Einleitung
Mit der Verabschiedung des EU AI Act entsteht erstmals ein umfassender regulatorischer Rahmen für den Einsatz von Künstlicher Intelligenz in der Europäischen Union. Besonders im Fokus stehen KI-Systeme mit erhöhtem Risiko, deren Einsatz potenziell Auswirkungen auf Sicherheit, Gesundheit oder Grundrechte haben kann. In diesem Zusammenhang gewinnen etablierte Disziplinen wie funktionale Sicherheit und Cybersecurity zusätzlich an Bedeutung, da sie eng mit den Anforderungen an vertrauenswürdige KI verknüpft sind.
Regulatorischer Rahmen und Risikobasierter Ansatz
Der EU AI Act verfolgt einen risikobasierten Ansatz, bei dem KI-Systeme in verschiedene Klassen eingeteilt werden – von minimalem bis hin zu inakzeptablem Risiko. Hochrisiko-KI-Systeme unterliegen dabei strengen Anforderungen, insbesondere in Bezug auf Transparenz, Nachvollziehbarkeit, Datenqualität und Robustheit.
Diese Anforderungen überschneiden sich in vielen Bereichen mit bestehenden Regelwerken der funktionalen Sicherheit und Cybersecurity. So sind beispielsweise strukturierte Entwicklungsprozesse, systematische Risikoanalysen sowie dokumentierte Prüfverfahren zentrale Elemente, die sowohl im regulatorischen Kontext als auch in etablierten Normen gefordert werden.
Schnittstellen zur funktionalen Sicherheit
Funktionale Sicherheit befasst sich mit der Vermeidung unvertretbarer Risiken durch fehlerhafte Systeme. Normen wie IEC 61508 oder sektorspezifische Ableitungen (z. B. in der Automobil- oder Maschinenbauindustrie) definieren Anforderungen an den gesamten Lebenszyklus sicherheitsrelevanter Systeme.
KI-basierte Komponenten stellen hierbei besondere Herausforderungen dar, da ihr Verhalten häufig datengetrieben und nicht vollständig deterministisch ist. Aspekte wie Trainingsdaten, Modellvalidierung und kontinuierliches Lernen erfordern eine Erweiterung klassischer Sicherheitsbetrachtungen. Im regulatorischen Kontext wird daher verstärkt auf nachvollziehbare Entwicklungs- und Validierungsprozesse Bezug genommen.
Cybersecurity als integraler Bestandteil
Neben der funktionalen Sicherheit ist Cybersecurity ein wesentlicher Faktor für die Bewertung von KI-Systemen. Angriffe auf Daten, Modelle oder Schnittstellen können die Integrität und Verlässlichkeit eines Systems erheblich beeinträchtigen.
Normen und Standards wie ISO/SAE 21434 oder ISO/IEC 27001 adressieren Anforderungen an Informationssicherheit und Cybersecurity-Managementsysteme. Im Kontext des EU AI Act werden insbesondere Schutzmaßnahmen gegen Manipulation, unbefugten Zugriff sowie die Sicherstellung der Datenintegrität als relevante Aspekte betrachtet.
Die Integration von Cybersecurity-Anforderungen in den gesamten Lebenszyklus eines KI-Systems – von der Entwicklung bis zum Betrieb – wird dabei zunehmend als grundlegendes Element angesehen.
Normative Entwicklungen und Harmonisierung
Parallel zum EU AI Act entwickeln internationale Normungsorganisationen neue Standards, die spezifisch auf KI-Systeme ausgerichtet sind. Ein Beispiel ist die ISO/IEC 42001, die Anforderungen an Managementsysteme für Künstliche Intelligenz beschreibt.
Die Harmonisierung solcher Normen mit regulatorischen Anforderungen ermöglicht eine strukturierte Bewertung und schafft eine Grundlage für Prüf- und Zertifizierungsverfahren. Gleichzeitig werden bestehende Normen der funktionalen Sicherheit und Cybersecurity kontinuierlich weiterentwickelt, um den Besonderheiten von KI gerecht zu werden.
Technische und organisatorische Aspekte
Neben den regulatorischen und normativen Anforderungen spielen auch technische und organisatorische Maßnahmen eine zentrale Rolle. Dazu zählen unter anderem:
- Dokumentation von Trainings- und Testdaten
- Validierungs- und Verifikationsverfahren für KI-Modelle
- Überwachung des Systemverhaltens im Betrieb
- Rollen- und Verantwortlichkeitsdefinitionen innerhalb von Organisationen
- Etablierung von Prozessen für Änderungsmanagement und Incident Handling
Diese Aspekte tragen dazu bei, die Nachvollziehbarkeit und Transparenz von KI-Systemen sicherzustellen und sind in verschiedenen Regelwerken verankert.
Einordnung von Prüf-, Inspektions- und Zertifizierungsleistungen
Im Kontext der zunehmenden regulatorischen Anforderungen gewinnen unabhängige Prüf-, Inspektions- und Zertifizierungsleistungen weiter an Bedeutung. Sie ermöglichen eine strukturierte Bewertung von Systemen, Prozessen und Managementsystemen auf Basis anerkannter Normen und gesetzlicher Vorgaben.
Die intellcert GmbH bietet in diesem Zusammenhang Dienstleistungen in den Bereichen Zertifizierung, Inspektion und Schulung an, die sich auf funktionale Sicherheit, Cybersecurity und KI beziehen. Diese Leistungen orientieren sich an relevanten Standards und unterstützen die transparente Bewertung von Systemen und Organisationen.
Fazit
Der EU AI Act stellt einen wichtigen Schritt zur Regulierung von KI-Systemen dar und schafft einen verbindlichen Rahmen für deren Bewertung. Die enge Verzahnung mit funktionaler Sicherheit und Cybersecurity verdeutlicht, dass ein interdisziplinärer Ansatz erforderlich ist, um den Anforderungen gerecht zu werden.
Mit der Weiterentwicklung von Normen und Prüfverfahren entsteht ein zunehmend strukturiertes Umfeld, das die Bewertung und Einordnung von KI-Systemen erleichtert. Für Organisationen ergeben sich daraus klare Anforderungen, aber auch neue Möglichkeiten zur systematischen Auseinandersetzung mit regulatorischen und technischen Fragestellungen.
Schlagwörter:
EU AI Act; KI-Regulierung; funktionale Sicherheit; Cybersecurity; Hochrisiko-KI; Konformitätsbewertung; ISO/IEC 42001; IEC 61508; ISO/SAE 21434; Zertifizierung; Inspektion; Schulung; Compliance; Normen; Auditierung
Hashtags:
#EUAIAct; #KünstlicheIntelligenz; #FunktionaleSicherheit; #Cybersecurity; #Zertifizierung; #Inspektion; #Schulung; #Compliance; #ISO42001; #IEC61508; #ISO21434; #Akkreditierung
