2025 — GPAI-Modelle
Verpflichtungen für Anbieter von General Purpose AI Modellen (wie große Sprachmodelle) werden wirksam.
August 2026 — Hochrisiko-KI Anhang III
Vollständige Geltung für Hochrisiko-KI nach Anhang III: HR-Systeme, kritische Infrastruktur, Bildung, Strafverfolgung, Migration.
August 2027 — Eingebettete KI (Anhang I)
Hochrisiko-KI in regulierten Produkten wie MVO-Maschinen. Wer Produktentwicklungszyklen von 18–36 Monaten hat, muss heute beginnen.
Relevante Normen und Regelwerke
EU AI Act
In Kraft seit August 2024 · Vier Risikoklassen · Marktortprinzip · Stufenweise Geltung bis 2027
AI Management System
AIMS-Standard · PDCA-Schema · Ergänzt AI Act-Anforderungen · Kein automatischer Freifahrtschein
Maschinenverordnung
Schnittstelle zu AI Act · KI-Sicherheitsfunktionen in Maschinen · Anhang I Hochrisiko-Einordnung
ISMS / Cybersicherheit
AI Act fordert Cybersicherheit für Hochrisiko-KI · ISO 27001 als bewährte Grundlage
EU AI Act — Was Unternehmen wissen wollen
Bin ich als Maschinenbauer vom EU AI Act betroffen?
Ja, wenn Sie Maschinen mit KI-Komponenten entwickeln oder vertreiben, die Sicherheitsfunktionen übernehmen. KI-Systeme in Maschinen nach Maschinenverordnung (MVO) fallen unter die Hochrisiko-Kategorie des AI Act (Anhang I). Das gilt auch für zugekaufte KI-Module, die Sie in Ihre Produkte integrieren — Sie als Hersteller tragen die Verantwortung.
Ab wann gilt der AI Act für mein Unternehmen?
Die Verbote für unannehmbares Risiko gelten seit Februar 2025. GPAI-Modell-Pflichten ab August 2025. Für Hochrisiko-KI nach Anhang III gilt August 2026, für eingebettete KI in regulierten Produkten (z. B. MVO-Maschinen, Anhang I) gilt August 2027. Wer Produktentwicklungszyklen von 18–36 Monaten hat, muss jetzt anfangen.
Was ist eine AI Act Risikoklassifizierung?
Eine systematische Prüfung aller KI-Systeme in Ihrem Unternehmen gegen die vier Risikoklassen des AI Act: unannehmbares Risiko (verboten), hohes Risiko (streng reguliert), begrenztes Risiko und geringes Risiko. Entscheidend ist nicht ob Sie KI einsetzen, sondern in welchem Kontext und mit welchen Auswirkungen. Im OT-Umfeld ist der Anteil sicherheitsrelevanter Einsatzszenarien strukturell höher als im Consumer-Bereich.
Schützt eine ISO/IEC 42001-Zertifizierung vor AI Act-Pflichten?
Nein — ISO/IEC 42001 schafft keine automatische AI Act-Konformität. Die Norm deckt Governance und Prozessqualität ab, der Act fordert zusätzlich produktbezogene Anforderungen, technische Nachweise und bei Hochrisiko-KI formale Konformitätsbewertungsverfahren. Beide ergänzen sich sinnvoll: ISO/IEC 42001 als Strukturierungshilfe, die AI Act-Anforderungen gezielt draufgesattelt.
Was kostet ein AI Act Compliance-Projekt?
Das hängt stark von der Anzahl der KI-Systeme und der Risikoklasse ab. Eine Bestandsaufnahme und Risikoklassifizierung dauert typisch 2–4 Wochen. Eine vollständige Gap-Analyse für Hochrisiko-KI 4–8 Wochen. Ich empfehle als ersten Schritt ein kostenloses 45-Minuten-Gespräch zur Einschätzung des Umfangs.