KI-Compliance: Neue Fristen bis Dezember 2027 für Hochrisiko-Systeme
01.07.2026 - 22:38:24 | boerse-global.de
Grund ist die komplexe Umsetzung der Anforderungen.
Anpassung der Zeitpläne
Nach der Abstimmung am 29. Juni 2026 tritt das Paket „Omnibus VII" in Kraft. Eigenständige Hochrisiko-KI-Systeme nach Anhang III müssen erst bis zum 2. Dezember 2027 konform sein. Für eingebettete Systeme – etwa in Medizinprodukten – gilt der 2. August 2028 als Deadline.
Andere Fristen bleiben bestehen oder rücken näher. Seit Februar 2025 gilt die Pflicht zur KI-Kompetenz nach Artikel 4. Transparenzpflichten greifen ab dem 2. August 2026. Verbote für nicht-einvernehmliche Deepfakes oder KI-generierte Darstellungen von Kindesmissbrauch werden am 2. Dezember 2026 wirksam.
Die Bußgelder bleiben hoch: Bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes drohen bei Verstößen.
Schatten-KI und Governance-Lücken
Viele Unternehmen sind auf die Regulierung nicht vorbereitet. Eine GitLab-Studie aus April 2026 zeigt: 91 Prozent der Firmen nutzen mindestens zwei verschiedene KI-Werkzeuge. 92 Prozent berichten von Governance-Problemen.
Besonders kritisch: 43 Prozent der Befragten können KI-generierten Code nicht zuverlässig von menschlicher Arbeit unterscheiden. Das öffnet Sicherheitslücken.
Angesichts der komplexen Regulierung durch den EU AI Act stehen viele Unternehmen vor der Herausforderung, ihre Systeme rechtzeitig anzupassen. Dieser kostenlose Praxis-Guide hilft Ihnen, die verschiedenen Risikoklassen und Fristen besser zu verstehen. EU AI Act in 5 Schritten verstehen: Jetzt kostenlosen Leitfaden sichern
Parallel wächst die Gefahr durch Schatten-KI – nicht autorisierte Nutzung von Tools wie privaten Sprachmodell-Accounts. Experten warnen vor einer Professionalisierung von Cyberangriffen. Die Angriffstiefe habe sich in weniger als zwei Jahren versechsfacht. Ein vollständiger Angriffsversuch ist bereits für rund 75 Euro realisierbar.
In den USA stiegen die Kosten für Datendiebstähle 2025 um neun Prozent auf durchschnittlich 10,22 Millionen Dollar.
Drittanbieter-Risikomanagement wird Pflicht
Unternehmen müssen Risiken durch externe Dienstleister stärker kontrollieren. Finanzinstitute müssen neben dem AI Act die DORA-Verordnung erfüllen – seit Januar 2025 verbindlich und mit umfassenden Anforderungen an das IKT-Drittanbieterrisikomanagement.
Aktuelle Marktdaten zeigen: 64 Prozent der TPRM-Aufgaben fallen außerhalb der IT-Abteilungen an – etwa im Einkauf oder der Rechtsabteilung. Nur die Hälfte der Unternehmen nutzt spezialisierte TPRM-Systeme. Dabei stufen viele ihre Zulieferer als kritisch ein.
Wer KI-Systeme im Unternehmen einsetzt, muss heute nicht nur technische, sondern auch umfassende rechtliche Dokumentationspflichten erfüllen. Erfahren Sie in diesem kostenlosen E-Book, welche konkreten Schritte für eine rechtskonforme Nutzung jetzt notwendig sind. Kostenlosen Umsetzungsleitfaden zur EU-KI-Verordnung herunterladen
Anbieter reagieren mit technischen Lösungen: „Bring Your Own Key" (BYOK), clientseitige Verschlüsselung oder die Einhaltung des BSI C5-Standards sollen Compliance sichern.
Qualifizierung als Schlüssel
Um Artikel 4 der EU-KI-Verordnung zu erfüllen, startete die VdS Schadenverhütung am 1. Juli 2026 ein spezialisiertes Online-Training. Es vermittelt Mitarbeitenden die Funktionsweise von KI sowie den Umgang mit Risiken wie Halluzinationen oder rechtlichen Fallstricken.
Derzeit erfüllen nur 38 Prozent der Organisationen die geforderten Standards zur KI-Kompetenz.
Strategische Ansätze gegen Schatten-KI setzen auf klare Data-Governance-Frameworks. Experten empfehlen, erlaubte Produkte zu definieren, den Datenzugriff streng zu kontrollieren und den Betriebsrat frühzeitig einzubinden. Initiativen wie die Zusammenarbeit von Accenture und ServiceNow zielen darauf ab, veraltete Risikoplattformen durch KI-gestützte Governance-Systeme zu ersetzen.
