Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Das EU-KI-Gesetz: Was es ist und warum es wichtig ist

Geschrieben von Nolan Necoechea | Aug 29, 2024 8:32:53 AM

Anfang dieses Jahres einigten sich das Europäische Parlament und der Europarat mit der Verabschiedung des European Union Artificial Intelligence Act (EU AI Act) – der weltweit ersten umfassenden KI-Verordnung – darauf, den Einsatz von künstlicher Intelligenz in der EU zu regulieren. 

Warum ist der EU-KI-Gesetz wichtig?

Wenn Ihre Organisation KI nutzt und in der EU tätig ist – oder ein externes Unternehmen ist, das in der EU Geschäfte macht – ist es wichtig, die neuen Vorschriften zu verstehen und deren Einhaltung sicherzustellen.

Die Nichteinhaltung bestimmter Vorschriften kann zu Geldstrafen von bis zu 35 Millionen EUR (38 Millionen USD) oder bis zu 7 % Ihres Bruttoumsatzes führen.

Das neue Gesetz zielt darauf ab, die Sicherheit und Zuverlässigkeit von KI-Systemen zu gewährleisten und die EU als Vorreiter der KI-Governance zu positionieren. Es schreibt Transparenzanforderungen für alle allgemeinen KI-Anwendungen vor und beschreibt Verpflichtungen wie Risikomanagement, zur Selbstbewertung, Minderung von systemischen Risiken und mehr.

Wichtige Termine, die Sie beachten sollten: 

  • Februar 2025: Die Verbotsbestimmungen treten in Kraft 
  • August 2026: Das EU-KI-Gesetz ist uneingeschränkt durchsetzbar 
  • August 2027: Die Regeln für in regulierte Produkte eingebettete KI-Systeme treten in Kraft 

 

Lesen Sie weiter, um zu erfahren, welche Schritte Ihre Organisation unternehmen muss, um die neuen Anforderungen zu erfüllen.

Die vier Klassifizierungsebenen 

Das EU-KI-Gesetz klassifiziert Systeme entsprechend dem Risiko, das sie für die Nutzer darstellen, dabei hat jede Risikostufe ihre eigene Regulierungsebene. Diese vier Ebenen – inakzeptabel, hoch, begrenzt und minimal/kein Risiko – werden je nach Anwendungsfall unterschiedlich behandelt.

Der Schwerpunkt des EU-KI-Gesetzes liegt auf inakzeptablen und risikoreichen KI-Systemen. Lassen Sie uns einen genaueren Blick darauf werfen.

KI-Systeme mit inakzeptablen Risiken 

KI-Systeme, die als inakzeptables Risiko angesehen werden, gelten als eindeutige Bedrohung für Menschen und entsprechen nicht den EU-Werten. 

Zu den von der EU genannten Beispielen für KI-Systeme, die ein inakzeptables Risiko darstellen, zählen: 

  • Kognitive Verhaltensmanipulation von Menschen oder bestimmten gefährdeten Gruppen: zum Beispiel sprachgesteuertes Spielzeug, das gefährliches Verhalten bei Kindern bestärkt 
  • Social Scoring: Klassifizierung von Personen anhand von Verhalten, sozioökonomischem Status oder persönlichen Merkmalen 
  • Biometrische Identifizierung und Kategorisierung von Personen 
  • Biometrische Identifikationssysteme in Echtzeit und aus der Ferne, wie z. B. Gesichtserkennung 

KI-Systeme mit inakzeptablen Risiken werden innerhalb von sechs Monaten nach Inkrafttreten des EU-KI-Gesetzes verboten, mit einigen Ausnahmen zu Strafverfolgungszwecken.

KI-Systeme mit hohem Risiko 

KI-Systeme, die als risikoreich gelten, wirken sich negativ auf die Sicherheit oder die Grundrechte aus und sind in zwei Kategorien eingeteilt: 

  1. KI-Systeme, die in Produkten verwendet werden, die unter die EU-Rechtsvorschriften zur Produktsicherheit EU fallen, darunter Spielzeug, Luftfahrt, Autos, Medizinprodukte und Aufzüge 
  2. KI-Systeme, die in bestimmte Bereiche fallen, die in einer EU-Datenbank registriert werden müssen, darunter die Verwaltung und der Betrieb kritischer Infrastruktur, die allgemeine und berufliche Bildung und die Verwaltung von Migration, Asyl und Grenzkontrollen 

Risikoreiche KI-Systeme müssen vor der Markteinführung sowie während ihres Lebenszyklus evaluiert werden. Die Bürger haben das Recht, Beschwerden über diese Systeme einzureichen. 

Diese Anforderungen und Verpflichtungen werden 36 Monate nach dem Inkrafttreten des EU-KI-Gesetzes anwendbar. 

Generative KI-Systeme 

Gen AI-Tools wie Microsoft 365 Copilot und ChatGPT werden nicht als risikoreich eingestuft, erfordern jedoch die Einhaltung von Transparenzanforderungen und EU-Urheberrechtsgesetzen. Dies beinhaltet: 

  • Deutliche Offenlegung, wenn Inhalte von KI generiert werden, damit die Endnutzer darüber informiert sind 
  • Gestaltung des Modells auf eine Weise, die das Erzeugen illegaler Inhalte verhindert 
  • Veröffentlichung von Zusammenfassungen urheberrechtlich geschützter Daten, die für das Training verwendet wurden 

Hochwirksame KI-Modelle für allgemeine Zwecke müssen gründliche Evaluierungen bestehen und schwerwiegende Vorfälle müssen der Europäischen Kommission gemeldet werden. 

Diese Anforderungen gelten 12 Monate nach Inkrafttreten des EU-KI-Gesetzes. 

So kann Varonis helfen 

Die Einhaltung komplexer regulatorischer Strukturen ist eine Herausforderung und mit der Einführung des EU-KI-Gesetzes wird die Notwendigkeit von Transparenz und Datensicherheit noch größer. 

Varonis vereinfacht das Compliance-Management und bietet Sichtbarkeit Transparenz und Kontrolle in Echtzeit über die kritischen Daten, die von der KI verwendet werden und verfügt über vier entscheidende Methoden, um Sie der Einhaltung des EU-KI-Gesetzes zu unterstützen: 

  • Sicherung der privaten und sensitiven Daten, die von generativer KI aufgenommen und erzeugt werden
  • Vollständige Transparenz der KI-Eingaben und -Antworten, einschließlich der Anzeige dessen, wann auf vertrauliche Daten zugegriffen wird 
  • Warnmeldungen bei Bedrohungen und Anomalien, einschließlich Aktivitäten und Verhaltensweisen, die auf Missbrauch hinweisen 
  • Automatische Sicherung von Daten, einschließlich des Widerrufens übermäßiger Zugriffe, der Korrektur von Labels und der Behebung von Fehlkonfigurationen, um Exposure und Risiken zu reduzieren 

Wir haben es außerdem bereits Tausenden von Unternehmen ermöglicht, Vorschriften wie HIPAA, DSGVO, CCPA, NIST und ITAR einzuhalten.

 

 

Beschleunigte Einführung von KI für Sicherheitsteams 

Als Teil eines ganzheitlichen Ansatzes zur generative KI-Sicherheit bietet Varonis auch das branchenweit einzige umfassende Angebot zur Sicherung von Microsoft 365 Copilot und Salesforce Einstein Copilot

Das breite Spektrum an Sicherheitsfunktionen unserer Datensicherheitsplattform kann die Einführung und Bereitstellung von KI in Ihrem Unternehmen beschleunigen, mit vollständiger Transparenz und Kontrolle über Tool-Berechtigungen und Workloads. 

Verringern Sie Ihr Risiko, ohne neue Risiken einzugehen. 

Wenn Sie am Anfang Ihrer KI-Reise oder sich nicht sicher sind, wie Sie die Anforderungen des EU-KI-Gesetzes einhalten können, empfehlen wir, mit unserem kostenlosen Data Risk Assessment zu beginnen.

In weniger als 24 Stunden haben Sie einen klaren, risikobasierten Überblick über Ihren Sicherheitsstatus ob er die Compliance-Vorgaben einhält.

Beginnen Sie noch heute mit Ihrem kostenlosen Assessment. 
Vollständigen Beitrag anzeigen