KI-Verordnung für den Mittelstand: Erste Schritte

Die EU-KI-Verordnung (AI Act, Regulation 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Sie trat am 1. August 2024 in Kraft und wird schrittweise bis August 2027 vollständig durchgesetzt.

Für den deutschen Mittelstand ist die KI-Verordnung besonders relevant, weil sie nicht nur KI-Entwickler, sondern auch Unternehmen betrifft, die KI-Systeme einsetzen (Betreiber/Deployer). Wer KI in Qualitätskontrolle, Predictive Maintenance oder automatisierten Entscheidungen einsetzt, fällt unter die Regulierung.

Die KI-Verordnung folgt einem risikobasierten Ansatz mit vier Stufen: Unannehmbares Risiko (verboten seit Februar 2025), Hohes Risiko (strenge Pflichten ab August 2026), Begrenztes Risiko (Transparenzpflichten) und Minimales Risiko (keine besonderen Anforderungen).

Für den Mittelstand ist die Hochrisiko-Kategorie am relevantesten: KI-Systeme in kritischer Infrastruktur, als Sicherheitskomponenten in Produkten (Maschinen, Medizinprodukte), im Personalwesen oder in der Kreditwürdigkeitsbewertung gelten als Hochrisiko.

Beispiel aus der Fertigung: Eine KI-gestützte Qualitätskontrolle, die Sicherheitskomponenten prüft, fällt als Sicherheitskomponente unter Annex I und damit in die Hochrisiko-Kategorie.

Als Betreiber (Deployer) eines Hochrisiko-KI-Systems müssen Sie: das System gemäß der Gebrauchsanweisung einsetzen, die menschliche Aufsicht durch qualifiziertes Personal sicherstellen, die Eingabedaten auf Relevanz prüfen, den Betrieb überwachen und bei Funktionsstörungen den Anbieter informieren, und erhebliche Vorfälle melden.

Zusätzlich müssen Betreiber in bestimmten Fällen eine Grundrechte-Folgenabschätzung durchführen, bevor das KI-System eingesetzt wird. Dies betrifft insbesondere öffentliche Stellen und den Finanzsektor.

Die KI-Verordnung wird stufenweise durchgesetzt: Seit Februar 2025 gelten die Verbote für KI-Praktiken mit unannehmbarem Risiko. Seit August 2025 gelten die Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI). Ab August 2026 greifen die Pflichten für Hochrisiko-KI-Systeme nach Annex III. Ab August 2027 gelten alle Regelungen vollständig, einschließlich eingebetteter KI in Produkten (Annex I).

Für den Mittelstand bedeutet das: Wenn Sie KI-Systeme einsetzen, die unter die Hochrisiko-Kategorie fallen, haben Sie bis August 2026 Zeit, die Anforderungen umzusetzen.

Schritt 1: Inventarisierung — Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen eingesetzt werden. Dazu gehören auch zugekaufte Softwarelösungen mit KI-Funktionalität.

Schritt 2: Risikoklassifizierung — Prüfen Sie für jedes System, ob es unter die Hochrisiko-Kategorie fällt (Art. 6 KI-VO, Annex I und III).

Schritt 3: Verantwortlichkeiten klären — Bestimmen Sie, ob Sie als Anbieter, Betreiber oder beides gelten. Für zugekaufte Systeme sind Sie typischerweise Betreiber.

Schritt 4: Maßnahmenplanung — Für Hochrisiko-Systeme: Erstellen Sie einen Umsetzungsplan für die Anforderungen an Dokumentation, menschliche Aufsicht und Risikomanagementsystem.

KONFORM bietet einen kostenlosen KI-Verordnung Check an, der Ihnen eine erste Einschätzung Ihrer Betroffenheit gibt.

Für viele Mittelständler gilt: Wer von NIS2 betroffen ist und KI einsetzt, muss beide Regulierungen gleichzeitig erfüllen. Die gute Nachricht: Viele Maßnahmen (Risikomanagementsystem, Dokumentation, Incident Response) überschneiden sich.

KONFORM ist auf genau diese Schnittstelle spezialisiert — NIS2 und KI-Verordnung aus einer Hand, mit einem integrierten Umsetzungsansatz.