Die europäische Regulierungslandschaft verändert sich rasant, insbesondere im Bereich der Künstlichen Intelligenz (KI) und der Cybersicherheit. Für mittelständische Unternehmen, die möglicherweise unter die KRITIS-Verordnung oder die NIS2-Richtlinie fallen und sich mit KI beschäftigen, ist es entscheidend, die kommenden Veränderungen zu verstehen und proaktiv zu handeln. In diesem Beitrag beleuchten wir, welche Auswirkungen die neuen Regulierungen auf Ihr Unternehmen haben und wie Sie sich optimal vorbereiten können.

Einführung in KRITIS und die NIS2-Richtlinie

Was ist KRITIS und warum ist es relevant?

Die Kritischen Infrastrukturen (KRITIS) umfassen Sektoren wie Energie, Gesundheit, Transport und IT. Unternehmen in diesen Bereichen sind besonders schützenswert, da Ausfälle gravierende Auswirkungen auf die Gesellschaft haben können. Mittelständische Unternehmen sollten prüfen, ob sie zu diesen Sektoren gehören, da sie dann speziellen Anforderungen unterliegen.

Die NIS2-Richtlinie im Überblick

Die NIS2-Richtlinie ist die aktualisierte Version der EU-Richtlinie zur Netz- und Informationssicherheit. Sie erweitert den Geltungsbereich auf mehr Unternehmen und verschärft die Anforderungen an Cybersicherheit und Meldepflichten bei Sicherheitsvorfällen.

Wichtige Anforderungen der NIS2 für KI-Unternehmen

• Verpflichtende Cybersicherheitsmaßnahmen: Unternehmen müssen robuste Sicherheitspraktiken implementieren, um ihre Netzwerke und Systeme zu schützen.

• Meldepflichten bei Sicherheitsvorfällen: Sicherheitsvorfälle müssen unverzüglich gemeldet werden, um eine schnelle Reaktion zu ermöglichen.

• Risikomanagement und Dienstkontinuität: Es ist erforderlich, Risikobewertungen durchzuführen und Pläne zur Aufrechterhaltung der Dienste im Krisenfall zu entwickeln.

• Sicherheit in der Lieferkette: Unternehmen müssen die Cybersicherheit in ihrer gesamten Lieferkette sicherstellen, was bei der Nutzung von KI-Systemen besonders wichtig ist.

Der EU AI Act und zusätzliche Regulierung

Was ist der EU AI Act?

Der EU AI Act ist ein vorgeschlagener Rechtsrahmen, der darauf abzielt, die Entwicklung und Nutzung von KI-Systemen in der EU zu regulieren. Er setzt Maßstäbe für Vertrauenswürdigkeit und Sicherheit von KI.

Neue Pflichten für Unternehmen

• Risikoklassifizierung von KI-Systemen: KI-Systeme werden je nach Risiko in Kategorien eingeteilt, von minimal bis untragbar.

• Spezifische Compliance-Anforderungen: Für Hochrisiko-KI-Systeme gelten strenge Auflagen, einschließlich Transparenz, Genauigkeit und menschlicher Aufsicht.

• Technische Dokumentation und Konformitätsbewertung: Unternehmen müssen umfangreiche Dokumentation bereitstellen und ihre Systeme regelmäßig überprüfen lassen.

• Ausreichendes Wissen: Unternehmen müssen dafür sorgen, dass ein ausreichendes Maß von KI-Kompetenz im Unternehmen vorhanden ist.

ISO 42001 als nützliches Werkzeug

Was ist die ISO 42001?

Die ISO 42001 ist ein internationaler Standard für Managementsysteme im Bereich Künstliche Intelligenz. Sie bietet einen Rahmen für effektives KI-Risikomanagement und unterstützt Unternehmen dabei, gesetzliche Anforderungen zu erfüllen.

Wie ergänzt die ISO 42001 NIS2 und den EU AI Act?

• Ganzheitlicher Ansatz: Die ISO 42001 deckt sowohl technische als auch organisatorische Aspekte ab und hilft, die Anforderungen beider Regelwerke zu erfüllen.

• Proaktive Risikominimierung: Durch Umsetzung des Standards können Unternehmen Risiken frühzeitig erkennen und adressieren.

Synergien und Überschneidungen zwischen NIS2, EU AI Act und ISO 42001

• Gemeinsamer Fokus auf Sicherheit: Alle drei Regelwerke betonen die Notwendigkeit von Sicherheitsmaßnahmen und Risikomanagement.

• Unterschiedliche Schwerpunkte: Während NIS2 sich auf die allgemeine Cybersicherheit konzentriert, adressiert der EU AI Act spezifisch die Risiken von KI-Systemen. Die ISO 42001 bietet einen praktischen Rahmen zur Umsetzung beider Anforderungen.

• Zusätzliche Anforderungen: Der EU AI Act und die ISO 42001 gehen in einigen Bereichen über NIS2 hinaus, insbesondere bei ethischen Überlegungen und spezifischen KI-Risiken.

Grundlegende Bestimmungen, die immer gelten

• Datenschutz-Grundverordnung (DSGVO): Der Schutz personenbezogener Daten bleibt zentral. KI-Unternehmen müssen sicherstellen, dass ihre Systeme DSGVO-konform sind.

• Ethische Richtlinien für KI: Prinzipien wie Transparenz, Fairness und Nichtdiskriminierung sind essenziell für verantwortungsvolle KI.

Strategische Schritte zur Compliance

• Risikobewertung durchführen: Evaluieren Sie, ob Ihr Unternehmen unter KRITIS oder NIS2 fällt und welche KI-Risikokategorien relevant sind.

• ISO 42001 implementieren: Nutzen Sie den Standard, um ein effektives KI-Managementsystem aufzubauen.

• Mitarbeiterschulung: Schulen Sie Ihr Team zu den neuen Anforderungen, um Bewusstsein und Kompetenz zu stärken.

• Kooperation und Branchenvernetzung: Tauschen Sie sich mit anderen Unternehmen aus, um Best Practices zu teilen und gemeinsame Herausforderungen zu bewältigen.

Handlungsempfehlungen

• Proaktive Anpassung: Beginnen Sie jetzt mit der Umsetzung der erforderlichen Maßnahmen, um Compliance zu erreichen.

• Chancen nutzen: Durch frühzeitige Anpassung können Sie Wettbewerbsvorteile erzielen und das Vertrauen von Kunden und Partnern stärken.

• Weiterbildungen: Nutzen Sie unsere Weiterbildungsmöglichkeiten zum KI-Beauftragten, um die KI-Kompetenz in ihrem Unternehmen aufzubauen und KI-Projekte zu managen.