IT-Consulting, Projektmanagement,
Compliance und Informationssicherheit

Termin vereinbaren

EU AI Act: Was Unternehmen jetzt wissen müssen

Künstliche Intelligenz ist längst kein Zukunftsthema mehr. Ob ChatGPT, Microsoft Copilot, automatisierte Kundenkommunikation oder intelligente Analysen – immer mehr Unternehmen setzen KI-Lösungen im Arbeitsalltag ein. Gleichzeitig steigen die Anforderungen an einen verantwortungsvollen und rechtskonformen Umgang mit diesen Technologien.

Mit dem EU AI Act schafft die Europäische Union erstmals einen umfassenden Rechtsrahmen für den Einsatz von Künstlicher Intelligenz. Ziel ist es, Innovation zu fördern und gleichzeitig Risiken für Menschen, Unternehmen und Gesellschaft zu minimieren.

Doch was bedeutet das konkret für Unternehmen?

Was ist der EU AI Act?

Der EU AI Act ist die erste umfassende Regulierung für Künstliche Intelligenz weltweit. Die Verordnung verfolgt einen risikobasierten Ansatz und unterscheidet zwischen verschiedenen Kategorien von KI-Systemen.

Je höher das potenzielle Risiko einer Anwendung, desto umfangreicher sind die Anforderungen an deren Entwicklung, Einführung und Nutzung.

Besonders im Fokus stehen KI-Systeme, die Entscheidungen über Menschen beeinflussen oder sensible Daten verarbeiten.

Sind Unternehmen bereits betroffen?

Viele Unternehmen gehen davon aus, dass der EU AI Act ausschließlich Softwarehersteller betrifft. Tatsächlich richtet sich die Verordnung jedoch nicht nur an Anbieter von KI-Systemen, sondern auch an Unternehmen, die KI-Lösungen einsetzen.

Bereits heute nutzen zahlreiche Organisationen Anwendungen wie:

  • ChatGPT
  • Microsoft Copilot
  • KI-gestützte CRM-Systeme
  • Automatisierte Bewerberauswahl
  • Intelligente Dokumentenanalyse
  • KI-basierte Kundenservices

Damit stellt sich für viele Unternehmen die Frage, welche Anforderungen künftig erfüllt werden müssen und welche Risiken mit dem Einsatz verbunden sind.

Der risikobasierte Ansatz

Der EU AI Act unterscheidet grundsätzlich zwischen verschiedenen Risikostufen:

Unzulässiges Risiko

Bestimmte Anwendungen werden vollständig verboten. Dazu gehören beispielsweise KI-Systeme, die Menschen manipulieren oder soziale Bewertungen vornehmen.

Hohes Risiko

Hierzu zählen unter anderem Anwendungen in den Bereichen:

  • Personalwesen
  • Kritische Infrastrukturen
  • Gesundheitswesen
  • Finanzdienstleistungen
  • Bildung

Für diese Systeme gelten umfangreiche Anforderungen hinsichtlich Dokumentation, Transparenz, Risikomanagement und Überwachung.

Begrenztes Risiko

Viele bekannte KI-Anwendungen fallen in diese Kategorie. Unternehmen müssen insbesondere Transparenzpflichten beachten und sicherstellen, dass Nutzer erkennen können, wenn sie mit KI interagieren.

Welche Herausforderungen sehen wir in der Praxis?

Unsere Erfahrung aus Digitalisierungs-, Compliance- und Informationssicherheitsprojekten zeigt, dass die größte Herausforderung häufig nicht die Technologie selbst ist.

Vielmehr fehlt in vielen Unternehmen eine klare Governance für den Einsatz von Künstlicher Intelligenz.

Typische Fragestellungen sind:

  • Welche KI-Anwendungen werden bereits genutzt?
  • Welche Daten werden verarbeitet?
  • Werden personenbezogene Daten verwendet?
  • Welche Risiken ergeben sich für Datenschutz und Informationssicherheit?
  • Wer trägt die Verantwortung für den Einsatz?
  • Gibt es interne Richtlinien zur Nutzung von KI?

Insbesondere die unkontrollierte Nutzung öffentlich verfügbarer KI-Dienste kann zu erheblichen Compliance- und Sicherheitsrisiken führen.

Datenschutz und Informationssicherheit bleiben zentrale Themen

Der EU AI Act steht nicht isoliert neben bestehenden Regelwerken. Vielmehr müssen Unternehmen die Anforderungen gemeinsam mit anderen regulatorischen Vorgaben betrachten.

Dazu gehören insbesondere:

  • DSGVO
  • NIS2
  • Informationssicherheitsrichtlinien
  • Interne Compliance-Vorgaben

Wer KI-Systeme einsetzt, sollte daher frühzeitig prüfen, wie Datenschutz, Informationssicherheit und Governance sinnvoll miteinander verzahnt werden können.

Unsere Empfehlung

Unternehmen sollten den EU AI Act nicht als reine regulatorische Pflicht verstehen. Vielmehr bietet die Verordnung die Chance, den Einsatz von Künstlicher Intelligenz strukturiert und verantwortungsvoll zu gestalten.

Ein erster Schritt kann sein:

  • Bestehende KI-Anwendungen erfassen
  • Risiken bewerten
  • Verantwortlichkeiten festlegen
  • Mitarbeitende sensibilisieren
  • Richtlinien für den KI-Einsatz entwickeln

So lassen sich Innovation und Compliance erfolgreich miteinander verbinden.

Fazit

Der EU AI Act wird den Umgang mit Künstlicher Intelligenz in Unternehmen nachhaltig prägen. Auch wenn viele Anforderungen schrittweise eingeführt werden, sollten Unternehmen bereits heute beginnen, ihre Prozesse und Verantwortlichkeiten zu überprüfen.

Unsere Erfahrung zeigt: Wer frühzeitig Transparenz schafft und klare Regeln für den Einsatz von KI etabliert, kann die Potenziale der Technologie sicher und nachhaltig nutzen.

Sie möchten den Einsatz von KI in Ihrem Unternehmen bewerten oder sich auf die Anforderungen des EU AI Act vorbereiten?

Die Expertinnen und Experten von amerdis unterstützen Sie bei der Entwicklung von KI-Governance-Strukturen, der Bewertung von Risiken sowie der Verzahnung von Datenschutz, Informationssicherheit und Compliance. Gemeinsam schaffen wir die Grundlage für einen sicheren und verantwortungsvollen Einsatz von Künstlicher Intelligenz.

Ist Ihr Unternehmen betroffen? Machen Sie jetzt den NIS2-Quick-Check

Welche Anforderungen stellt NIS2? 

NIS2 verfolgt einen risikobasierten Ansatz. Unternehmen müssen angemessene technische, organisatorische und prozessuale Maßnahmen einführen und diese nachweisbar dokumentieren. Die zentralen Anforderungsbereiche: 

Risikomanagement 

Cyberrisiken müssen systematisch identifiziert, bewertet, behandelt und kontinuierlich überwacht werden. Das bedeutet nicht nur einmalige Risikoanalysen, sondern ein dauerhaftes Risikomanagement als Teil des Unternehmensbetriebs. 

Governance und Managementverantwortung 

Die Geschäftsleitung trägt Verantwortung für die Umsetzung und Überwachung der Sicherheitsmaßnahmen und haftet persönlich bei Verstößen. Informationssicherheit ist damit strategische Führungsaufgabe. 

Incident Management 

Unternehmen müssen Sicherheitsvorfälle erkennen, bewerten und angemessen behandeln können. Dazu gehören definierte Incident-Response-Prozesse, Eskalationswege, Meldeverfahren gegenüber den zuständigen Behörden und eine lückenlose Dokumentation. 

Business Continuity Management 

Geschäftskritische Prozesse müssen auch im Krisenfall aufrechterhalten werden können. Notfallmanagement, Backup-Strategien, Wiederanlaufpläne und Business Impact Analysen sind zentrale Bestandteile. 

Lieferkettensicherheit 

NIS2 betrachtet nicht nur das eigene Unternehmen, sondern auch Risiken innerhalb der Lieferkette. Unternehmen müssen Sicherheitsanforderungen an Dienstleister und Lieferanten definieren und regelmäßig überprüfen. 

Awareness und Schulungen 

Mitarbeitende bleiben eine der größten Angriffsflächen. Laut dem IBM Cost of a Data Breach Report 2025 betragen die durchschnittlichen globalen Kosten eines Datenschutzvorfalls 4,44 Millionen US-Dollar. Unternehmen, die frühzeitig in Schulungen, Awareness-Maßnahmen und Risikomanagement investieren, können das Schadenspotenzial nachweislich reduzieren. Regelmäßige Schulungsprogramme sind daher eine der zentralen NIS2-Anforderungen. 

Technische und organisatorische Maßnahmen 

Konkrete Beispiele aus der Praxis: Multi-Faktor-Authentifizierung, Netzwerksegmentierung, Schwachstellenmanagement, Zugriffskontrollen, Protokollierung und verbindliche Sicherheitsrichtlinien. 

Die größten Herausforderungen für mittelständische Unternehmen 

Fehlende Ressourcen und Expertise  

Die meisten mittelständischen Unternehmen haben keine eigenen Cybersecurity-Teams oder Compliance-Abteilungen. NIS2 verbindet aber rechtliche, organisatorische und technische Anforderungen, die gemeinsam betrachtet werden müssen. 

Hoher Dokumentationsaufwand  

Viele Unternehmen verfügen über technische Sicherheitsmaßnahmen, können diese jedoch nicht ausreichend dokumentieren oder gegenüber Auditoren nachweisen. Im Ernstfall reicht „wir machen das“ nicht. 

Gewachsene IT-Landschaften  

Historisch gewachsene Systeme erschweren die Umsetzung einheitlicher Sicherheitsstandards erheblich. 

Lieferantenmanagement  

Die Bewertung von Dienstleistern und Lieferanten hinsichtlich ihrer Sicherheitsanforderungen ist für viele Unternehmen Neuland. 

Budgetfragen und Priorisierung  

Nicht jede Maßnahme kann sofort umgesetzt werden. Eine risikobasierte Priorisierung ist deshalb entscheidend, um Ressourcen gezielt einzusetzen.  

Fazit 

NIS2 verändert die Anforderungen an Informationssicherheit grundlegend. Betroffen sind längst nicht mehr nur klassische Betreiber kritischer Infrastruktur, sondern auch zahlreiche mittelständische Unternehmen aus ganz unterschiedlichen Branchen. 

Für Entscheider bedeutet das: Informationssicherheit muss strategisch geplant, risikobasiert gesteuert und nachvollziehbar dokumentiert werden. Wer frühzeitig handelt, reduziert nicht nur regulatorische Risiken, sondern stärkt gleichzeitig seine Cyber-Resilienz und das Vertrauen bei Kunden, Partnern und Aufsichtsbehörden. 

Demo-Termin

Vereinbaren Sie jetzt einen kostenlosen und unverbindlichen Demo-Termin. Gerne zeigen wir Ihnen unsere Lösungen. Wählen Sie einfach das gewünschte Thema aus. Wir freuen uns auf Sie.

DSGVO Cookie Consent mit Real Cookie Banner