EU AI Act Compliance für Industrie und Mittelstand
Seit dem 1. August 2024 ist der AI Act in Kraft, seit dem 2. Februar 2025 gelten die ersten Verbote. Rechtsstand 26. März 2026 ist klar: Das Thema betrifft nicht nur KI-Entwickler, sondern auch Maschinenbauer, OT-Betreiber und Unternehmen, die KI-Komponenten einsetzen oder in Produkte integrieren.
Rechtsstand 26. März 2026: Verbote seit 2. Februar 2025, GPAI-Pflichten seit 2. August 2025, Hochrisiko-KI nach Anhang III ab 2. August 2026 und KI in regulierten Produkten ab 2. August 2027.
Der AI Act gilt — nur merken es die Wenigsten
Die meisten mittelständischen Unternehmen behandeln den EU AI Act wie eine ferne Bedrohung — irgendwo zwischen DSGVO-Erfahrungsschock und regulatorischer Erschöpfung eingefroren. Das ist ein Fehler.
Wer KI einsetzt — und sei es nur als eingebettetes Modul in einer zugekauften Anlage — trägt Verantwortung, die das Gesetz konkret adressiert. Das Marktortprinzip zieht weit: Nicht nur Entwickler, sondern auch Betreiber, Importeure und Händler fallen unter den Act.
Im OT-Umfeld liegt der Anteil sicherheitsrelevanter KI-Einsatzszenarien strukturell höher als im Consumer-Bereich. Qualitätskontrollsysteme, die autonom Ausschussentscheidungen treffen, oder KI-gestützte Anomalieerkennung im Prozessleitsystem — beides potenziell prüfpflichtig.
Was ich für Ihre AI Act Konformität tue
KI-Bestandsaufnahme
Welche KI-Systeme sind im Einsatz oder in der Entwicklung — selbst entwickelt, zugekauft oder als Komponente verbaut? KI in Produkten ist oft nicht explizit als solche ausgewiesen. Strukturierte Erfassung aller Systeme als Grundlage für die Klassifizierung.
Risikoklassifizierung
Systematische Prüfung jedes KI-Systems gegen die vier Risikoklassen des AI Act. Im Zweifel: Hochrisiko-Einstufung als Arbeitshypothese. Bei OT-Systemen besondere Prüfung auf sicherheitsrelevante Funktionen — der Schlüsselbegriff des Gesetzes.
Gap-Analyse Hochrisiko-KI
Abgleich gegen die Anforderungen aus Kapitel III Abschnitt 2 des AI Act: Datendokumentation, Transparenzpflichten, menschliche Aufsicht, Genauigkeit und Robustheit, Cybersicherheit. Schriftlicher Bericht mit priorisiertem Maßnahmenplan.
ISO/IEC 42001 Integration
Aufbau eines AI Management Systems (AIMS) nach ISO/IEC 42001 als Strukturierungshilfe. Die AI Act-spezifischen Anforderungen werden gezielt ergänzt — kein Entweder-oder, sondern ein integrierter Ansatz.
Konformitätsbewertung
Bei Hochrisiko-KI: Begleitung des formalen Konformitätsbewertungsverfahrens, Vorbereitung der technischen Dokumentation, Unterstützung bei der Notifizierung.
Schulung & Governance
Management-Briefing zum AI Act: Wer haftet? Was ist verboten? Welche Fristen gelten? Aufbau interner Governance-Strukturen für den verantwortungsvollen KI-Einsatz.
Der Stufenplan des AI Act
2. Februar 2025 — Verbote wirksam
Verbote für KI-Systeme mit unannehmbarem Risiko gelten. Social Scoring, Echtzeit-Biometrie in der Öffentlichkeit, manipulative Systeme: verboten.
2. August 2025 — GPAI-Modelle
Verpflichtungen für Anbieter von General Purpose AI Modellen (wie große Sprachmodelle) werden wirksam.
2. August 2026 — Hochrisiko-KI nach Anhang III
Vollständige Geltung für Hochrisiko-KI nach Anhang III: HR-Systeme, kritische Infrastruktur, Bildung, Strafverfolgung, Migration.
2. August 2027 — KI in regulierten Produkten
Hochrisiko-KI in regulierten Produkten wie Maschinen, Medizinprodukten und weiteren CE-relevanten Produktgruppen. Wer Produktentwicklungszyklen von 18 bis 36 Monaten hat, muss heute beginnen.
Relevante Normen und Regelwerke
EU AI Act
In Kraft seit August 2024 · Vier Risikoklassen · Marktortprinzip · Stufenweise Geltung bis 2027
AI Management System
AIMS-Standard · PDCA-Schema · Ergänzt AI Act-Anforderungen · Kein automatischer Freifahrtschein
Maschinenverordnung
Schnittstelle zum AI Act · KI-Sicherheitsfunktionen in Maschinen · Hochrisiko-Einstufung immer im Einzelfall prüfen
ISMS / Cybersicherheit
AI Act fordert Cybersicherheit für Hochrisiko-KI · ISO 27001 als bewährte Grundlage
EU AI Act — Was Unternehmen wissen wollen
Bin ich als Maschinenbauer vom EU AI Act betroffen?
Betroffen können Sie sein, wenn KI-Komponenten in Maschinen Sicherheitsfunktionen übernehmen oder als Teil eines regulierten Produkts einzuordnen sind. Nicht jede KI-Funktion in einer Maschine ist automatisch Hochrisiko. Genau diese Abgrenzung muss im Einzelfall sauber geprüft werden — besonders bei sicherheitsrelevanten OT-Anwendungen.
Ab wann gilt der AI Act für mein Unternehmen?
Rechtsstand 26. März 2026 gilt der Stufenplan des AI Act unverändert: Verbote seit 2. Februar 2025, Pflichten für GPAI-Modelle seit 2. August 2025, Hochrisiko-KI nach Anhang III ab 2. August 2026 und Hochrisiko-KI in regulierten Produkten ab 2. August 2027. Wer Produktentwicklungszyklen von 18 bis 36 Monaten hat, sollte das jetzt einplanen.
Was ist eine AI Act Risikoklassifizierung?
Eine systematische Prüfung aller KI-Systeme in Ihrem Unternehmen gegen die vier Risikoklassen des AI Act: unannehmbares Risiko (verboten), hohes Risiko (streng reguliert), begrenztes Risiko und geringes Risiko. Entscheidend ist nicht ob Sie KI einsetzen, sondern in welchem Kontext und mit welchen Auswirkungen. Im OT-Umfeld ist der Anteil sicherheitsrelevanter Einsatzszenarien strukturell höher als im Consumer-Bereich.
Schützt eine ISO/IEC 42001-Zertifizierung vor AI Act-Pflichten?
Nein — ISO/IEC 42001 schafft keine automatische AI Act-Konformität. Die Norm deckt Governance und Prozessqualität ab, der Act fordert zusätzlich produktbezogene Anforderungen, technische Nachweise und bei Hochrisiko-KI formale Konformitätsbewertungsverfahren. Beide ergänzen sich sinnvoll: ISO/IEC 42001 als Strukturierungshilfe, die AI Act-Anforderungen gezielt draufgesattelt.
Was kostet ein AI Act Compliance-Projekt?
Das hängt stark von der Anzahl der KI-Systeme und der Risikoklasse ab. Eine Bestandsaufnahme und Risikoklassifizierung dauert typisch 2–4 Wochen. Eine vollständige Gap-Analyse für Hochrisiko-KI 4–8 Wochen. Ich empfehle als ersten Schritt ein kostenloses 45-Minuten-Gespräch zur Einschätzung des Umfangs.