EU AI Act Compliance für Industrie und Mittelstand
Seit dem 1. August 2024 ist der AI Act in Kraft, seit dem 2. Februar 2025 gelten die ersten Verbote. Das Thema betrifft nicht nur KI-Entwickler, sondern auch Maschinenbauer, OT-Betreiber und Unternehmen, die KI-Komponenten einsetzen oder in Produkte integrieren.
Rechtsstand 23. Juni 2026: Das EU-Parlament hat die Verschiebung der Hochrisiko-Regeln beschlossen. Vorgesehen sind der 2. Dezember 2027 für Anhang-III-Systeme und der 2. August 2028 für KI in regulierten Produkten. Ratsannahme und Veröffentlichung stehen noch aus. Die frühere Einordnung mit Prüfstand 26. März 2026 ist damit überholt.
Der AI Act gilt — nur merken es die Wenigsten
Die meisten mittelständischen Unternehmen behandeln den EU AI Act wie eine ferne Bedrohung — irgendwo zwischen DSGVO-Erfahrungsschock und regulatorischer Erschöpfung eingefroren. Das ist ein Fehler.
Wer KI einsetzt — und sei es nur als eingebettetes Modul in einer zugekauften Anlage — trägt Verantwortung, die das Gesetz konkret adressiert. Das Marktortprinzip zieht weit: Nicht nur Entwickler, sondern auch Betreiber, Importeure und Händler fallen unter den Act.
Im OT-Umfeld liegt der Anteil sicherheitsrelevanter KI-Einsatzszenarien strukturell höher als im Consumer-Bereich. Qualitätskontrollsysteme, die autonom Ausschussentscheidungen treffen, oder KI-gestützte Anomalieerkennung im Prozessleitsystem — beides potenziell prüfpflichtig.
Was ich für Ihre AI Act Konformität tue
KI-Bestandsaufnahme
Welche KI-Systeme sind im Einsatz oder in der Entwicklung — selbst entwickelt, zugekauft oder als Komponente verbaut? KI in Produkten ist oft nicht explizit als solche ausgewiesen. Strukturierte Erfassung aller Systeme als Grundlage für die Klassifizierung.
Risikoklassifizierung
Systematische Prüfung jedes KI-Systems gegen die vier Risikoklassen des AI Act. Im Zweifel: Hochrisiko-Einstufung als Arbeitshypothese. Bei OT-Systemen besondere Prüfung auf sicherheitsrelevante Funktionen — der Schlüsselbegriff des Gesetzes.
Gap-Analyse Hochrisiko-KI
Abgleich gegen die Anforderungen aus Kapitel III Abschnitt 2 des AI Act: Datendokumentation, Transparenzpflichten, menschliche Aufsicht, Genauigkeit und Robustheit, Cybersicherheit. Schriftlicher Bericht mit priorisiertem Maßnahmenplan.
ISO/IEC 42001 Integration
Aufbau eines AI Management Systems (AIMS) nach ISO/IEC 42001 als Strukturierungshilfe. Die AI Act-spezifischen Anforderungen werden gezielt ergänzt — kein Entweder-oder, sondern ein integrierter Ansatz.
Konformitätsbewertung
Bei Hochrisiko-KI: Begleitung des formalen Konformitätsbewertungsverfahrens, Vorbereitung der technischen Dokumentation, Unterstützung bei der Notifizierung.
Schulung & Governance
Management-Briefing zum AI Act: Wer haftet? Was ist verboten? Welche Fristen gelten? Aufbau interner Governance-Strukturen für den verantwortungsvollen KI-Einsatz.
Der aktuelle Stufenplan des AI Act
2. Februar 2025 — Verbote wirksam
Verbote für KI-Systeme mit unannehmbarem Risiko gelten. Social Scoring, Echtzeit-Biometrie in der Öffentlichkeit, manipulative Systeme: verboten.
2. August 2025 — GPAI-Modelle
Verpflichtungen für Anbieter von General Purpose AI Modellen (wie große Sprachmodelle) werden wirksam.
2. Dezember 2027 — Hochrisiko-KI nach Anhang III
Dieser neue späteste Anwendungstermin ist politisch vereinbart und vom EU-Parlament beschlossen. Er betrifft unter anderem Systeme in Personalwesen, kritischer Infrastruktur, Bildung, Strafverfolgung und Migration. Die formale Annahme durch den Rat steht noch aus.
2. August 2028 — KI in regulierten Produkten
Für Hochrisiko-KI als Sicherheitskomponente regulierter Produkte ist dieser neue späteste Termin vorgesehen. Bei Produktentwicklungszyklen von 18 bis 36 Monaten bleibt der Vorlauf knapp: Klassifizierung, technische Nachweise und Konformitätsbewertung entstehen nicht kurz vor Markteinführung.
Relevante Normen und Regelwerke
EU AI Act
In Kraft seit August 2024 · Vier Risikoklassen · Marktortprinzip · Geänderte Hochrisiko-Fristen im EU-Verfahren
AI Management System
AIMS-Standard · PDCA-Schema · Ergänzt AI Act-Anforderungen · Kein automatischer Freifahrtschein
Maschinenverordnung
Schnittstelle zum AI Act · KI-Sicherheitsfunktionen in Maschinen · Hochrisiko-Einstufung immer im Einzelfall prüfen
ISMS / Cybersicherheit
AI Act fordert Cybersicherheit für Hochrisiko-KI · ISO 27001 als bewährte Grundlage
EU AI Act — Was Unternehmen wissen wollen
Bin ich als Maschinenbauer vom EU AI Act betroffen?
Betroffen können Sie sein, wenn KI-Komponenten in Maschinen Sicherheitsfunktionen übernehmen oder als Teil eines regulierten Produkts einzuordnen sind. Nicht jede KI-Funktion in einer Maschine ist automatisch Hochrisiko. Genau diese Abgrenzung muss im Einzelfall sauber geprüft werden — besonders bei sicherheitsrelevanten OT-Anwendungen.
Ab wann gilt der AI Act für mein Unternehmen?
Rechtsstand 23. Juni 2026 gelten die Verbote seit 2. Februar 2025 und die GPAI-Pflichten seit 2. August 2025. Für Hochrisiko-KI hat das EU-Parlament am 16. Juni 2026 neue Termine beschlossen: 2. Dezember 2027 für eigenständige Hochrisiko-Systeme nach Anhang III und 2. August 2028 für Hochrisiko-KI in regulierten Produkten. Die Annahme durch den Rat und die Veröffentlichung im EU-Amtsblatt stehen noch aus. Bis dahin muss der Verfahrensstand bei jeder Projektplanung mitgeprüft werden.
Was ist eine AI Act Risikoklassifizierung?
Eine systematische Prüfung aller KI-Systeme in Ihrem Unternehmen gegen die vier Risikoklassen des AI Act: unannehmbares Risiko (verboten), hohes Risiko (streng reguliert), begrenztes Risiko und geringes Risiko. Entscheidend ist nicht ob Sie KI einsetzen, sondern in welchem Kontext und mit welchen Auswirkungen. Im OT-Umfeld ist der Anteil sicherheitsrelevanter Einsatzszenarien strukturell höher als im Consumer-Bereich.
Schützt eine ISO/IEC 42001-Zertifizierung vor AI Act-Pflichten?
Nein — ISO/IEC 42001 schafft keine automatische AI Act-Konformität. Die Norm deckt Governance und Prozessqualität ab, der Act fordert zusätzlich produktbezogene Anforderungen, technische Nachweise und bei Hochrisiko-KI formale Konformitätsbewertungsverfahren. Beide ergänzen sich sinnvoll: ISO/IEC 42001 als Strukturierungshilfe, die AI Act-Anforderungen gezielt draufgesattelt.
Was kostet ein AI Act Compliance-Projekt?
Das hängt stark von der Anzahl der KI-Systeme und der Risikoklasse ab. Eine Bestandsaufnahme und Risikoklassifizierung dauert typisch 2–4 Wochen. Eine vollständige Gap-Analyse für Hochrisiko-KI 4–8 Wochen. Ich empfehle als ersten Schritt ein kostenloses 45-Minuten-Gespräch zur Einschätzung des Umfangs.