KI zur Überwachung kritischer IT-Systeme (Sicherheit): Risikoklasse und Pflichten im EU-KI-Recht
KI-Systeme zur Überwachung kritischer IT-Systeme (Anomalie-Erkennung, SOC-Automatisierung, Intrusion Detection, Log-Analyse in kritischer Infrastruktur) sind nach Anhang III Nr. 2 AI Act HOCHRISKANT. Sie unterliegen spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026) dem Pflichtenbündel aus Art. 8–15 mit Schwerpunkt Cybersecurity (Art. 15) und Robustheit. Überlagert: NIS2 (Risikomanagement Art. 21, Meldepflichten Art. 23), BSI-Gesetz (KRITIS-Betreiber), Cyber Resilience Act (für Produkte mit digitalen Elementen), DSGVO bei personenbezogenen Daten. Vorfallsmeldungen kumulativ (Art. 73 AI Act ↔ Art. 23 NIS2 ↔ Art. 33 DSGVO). Die KI selbst ist Angriffsfläche (Adversarial, Model Poisoning) — saubere Cybersecurity-Architektur ist Kern.
Steve Baka
Hochrisiko nach Anhang III Nr. 2
Anhang III Nr. 2 erfasst KI als Sicherheitskomponente kritischer digitaler Infrastruktur oder zur Überwachung ihres Betriebs. SOC-KI, Anomalie-Erkennung, Intrusion Detection in KRITIS-Netzen (Energie, Wasser, Gesundheit, digitale Dienste, Finanz) sind erfasst. Grund: Ausfall oder Kompromittierung kann gesellschaftliche Kaskadenfolgen haben. Volles Pflichtenbündel aus Art. 8–15 spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026), mit Cybersecurity (Art. 15) als zentraler Pflicht.
Pflichten und Cybersecurity-Architektur
Art. 8–15 mit Schwerpunkt Art. 15 (Genauigkeit, Robustheit, Cybersecurity). Die SOC-KI selbst ist Angriffsfläche: Adversarial Attacks (gezielte Manipulation der Erkennung), Data Poisoning (Verunreinigung der Trainingsdaten, damit Angriffe unentdeckt bleiben), Model Evasion. Schutzmaßnahmen: Penetrationstests, Red-Teaming, kontinuierliches Monitoring, Fallback auf konventionelle SIEM, klare Eskalationspfade. Überlagert NIS2 (Risikomanagement Art. 21, Meldepflicht Art. 23), BSI-Gesetz (KRITIS-Betreiber-Pflichten), Cyber Resilience Act.
Vorfallsmeldungen und drei Regime
Vorfallsmeldungen sind kumulativ: AI Act Art. 73 (schwere Vorfälle), NIS2 Art. 23 (erhebliche Vorfälle, frühwarnend 24 h), DSGVO Art. 33 (Datenschutzverletzungen, 72 h). Ein Angriff auf SOC-KI in einem Krankenhaus kann alle drei Pflichten auslösen — drei Behörden (Marktüberwachung, Cybersicherheits-Aufsicht/BSI, Datenschutz). Eine konsolidierte Vorfall-Matrix, gemeinsame Risikobewertung und abgestimmte Dokumentation sind für KRITIS-Betreiber unverzichtbar. Cybersecurity und AI-Act-Compliance sind in diesem Bereich keine getrennten Silos, sondern ein integriertes Resilienz-Konzept.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.
European Data Protection Board (EDPB)EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.
Häufige Fragen
Ist SOC-KI in KRITIS hochriskant?
Ja. Anhang III Nr. 2 erfasst KI zur Überwachung kritischer IT-Systeme. Volles Pflichtenbündel aus Art. 8–15 ab 2. Aug. 2026, Schwerpunkt Cybersecurity.
Welche Cybersecurity-Risiken bestehen?
Adversarial Attacks, Data Poisoning, Model Evasion. Art. 15 verlangt Schutzstufen. Penetrationstests, Red-Teaming, Fallback auf konventionelles SIEM.
Welche Meldungen sind kumulativ?
AI Act Art. 73 (schwere Vorfälle) + NIS2 Art. 23 (24 h frühwarnend) + DSGVO Art. 33 (72 h Datenschutzverletzung). Konsolidierte Vorfall-Matrix unverzichtbar.
Rechtskonforme Umsetzung für KI zur Überwachung kritischer IT-Systeme (Sicherheit)?
Wenn du KI zur Überwachung kritischer IT-Systeme (Sicherheit) rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.