EU AI Act · ISO/IEC 42001

EU AI Act Compliance für Industrie und Mittelstand

Seit dem 1. August 2024 ist der AI Act in Kraft, seit dem 2. Februar 2025 gelten die ersten Verbote. Das Thema betrifft nicht nur KI-Entwickler, sondern auch Maschinenbauer, OT-Betreiber und Unternehmen, die KI-Komponenten einsetzen oder in Produkte integrieren.

EU AI Act 2024/1689 ISO/IEC 42001 Hochrisiko-KI Maschinenverordnung

Rechtsstand 23. Juni 2026: Das EU-Parlament hat die Verschiebung der Hochrisiko-Regeln beschlossen. Vorgesehen sind der 2. Dezember 2027 für Anhang-III-Systeme und der 2. August 2028 für KI in regulierten Produkten. Ratsannahme und Veröffentlichung stehen noch aus. Die frühere Einordnung mit Prüfstand 26. März 2026 ist damit überholt.

Die Situation

Der AI Act gilt — nur merken es die Wenigsten

Die meisten mittelständischen Unternehmen behandeln den EU AI Act wie eine ferne Bedrohung — irgendwo zwischen DSGVO-Erfahrungsschock und regulatorischer Erschöpfung eingefroren. Das ist ein Fehler.

Wer KI einsetzt — und sei es nur als eingebettetes Modul in einer zugekauften Anlage — trägt Verantwortung, die das Gesetz konkret adressiert. Das Marktortprinzip zieht weit: Nicht nur Entwickler, sondern auch Betreiber, Importeure und Händler fallen unter den Act.

Im OT-Umfeld liegt der Anteil sicherheitsrelevanter KI-Einsatzszenarien strukturell höher als im Consumer-Bereich. Qualitätskontrollsysteme, die autonom Ausschussentscheidungen treffen, oder KI-gestützte Anomalieerkennung im Prozessleitsystem — beides potenziell prüfpflichtig.

Leistungen

Was ich für Ihre AI Act Konformität tue

01

KI-Bestandsaufnahme

Welche KI-Systeme sind im Einsatz oder in der Entwicklung — selbst entwickelt, zugekauft oder als Komponente verbaut? KI in Produkten ist oft nicht explizit als solche ausgewiesen. Strukturierte Erfassung aller Systeme als Grundlage für die Klassifizierung.

02

Risikoklassifizierung

Systematische Prüfung jedes KI-Systems gegen die vier Risikoklassen des AI Act. Im Zweifel: Hochrisiko-Einstufung als Arbeitshypothese. Bei OT-Systemen besondere Prüfung auf sicherheitsrelevante Funktionen — der Schlüsselbegriff des Gesetzes.

03

Gap-Analyse Hochrisiko-KI

Abgleich gegen die Anforderungen aus Kapitel III Abschnitt 2 des AI Act: Datendokumentation, Transparenzpflichten, menschliche Aufsicht, Genauigkeit und Robustheit, Cybersicherheit. Schriftlicher Bericht mit priorisiertem Maßnahmenplan.

04

ISO/IEC 42001 Integration

Aufbau eines AI Management Systems (AIMS) nach ISO/IEC 42001 als Strukturierungshilfe. Die AI Act-spezifischen Anforderungen werden gezielt ergänzt — kein Entweder-oder, sondern ein integrierter Ansatz.

05

Konformitätsbewertung

Bei Hochrisiko-KI: Begleitung des formalen Konformitätsbewertungsverfahrens, Vorbereitung der technischen Dokumentation, Unterstützung bei der Notifizierung.

06

Schulung & Governance

Management-Briefing zum AI Act: Wer haftet? Was ist verboten? Welche Fristen gelten? Aufbau interner Governance-Strukturen für den verantwortungsvollen KI-Einsatz.

Fristen · Stand 23. Juni 2026

Der aktuelle Stufenplan des AI Act

1

2. Februar 2025 — Verbote wirksam

Verbote für KI-Systeme mit unannehmbarem Risiko gelten. Social Scoring, Echtzeit-Biometrie in der Öffentlichkeit, manipulative Systeme: verboten.

2

2. August 2025 — GPAI-Modelle

Verpflichtungen für Anbieter von General Purpose AI Modellen (wie große Sprachmodelle) werden wirksam.

3

2. Dezember 2027 — Hochrisiko-KI nach Anhang III

Dieser neue späteste Anwendungstermin ist politisch vereinbart und vom EU-Parlament beschlossen. Er betrifft unter anderem Systeme in Personalwesen, kritischer Infrastruktur, Bildung, Strafverfolgung und Migration. Die formale Annahme durch den Rat steht noch aus.

4

2. August 2028 — KI in regulierten Produkten

Für Hochrisiko-KI als Sicherheitskomponente regulierter Produkte ist dieser neue späteste Termin vorgesehen. Bei Produktentwicklungszyklen von 18 bis 36 Monaten bleibt der Vorlauf knapp: Klassifizierung, technische Nachweise und Konformitätsbewertung entstehen nicht kurz vor Markteinführung.

Regulatorischer Rahmen

Relevante Normen und Regelwerke

EU 2024/1689

EU AI Act

In Kraft seit August 2024 · Vier Risikoklassen · Marktortprinzip · Geänderte Hochrisiko-Fristen im EU-Verfahren

ISO/IEC 42001

AI Management System

AIMS-Standard · PDCA-Schema · Ergänzt AI Act-Anforderungen · Kein automatischer Freifahrtschein

EU 2023/1230

Maschinenverordnung

Schnittstelle zum AI Act · KI-Sicherheitsfunktionen in Maschinen · Hochrisiko-Einstufung immer im Einzelfall prüfen

ISO/IEC 27001

ISMS / Cybersicherheit

AI Act fordert Cybersicherheit für Hochrisiko-KI · ISO 27001 als bewährte Grundlage

Häufige Fragen

EU AI Act — Was Unternehmen wissen wollen

Bin ich als Maschinenbauer vom EU AI Act betroffen?

Betroffen können Sie sein, wenn KI-Komponenten in Maschinen Sicherheitsfunktionen übernehmen oder als Teil eines regulierten Produkts einzuordnen sind. Nicht jede KI-Funktion in einer Maschine ist automatisch Hochrisiko. Genau diese Abgrenzung muss im Einzelfall sauber geprüft werden — besonders bei sicherheitsrelevanten OT-Anwendungen.

Ab wann gilt der AI Act für mein Unternehmen?

Rechtsstand 23. Juni 2026 gelten die Verbote seit 2. Februar 2025 und die GPAI-Pflichten seit 2. August 2025. Für Hochrisiko-KI hat das EU-Parlament am 16. Juni 2026 neue Termine beschlossen: 2. Dezember 2027 für eigenständige Hochrisiko-Systeme nach Anhang III und 2. August 2028 für Hochrisiko-KI in regulierten Produkten. Die Annahme durch den Rat und die Veröffentlichung im EU-Amtsblatt stehen noch aus. Bis dahin muss der Verfahrensstand bei jeder Projektplanung mitgeprüft werden.

Was ist eine AI Act Risikoklassifizierung?

Eine systematische Prüfung aller KI-Systeme in Ihrem Unternehmen gegen die vier Risikoklassen des AI Act: unannehmbares Risiko (verboten), hohes Risiko (streng reguliert), begrenztes Risiko und geringes Risiko. Entscheidend ist nicht ob Sie KI einsetzen, sondern in welchem Kontext und mit welchen Auswirkungen. Im OT-Umfeld ist der Anteil sicherheitsrelevanter Einsatzszenarien strukturell höher als im Consumer-Bereich.

Schützt eine ISO/IEC 42001-Zertifizierung vor AI Act-Pflichten?

Nein — ISO/IEC 42001 schafft keine automatische AI Act-Konformität. Die Norm deckt Governance und Prozessqualität ab, der Act fordert zusätzlich produktbezogene Anforderungen, technische Nachweise und bei Hochrisiko-KI formale Konformitätsbewertungsverfahren. Beide ergänzen sich sinnvoll: ISO/IEC 42001 als Strukturierungshilfe, die AI Act-Anforderungen gezielt draufgesattelt.

Was kostet ein AI Act Compliance-Projekt?

Das hängt stark von der Anzahl der KI-Systeme und der Risikoklasse ab. Eine Bestandsaufnahme und Risikoklassifizierung dauert typisch 2–4 Wochen. Eine vollständige Gap-Analyse für Hochrisiko-KI 4–8 Wochen. Ich empfehle als ersten Schritt ein kostenloses 45-Minuten-Gespräch zur Einschätzung des Umfangs.

Weiterführend

Passende nächste Themen

Erstgespräch kostenlos

Bereit für den nächsten Schritt?

Antwort innerhalb von 24 Stunden. Kein Verkaufsgespräch — ein ehrliches Erstgespräch über Ihre Situation.

info@tpc-security.de · Leipheim / deutschlandweit