Sichere Edge-KI gemäß dem EU-KI-Gesetz: Was Produktteams jetzt tun müssen

Das EU KI-Gesetz (Wird in neuem Fenster geöffnet) und das Cyberresilienzgesetz (Cyber Resilience Act) (Wird in neuem Fenster geöffnet) bilden die beiden Säulen dieser neuen Compliance-Landschaft. Gemeinsam definieren sie, wie KI entwickelt, eingesetzt und gesichert werden muss, insbesondere wenn sie auf Edge-Geräten läuft, die außerhalb geschützter Umgebungen betrieben werden.

Der AI Act konzentriert sich auf die ethische Nutzung von KI und betont Prinzipien wie Transparenz, Verantwortlichkeit und „keinen Schaden anrichten“. Viele Edge-Geräte sind sicherheitskritisch, darunter industrielle Steuerungssysteme, autonome Transportmittel und medizinische Geräte, bei denen KI-Entscheidungen direkte Auswirkungen auf die Sicherheit und das Wohlbefinden von Menschen haben können. Aus diesem Grund fallen diese Edge-KI-Systeme ebenfalls unter den EU-KI-Act, der Regeln festlegt, um sicherzustellen, dass sie sicher, transparent und ethisch einwandfrei funktionieren.

Edge-KI wird oft aus Datenschutzgründen gewählt, da die Daten lokal und nicht in der Cloud verarbeitet werden. Aber auch wenn sie auf dem Gerät selbst laufen, fallen diese Systeme unter das KI-Gesetz, weil sie Auswirkungen auf menschliche Nutzer und die Sicherheit haben können. Deshalb gilt die Compliance nicht nur für Cloud-KI, sondern genauso für Edge-KI-Geräte.

Edge-KI reduziert die Abhängigkeit von Konnektivität und ermöglicht Echtzeitleistung in Offline- oder kritischen Umgebungen, bedeutet aber auch, dass Geräte so konzipiert sein müssen, dass sie während ihres gesamten Lebenszyklus sicher, nachvollziehbar und ethisch einwandfrei funktionieren.

Erfahren Sie, wie Compliance-Anforderungen in praktische Designentscheidungen umgesetzt werden, in „Aufbau vertrauenswürdiger und konformer KI-Geräte mit sicherer Edge-KI“.

Zwischen 2024 und 2027 werden mehrere wichtige EU-Rahmenwerke in Kraft treten, darunter die NIS2-Richtlinie (EU 2022/2555) zur Cybersicherheit, das Gesetz zur Cyberresilienz (CRA), das Gesetz zur künstlichen Intelligenz (KI-Gesetz, Verordnung EU 2024/1689) und das Datenrecht (Verordnung EU 2023/2854) über harmonisierte Vorschriften für den Datenzugang und die Datennutzung in Kraft treten.

Zusammen legen diese Rahmenwerke „Secure by Design“ als verbindliches Prinzip für Organisationen und Produkte fest, die innerhalb der Europäischen Union tätig sind. Das bedeutet, dass vernetzte und KI-gestützte Geräte vor dem Eintritt in den EU-Markt eine nachvollziehbare Dokumentation, eine strenge Datenverwaltung und eine vollständige Kontrolle des Software-Lebenszyklus nachweisen müssen.

Unternehmen, die sich darauf vorbereiten, diese Standards in ihrem Produktdesign zu erfüllen, finden weitere Informationen unter KI-gestützte Produkte: Unternehmen dabei helfen, Intelligenz in Wert umzuwandeln (Wird in neuem Fenster geöffnet).

Das KI-Gesetz ist das weltweit erste horizontale Regelwerk für künstliche Intelligenz. Es kategorisiert KI-Anwendungen nach ihrem Risikograd und erlegt entsprechend Pflichten auf, die von vollständigen Verboten für Systeme mit „inakzeptablem Risiko“ bis hin zu umfassenden Dokumentations- und Audit-Anforderungen für Systeme mit „hohem Risiko“ reichen. Ziel ist es, sicherzustellen, dass KI-Systeme in Europa sicher und transparent sind und die Grundrechte achten. 

Parallel dazu legt die CRA Cybersicherheitsanforderungen für digitale Produkte und vernetzte Geräte fest. Hersteller müssen Produkte nach den Prinzipien „Security by Design“ und „Security by Default“ entwerfen, entwickeln und warten, Schwachstellen offenlegen und während des gesamten Produktlebenszyklus Sicherheitsupdates bereitstellen.

Bei Edge-KI überschneiden sich beide Handlungen:

Die Einhaltung beider Vorschriften ist für jedes Unternehmen, das KI-fähige Produkte auf dem EU-Markt verkauft, unerlässlich.

Erfahren Sie, wie die Wahl der richtigen Hardwareplattform von Anfang an die Compliance sicherstellt in Die richtige Hardware für Edge-KI auswählen: Von der Idee bis zur Umsetzung (Wird in neuem Fenster geöffnet)

Ausnahmen gelten für die Bereiche nationale Sicherheit, Verteidigung, wissenschaftliche Forschung und nicht-professionelle (Hobby-)Nutzung. Das Gesetz schreibt vor, dass alle Mitarbeiter, die KI entwickeln, einsetzen oder nutzen, deren Fähigkeiten, Risiken und Grenzen verstehen müssen. Personal- und Weiterbildungsabteilungen sollten jetzt damit beginnen, diese Kompetenz aufzubauen.

Ein Beispiel hierfür könnte die „Stimmungserkennung“ in einem Forschungsprojekt sein, das die Emotionen von Fahrgästen in Straßenbahnen analysiert. Dies mag harmlos erscheinen, könnte jedoch gemäß dem KI-Gesetz als verboten (Verhaltensmanipulation) oder risikoreich (Emotionserkennung) eingestuft werden. Der Kontext bestimmt die Konformität.

A | System- oder Produktanforderungen

B | Organisatorische oder prozessbezogene Anforderungen

Unser multidisziplinäres Team besteht aus KI-Ingenieuren, Sicherheitsarchitekten und Regulierungsspezialisten, die dafür sorgen, dass Compliance zu einem Wettbewerbsvorteil wird und kein Hindernis darstellt.

Unsere Experten erstellen ein Konzept für Ihren Anwendungsfall, definieren Ihre Sicherheitsarchitektur und bereiten die für die Zertifizierung erforderlichen Unterlagen vor. Buchen Sie eine AI Act Readiness Review bei Etteplan. Kontaktieren Sie uns!