KurzfassungDer EU AI Act wird stufenweise anwendbar: erste Regelungen gelten seit 2025, der breite Anwendungsbeginn liegt am 2. August 2026. Übergangsfristen für Hochrisiko-Systeme hängen von Kategorie und aktuellen Vereinfachungsregeln ab. Für regulierte Unternehmen bleibt das Muster vertraut: Pflichten, Nachweise, Aufsicht und Sanktionen. Wer steuert, bevor er ausrollt, ist besser vorbereitet.

Dieses Muster kennen wir von NIS2.

Vorstände fragen zu spät, ob das Unternehmen compliant ist. Security erbt eine Frist, die sie nicht gesetzt hat. Berater verkaufen Gap-Analysen. Die Organisationen, die ruhig geblieben sind, hatten bereits ein funktionierendes ISMS und mussten es nur erweitern.

Der AI Act setzt einen ähnlichen Druckmechanismus für neue Technologie: stufenweise Anwendung statt ein einzelnes Datum, risikobasierte Pflichten statt Einheitsregel und Sanktionen, die Unternehmen ernst nehmen müssen.

Warum KI schwieriger ist als NIS2.

NIS2 betrifft häufig vergleichsweise stabile IT- und Kontrollprozesse. Bei KI können Modelle, Anbieter und Anwendungsfälle deutlich schneller wechseln. Das macht eine einmalige Bewertung fragil und Governance im laufenden Betrieb wichtiger.

Deshalb reicht keine einmalige Gap-Analyse. Das Ziel bewegt sich. Skalierbar ist nur Governance, die in die Art eingebaut ist, wie KI beschafft, getestet, freigegeben und betrieben wird.

Das Governance-Problem.

Viele KI-Initiativen scheitern nicht am Modell, sondern an der langweiligen Schicht darunter: keine Richtlinie für erlaubte Nutzung, keine Datenklassifizierung für Prompts, kein Modell für menschliche Aufsicht, keine Prüfspur, niemand, der die Freigabe verantworten kann.

In einem Startup kann man sich später entschuldigen. In einem regulierten Unternehmen ist genau diese fehlende Schicht der Projektkiller.

Woran man Bereitschaft erkennt.

  • 1. Exposition kennen: freigegebene und Schatten-KI erfassen, Hochrisiko-Anwendungen identifizieren.
  • 2. Richtlinien vor dem Pilot schreiben: gemappt auf EU AI Act, ISO 42001 und das bestehende ISMS.
  • 3. Governance in die Architektur bauen: Aufsicht, Logging und Begrenzung von Anfang an.
  • 4. ISO 42001 als Managementsystem-Logik für KI nutzen: vorhandene ISMS-Erfahrung erweitern, nicht alles neu erfinden.

Unterm Strich.

Unternehmen, die NIS2 gut bewältigt haben, haben nicht gewartet, bis sie dazu gezwungen wurden. Der AI Act begünstigt dieselbe Haltung. Das ruhige Zeitfenster ist jetzt offen und schließt sich.

Mit einem AI Deployment Readiness Assessment starteninfo@amara.gmbh