Mit dem KI-Gesetz der EU kommen zum Jahresende neue Vorschriften auf Unternehmen zu. Sie haben zunächst bis zum Jahr 2027 Bestand und stützen einen abgestuften, risikobasierten Ansatz.
Konkret definiert das KI-Gesetz diverse Anforderungen für verschiedene Risikostufen, die sich am potenziellen Schaden für die Sicherheit und Grundrechte von in der EU lebenden Personen orientieren. Das Konzept unterteilt KI-Systeme deshalb grundsätzlich in vier Kategorien: KI-Systeme mit geringem Risiko, KI-Systeme mit hohem Risiko, KI-Systeme für allgemeine Zwecke und verbotene KI-Systeme. Folgende Abstufungen sind im Regelwerk festgeschrieben:
Diese Kategorie umfasst öffentlich verfügbare KI-Tools, die von Arbeitnehmern für arbeitsbezogene Zwecke verwendet werden, sei es mit Genehmigung oder anderweitig. Unternehmen sollten eine Liste der verwendeten Systeme erstellen und Mitarbeiter für diese Systeme schulen.
Hierbei handelt es sich um KI-Funktionen, die in Standardlösungen und SaaS-Angeboten integriert sind. Unternehmen müssen im Zusammenhang mit dieser Form der KI detaillierte Informationen von ihren Anbietern anfordern und ihre Risikomanagementprogramme für Drittanbieter ausbauen.
Diese Kategorie beinhaltet KI-Funktionen, die von Organisationen intern trainiert, getestet und entwickelt werden. Unternehmen, die solche eigenen KI-Modelle erstellen und pflegen, verfügen in der Regel bereits über einen Prozess, eigene KI-Technologien zu identifizieren und zu bewerten.
Hierbei handelt es sich um KI-Funktionen, die in Organisationen mit einem oder mehreren Standardmodellen aufgebaut und anschließend mit Unternehmensdaten ergänzt werden. Unternehmen, die diese Art der Technologie verwenden, müssen ihre Anbieter zu vorab trainierten Komponenten befragen und die mit hybrider KI verbundenen internen Daten bewerten.
Unabhängig davon, welcher Typ von KI zum Einsatz kommt, bleibt Unternehmen nicht mehr viel Zeit, die für Ende 2024 verabschiedeten Richtlinien in die Tat umzusetzen. Verantwortliche für die Themen Sicherheit und Risikomanagement sollten deshalb sofort damit beginnen, die im Unternehmen verwendeten KI-Technologien zu identifizieren und zu katalogisieren, bevor schließlich eine obligatorische Risikobewertung erfolgt.
Doch wo und wie sollten Unternehmen damit beginnen? Das Gros der im Gesetz beschriebenen Risiken bezieht sich auf die Verarbeitung besonderer Kategorien von personenbezogenen Daten. Folglich müssen zunächst diejenigen Geschäftsbereiche identifiziert werden, in denen solche Daten verarbeitet werden. Dazu zählen typischerweise Abteilungen wie Personal oder Marketing. Eine systematische Identifizierung und Kategorisierung von KI-Systemen sind hier wesentlich, um die Anforderungen des KI-Gesetzes erfüllen und somit die Compliance gewährleisten und das Risikomanagement verbessern zu können. Wie ernst es der EU mit dem KI-Gesetz ist, zeigen die Bußgelder für die Nichtachtung der Vorschriften. Das Bußgeld variiert je nach Risikostufe, wobei die höchste Bußgeldstufe bei Verstößen bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Umsatzes einer Organisation betragen kann.
ist VP Analyst bei Gartner.
Als Geldgeber sind Apple, Microsoft und Nvidia im Gespräch. OpenAI sucht angeblich frisches Geld zum…
BSI veröffentlicht IT-Sicherheitskennzeichen für mobile Endgeräte. Wirtschaft und Zivilgesellschaft konnten Kriterien dafür mit bestimmen.
Laut Bitkom-Studie beläuft sich der Gesamtschaden auf rund 267 Milliarden Euro. China werde zum Standort…
Sie erlauben unter Umständen eine Remotecodeausführung. Updates stehen für Chrome für Windows, macOS, Linux und…
Apple hat auf der WWDC einige Neuerungen für das Gerätemanagement vorgestellt. Eine Einordnung von Surendiran…
Kaspersky ermittelt einen Anstieg der Anzahl der Attacken um 23 Prozent. Anfällige Treiber lassen sich…