Zum Inhalt springen

Support für ISO 27001:2022 und TISAX – von der Einführung bis zur Zertifizierung
Wir begleiten Ihr Unternehmen umfassend bei der Einführung und Umsetzung von ISO 27001:2022 und TISAX. Vereinbaren Sie ein unverbindliches Erstgespräch. Fordern Sie noch heute Ihr individuelles Angebot an.

Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Vier Risikostufen des EU AI-Act

Vier Risikostufen des EU AI-Act

Künstliche Intelligenz eröffnet enorme wirtschaftliche Potenziale, kann aber ebenso gravierende Schäden verursachen. Um Chancen und Gefahren in ein ausgewogenes Verhältnis zu bringen, hat die Europäische Union mit dem AI‑Act ein einheitliches Regelwerk geschaffen. Dessen Kern bildet eine risikobasierte Klassifikation aller KI‑Systeme. Die Einteilung legt fest, welche Pflichten Hersteller und Anwender künftig erfüllen müssen und wo der Gesetzgeber bewusst auf Vorgaben verzichtet.

Die Kategorien im Überblick

Risikogruppe Kurzbeschreibung Typische Beispiele Regulatorische Konsequenzen

Was heißt das für Unternehmen

  • Compliance sicherstellen
    Betriebe, deren KI in die Hochrisiko‑Klasse fällt, müssen ein umfassendes Risikomanagement etablieren, Audit‑fähige Dokumentation liefern und die Systeme fortlaufend überwachen. Wer diese Hausaufgaben früh erledigt, reduziert Bußgeldrisiken und Projektverzögerungen.
  • Vertrauensvorsprung nutzen
    „AI‑Act‑ready“ kann zum Qualitätsmerkmal werden – ähnlich wie „DSGVO‑konform“. Kunden und Investoren achten zunehmend darauf, ob KI‑Produkte rechtssicher und ethisch verantwortbar sind.
  • Kosten und Ressourcen planen
    Die Anforderungen reichen von regelmäßigen Bias‑Tests bis hin zu Post‑Market‑Monitoring. Gerade mittelständische Firmen sollten Budget und Rollen (z. B. AI‑Compliance‑Officer) rechtzeitig einplanen.

SMCT‑Management unterstützt Sie bei der EU‑AI‑Act‑Compliance

Ob Risikoklassifizierung, Dokumentation oder Schulung – unser Team sorgt dafür, dass Ihr Unternehmen KI‑Systeme sicher und rechtskonform betreibt.

  • Erstellen eines vollständigen KI‑Inventars & Risiko­bewertung
  • Aufsetzen von Prozessen für High‑Risk‑Systeme (CE‑Kennzeichen, Post‑Market‑Monitoring)
  • Prüfung Ihrer SaaS‑/Lieferantenverträge auf AI‑Act‑Konformität
  • Schulung & Awareness‑Pakete für Führungskräfte und Entwickler
  • Begleitung bei Audits und Behörden­anfragen
Beratung anfragen

Regulierte vs. nicht regulierte KI

  • Regulierte KI betrifft alle Systeme, die mit Grundrechten, Sicherheit oder wesentlichen Lebensbereichen interagieren. Hier greift der AI‑Act mit verbindlichen Pflichten.
  • Nicht regulierte KI umfasst Anwendungen der Kategorie „minimales Risiko“. Diese dürfen weiterhin ohne besondere Genehmigung entwickelt und genutzt werden – solange sie nicht in eine höhere Risikostufe hineinwachsen.

Handlungsempfehlungen

  • Bestandsaufnahme
    Führen Sie ein Inventar aller KI‑Funktionen im Unternehmen und ordnen Sie jede Anwendung einer Risikoklasse zu.
  • Lieferanten prüfen
    Lassen Sie sich von SaaS‑ oder Tool‑Anbietern schriftlich bestätigen, in welche Kategorie ihr Produkt fällt und welche Nachweise bereits vorliegen.
  • Governance anpassen
    Ergänzen Sie Ihr ISMS oder Datenschutz‑Management um ein AI‑Risiko‑Modul.
  • Schulung & Awareness
    Sensibilisieren Sie Fach‑ und Führungskräfte für die neuen Pflichten – insbesondere dort, wo KI Entscheidungen vorbereitet oder automatisiert trifft.

CE-Kennzeichnung im Kontext des EU AI-Act

Die CE‑Kennzeichnung („Conformité Européenne“) ist das sichtbare Zeichen, dass ein Produkt alle einschlägigen EU‑Vorschriften erfüllt und im Europäischen Wirtschaftsraum frei in Verkehr gebracht werden darf.
Mit dem AI‑Act (Verordnung (EU) 2024/1689) wird dieses etablierte Marktzugangs­verfahren erstmals auf hochrisikobewertete KI‑Systeme ausgedehnt.

Aspekt Kurz erklärt

FAQ – Risikostufen im EU AI Act

1 Was sind die vier Risikostufen des AI Act?
Der EU AI Act unterteilt KI-Systeme in vier Risikokategorien: 1. **Minimalrisiko** – KI wird wie Software behandelt, kaum Regulierungen. 2. **Geringes Risiko** – transparente Pflichten, z. B. Kennzeichnungspflicht. 3. **Hohes Risiko** – strenge Anforderungen an Managementsysteme, Dokumentation, Transparenz und Aufsicht. 4. **Unzulässiges Risiko** – Systeme, die als besonders gefährlich gelten, sind verboten.
2 Warum teilt der AI Act KI-Systeme nach Risiken ein?
Ziel ist es, Regulierung dort zu intensivieren, wo das Potenzial für Schaden besonders groß ist, ohne Innovation zu blockieren. Unkritische Anwendungen bleiben leicht reguliert, riskante Systeme unterliegen strengen Vorgaben, und gefährliche Anwendungen sind untersagt.
3 Wer bewertet, in welche Risikostufe ein KI-System fällt?
Der Anbieter oder Entwickler des KI-Systems muss anhand der Vorgaben des AI Act selbst eine Klassifizierung vornehmen. Behörden können diese Einstufung prüfen und auch eigene Bewertungen anstellen, insbesondere bei Systemen mit hohem Risiko.
4 Welche Anforderungen gelten für KI-Systeme mit hohem Risiko?
Für Hochrisiko-KI gelten umfassende Vorgaben wie: Qualitätsmanagement, Risikomanagement, Transparenzpflichten, Dokumentation, Human Oversight, Testverfahren, Meldung von Vorfällen, Datenschutz und Cybersicherheit.
5 Was bedeutet „unzulässiges Risiko“ konkret?
Systeme, die diskriminierende Praktiken fördern, menschliche Steuerung ausschalten oder illegale Aktivitäten unterstützen, fallen unter „unzulässiges Risiko“ und sind verboten. Beispiele könnten Social Scoring oder biometrische Fernidentifizierung ohne Rechtsgrundlage sein.
6 Welche Pflichten haben Anbieter von KI mit geringem Risiko?
Anbieter müssen z. B. klar kennzeichnen, dass es sich um KI handelt und einfache Transparenzanforderungen erfüllen. Solche Systeme unterliegen weniger strengen Vorgaben, sollen aber nicht völlig unkontrolliert bleiben.
7 Wie kann SMCT MANAGEMENT bei der Einordnung der Risikostufen helfen?
Wir unterstützen Sie bei der Klassifizierung Ihrer KI-Projekte, der Risikoanalyse, der Umsetzung der notwendigen Anforderungen je Stufe und der Vorbereitung auf Prüfungen durch Behörden.
8 Gibt es Übergangsfristen für die Erfüllung?
Ja, der AI Act sieht Übergangsfristen vor, insbesondere für Systeme, die bereits vor Inkrafttreten am Markt sind. Die genauen Fristen hängen von der Stufe und dem Risikograd ab und sind gesetzlich definiert.
9 Welche Rolle spielt Transparenz im AI Act?
Transparenz ist zentral: Nutzer müssen wissen, dass eine Entscheidung von KI stammt, welche Eingaben verwendet wurden, welche Grenzen das System hat. Bei Hochrisiko-KI sind zusätzliche Offenlegungs- und Dokumentationspflichten vorgesehen.
10 Was passiert bei Nicht-Einhaltung der Vorgaben?
Verstöße gegen den AI Act können zu empfindlichen Bußgeldern führen, Produktverbote, Rückrufe oder Einschränkungen bei der Marktzulassung sowie Reputationsschäden verursachen.

Verwandte Themen

ISO/IEC 42001

Der erste internationale Standard für ein AI Management System. Er unterstützt Unternehmen beim verantwortungsvollen und transparenten Einsatz von Künstlicher Intelligenz.

Mehr zu ISO 42001

EU AI Act

Der erste europäische Rechtsrahmen für KI. Kern sind die vier Risikostufen von Minimalrisiko bis unzulässig – mit klaren Pflichten für Unternehmen.

Mehr zum EU AI Act

Fazit

Der EU AI‑Act macht erstmals klar, dass nicht jede KI gleich behandelt werden muss – entscheidend ist ihr Risikopotenzial. Für Unternehmen bedeutet das: Wer seine Anwendungen sauber klassifiziert, Prozesse dokumentiert und Transparenz lebt, verwandelt regulatorische Pflichten in einen Wettbewerbsvorteil. Jetzt gilt es, die Weichen früh zu stellen, bevor die ersten Audits vor der Tür stehen.

Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel