EU AI Act Hub

EU AI Act - praxisnah fuer technische & Security-Teams

Aktuelle Fristen nach dem Digital Omnibus, Risiko-Klassifizierung und konkrete Pflichten je Artikel - mit Security-Fokus statt Marketing-Quiz.

Fristen-RechnerRisiko-Check

Stand: 2026-06-09 - Vorlaeufige politische Einigung vom 7. Mai 2026; formelle Verabschiedung ausstehend.

Hochrisiko-Anwendungsfaelle (Annex III)

Biometrie

Biometrische Fernidentifizierung, Kategorisierung und Emotionserkennung (soweit nicht ohnehin verboten).

Kritische Infrastruktur

Sicherheitskomponenten beim Betrieb kritischer digitaler Infrastruktur, Verkehr, Versorgung (Wasser, Gas, Strom).

Bildung & Berufsbildung

Zugang/Zulassung, Bewertung von Lernergebnissen, Ueberwachung von Pruefungen.

Beschaeftigung & HR

Recruiting, Auswahl, Befoerderung, Kuendigung, Aufgabenzuweisung und Leistungsbewertung.

Zugang zu essenziellen Diensten

Bonitaetspruefung, Risikobewertung in Lebens-/Krankenversicherung, Notruf-Triage, Sozialleistungen.

Strafverfolgung

Risikobewertung von Personen, Beweismittelpruefung, Profiling im Kontext der Strafverfolgung.

Migration & Grenzkontrolle

Risikobewertungen, Pruefung von Asyl-/Visa-/Aufenthaltsantraegen, Grenzueberwachung.

Justiz & demokratische Prozesse

Unterstuetzung von Justizbehoerden bei Rechtsauslegung/-anwendung; Beeinflussung von Wahlen.

Kernpflichten je Artikel

Art. 9 - Risikomanagementsystem

Kontinuierlicher, iterativer Prozess ueber den gesamten Lebenszyklus: Risiken identifizieren, bewerten, mindern.

Security-Linse: Laesst sich an bestehende ISMS-Risikoprozesse (ISO 27005) andocken, muss aber KI-spezifische Risiken (Bias, Drift, adversarial) abdecken.

Art. 10 - Daten & Daten-Governance

Trainings-, Validierungs- und Testdaten muessen relevant, repraesentativ und moeglichst fehlerfrei sein; Bias-Pruefung.

Security-Linse: Daten-Provenienz und Integritaet sind auch ein Supply-Chain-Security-Thema (Data Poisoning).

Art. 11 - Technische Dokumentation

Vollstaendige Dokumentation nach Annex IV vor Inverkehrbringen; Nachweis der Konformitaet.

Art. 12 - Aufzeichnungspflichten (Logging)

Automatische Protokollierung von Ereignissen ueber die Lebensdauer zur Nachvollziehbarkeit.

Security-Linse: Direkte Schnittstelle zu SIEM/Audit-Logging. Manipulationssichere, integritaetsgeschuetzte Logs erforderlich.

Art. 13 - Transparenz & Information

Betreiber muessen Betrieb verstehen koennen; klare Gebrauchsanweisungen.

Art. 14 - Menschliche Aufsicht

System so gestalten, dass natuerliche Personen es wirksam beaufsichtigen koennen (z. B. Eingriff/Stopp).

Art. 15 - Genauigkeit, Robustheit & Cybersicherheit

Angemessenes Mass an Genauigkeit, Widerstandsfaehigkeit gegen Fehler und Cybersicherheit ueber den Lebenszyklus.

Security-Linse: Kern-Domaene der IT-Security: Schutz gegen Adversarial Attacks, Data/Model Poisoning, Model Evasion und Confidentiality-Angriffe. Hier hat ein CISO-gefuehrter Hub den groessten inhaltlichen Vorsprung.

Art. 17 - Qualitaetsmanagementsystem

Dokumentiertes QMS, das Konformitaet systematisch sicherstellt (Naehe zu ISO 9001 / ISO 42001).