Der EU AI Act, das europaweite Gesetz zu künstlicher Intelligenz (KI), trat in Teilen bereits am 1. August 2024 in Kraft und wird bis zum 2. August 2026 vollständig anwendbar. Diese Verordnung schafft einen risikobasierten Rahmen für KI-Systeme in der gesamten EU. Dies ist besonders bedeutsam für Cloud-Service-Anbieter, die maschinelle Lernleistungen (sogenanntes Machine Learning) in Hochrisiko-Sektoren wie dem Gesundheitswesen anbieten. In diesem Zusammenhang stellt der Artificial Intelligence Cloud Service Compliance Criteria Catalogue (AIC4) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) einen strukturierten Assurance-Rahmen dar. Anbieter können die Sicherheit, Robustheit und Governance ihrer maschinellen Lerndienste im Einklang mit den regulatorischen Anforderungen des EU-KI-Gesetzes nachweisen.
Was ist der AIC4?
Der AIC4 besteht aus technischen Informationssicherheitskriterien, die vom BSI entwickelt wurden. Er ist darauf ausgelegt, die Sicherheit und Robustheit von KI-Cloud-Diensten (das heißt, Cloud-Systemen, die auf maschinellem Lernen basieren) zu bewerten.
Der AIC4 ist eine Erweiterung der C5-Cloud-Sicherheitskriterien mit KI-spezifischen Anforderungen und kann nur durchgeführt werden, wenn eine gültige C5-Attestation vorliegt. Sie konzentriert sich auf den sicheren Einsatz von maschinellem Lernen in Cloud-Diensten, wobei die Konformität mit den Kriterien des AIC4n durch standardisierte Audits überprüft und in einem Bericht verschriftlicht wird, um Cloud-Kunden beim Bewerten der Sicherheit und der Zuverlässigkeit von KI-Systemen zu unterstützen.
Wie verbessert der AIC4 die Einhaltung von Compliance und Sicherheit über den EU AI Act hinaus?
Das Zusammenspiel von AIC4 und dem EU-KI-Gesetz bietet eine höchstwirksame Kombination aus regulatorischer Compliance und praktischer Sicherheit. Das EU-KI-Gesetz. Der AIC4 operationalisiert viele der sicherheitsorientierten Aspekte, die für Hochrisiko-KI-Systeme, insbesondere in Cloud-Service-Kontexten, relevant sind.
Hintergrund
EU AI Act
Der EU AI Act ist eine Verordnung, die einen gemeinsamen Rechtsrahmen für KI-Systeme in der gesamten EU schafft. Es ist das erste umfassende KI-Gesetz, das darauf abzielt, sicherzustellen, dass der Einsatz künstlicher Intelligenz sicher, vertrauenswürdig und im Einklang mit EU-Werten und Grundrechten ist. Das Gesetz kategorisiert KI-Systeme nach Risikoniveau und legt entsprechende Verpflichtungen fest.
Das Gesetz gilt für alle KI-Systeme, die auf den europäischen Markt gebracht werden, unabhängig von deren Herkunft, und verwendet einen risikobasierten Ansatz zur Regulierung von künstlicher Intelligenz. Systeme, die laut Klassifikation „inakzeptable Risiken“ haben, sind verboten. Hochrisikosysteme unterliegen strengen Anforderungen, Systeme mit begrenztem Risiko müssen Transparenzverpflichtungen erfüllen und Systeme mit minimalem Risiko sind weitgehend unreguliert.
Für risikobehaftete KI müssen Anbieter Maßnahmen wie Risikomanagement, Dokumentation, menschliche Kontrollmaßnahmen (human oversight), Datenverwaltung und Konformitätsbewertungen umsetzen.
Diese Unterscheidung spiegelt sich auch in den Ebenen wider, die jedes Framework abdeckt. Der EU AI Act wirkt auf regulatorischer und rechtlicher Ebene und definiert Verantwortlichkeiten, Verpflichtungen und Marktzugangsbedingungen für Anbieter und Anwender von KI-Systemen innerhalb der EU. Er gilt Sektor- und Anwendungsfall-übergreifend.
Im Gegensatz dazu arbeitet der AIC4 auf technischer und sicherheitstechnischer Ebene. Er ist speziell für cloudbasierte KI-Dienste konzipiert und konzentriert sich auf die sichere Implementierung und den Betrieb von maschinellen Lernsystemen. Er bietet konkrete, prüfbare Kriterien für Sicherheit, während des gesamten KI-Lebenszyklus.
Durch eine AIC4-Prüfung können Anbieter unabhängige Sicherheitsnachweise vorlegen, was für das Vertrauen der Kunden und die Risikobewertungen und Bereitschaft für regulatorische Prüfungen wertvoll ist. Da viele vom Gesetz erfasste KI-Systeme als Cloud-Dienste bereitgestellt werden, bietet der AIC4 einen standardisierten Rahmen zur Bewertung von Sicherheit, Robustheit und Datenverwaltung, der die Anforderungen des Gesetzes ergänzt.
Im Wesentlichen definiert der EU AI Act, was erreicht werden muss, der AIC4 hingegen zeigt, wie es umgesetzt werden kann, was das Vertrauen bei Kunden und Regulierungsbehörden gleichermaßen erhöht.
Noch nicht konform? Das ist als Nächstes zu tun
Bei Cloud-Dienstleistern, die in Hochrisikosektoren wie dem Gesundheitswesen tätig sind und deren KI-Dienste noch keine BSI-C5, bzw. AIC4-Attestierung besitzen, ist der Handlungsdruck aktuell hoch. Ein längeres Warten kann Marktchancen einschränken – und sogar den Ausschluss von Ausschreibungen oder die Gefährdung bestehender Verträge zur Folge haben, wenn Kunden einen Nachweis über vollständig geprüfte, sichere und konforme KI-Systeme verlangen.
Unsere Experten Andreas Steffens und Patrick Stadler unterstützen Sie bei der Vorbereitung oder Erlangung einer AIC4-Attestierung.
Mehr KPMG Insights zum Thema
Ihre Ansprechpersonen
Andreas Steffens
Director, Audit, Regulatory Advisory, Digital Process Compliance
KPMG AG Wirtschaftsprüfungsgesellschaft
Patrick Stadler
Senior Manager, Audit, Regulatory Advisory, Digital Process Compliance
KPMG AG Wirtschaftsprüfungsgesellschaft
- Item 1
- Item 2