AI Regulatory Intelligence — by YRproject

sachliche Einordnung · nachvollziehbar bis zur Primärquelle

Compliance-Plattform Zusammenarbeiten LinkedIn NL·EN·DE
Erläuterung

KI und Cybersicherheit: das Zusammenspiel von Cyber Resilience Act und KI-Verordnung

Verabschiedet 2026-06-22 · ≈ 2 Min. Lesezeit · Dirk Baaijen

KI-Produkte müssen sicher und cyberresilient sein. Der Cyber Resilience Act stellt Sicherheitsanforderungen an Produkte mit digitalen Elementen, während die KI-Verordnung Cybersicherheit von Hochrisiko-Systemen verlangt — zwei Rahmenwerke, die auf einem Produkt zusammentreffen.

Kurze Antwort: Ein KI-Produkt muss nicht nur sicher funktionieren, sondern auch Angriffen standhalten. Der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) stellt Cybersicherheitsanforderungen an nahezu alle Produkte mit digitalen Elementen. Die KI-Verordnung verlangt zudem ein angemessenes Maß an Cybersicherheit für Hochrisiko-KI-Systeme (Artikel 15). Beide Rahmenwerke können auf dasselbe Produkt anwendbar sein.

Was der Cyber Resilience Act regelt

Der CRA ist ein horizontales Rahmenwerk: er gilt für Produkte mit digitalen Elementen, von Software bis zu vernetzten Geräten. Kernpflichten sind:

  • Security by Design: Produkte werden ohne bekannte ausnutzbare Schwachstellen entworfen und geliefert.
  • Schwachstellenmanagement: Hersteller liefern Sicherheitsupdates während eines Unterstützungszeitraums.
  • Meldepflicht: aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle werden gemeldet.

Viele KI-Systeme werden als oder innerhalb solcher Produkte geliefert und fallen damit unter den CRA.

Die Anforderungen gelten während des gesamten Lebenszyklus, nicht nur beim Erstverkauf. Ein Hersteller muss Schwachstellen weiterhin überwachen und Patches ausrollen, solange das Produkt unterstützt wird. Das knüpft an den Gedanken an, dass Sicherheit eine fortlaufende Pflicht ist, kein einmaliger Test.

Was die KI-Verordnung verlangt

Die KI-Verordnung betrachtet Cybersicherheit vom Risiko des KI-Systems selbst her. Artikel 15 verlangt, dass Hochrisiko-Systeme ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit aufweisen.

Dazu gehören KI-spezifische Bedrohungen: Data Poisoning (das Vergiften von Trainingsdaten), Adversarial Attacks (irreführende Eingaben) und Model Evasion. Das sind Risiken, die ein klassischer Sicherheitsansatz nicht von selbst abdeckt.

Ein Angreifer muss die Software nicht knacken, um ein KI-System zu untergraben; die Manipulation von Eingaben oder Trainingsdaten kann bereits ausreichen, um fehlerhafte Ergebnisse zu erzwingen. Daher verlangt die KI-Verordnung, dass Robustheit und Cybersicherheit bereits im Entwurf berücksichtigt werden.

Ein Produkt, zwei Konformitätsstränge

Die große Herausforderung ist die Überschneidung ohne Doppelarbeit. CRA und KI-Verordnung streben beide nach sicheren Produkten, aber von einem anderen Ausgangspunkt: der CRA generisch, die KI-Verordnung KI-spezifisch. Der Gesetzgeber hat eine Abstimmung beabsichtigt, sodass ein Produkt, das beiden entsprechen muss, nicht zwei völlig getrennte Verfahren durchlaufen muss.

In der Praxis bedeutet das: eine Risikobewertung, die beide Blickwinkel abdeckt, gekoppelt an die richtige Transparenz und Dokumentation. Wie bei der Nachhaltigkeitsberichterstattung lohnt es sich, Rahmenwerke zu bündeln, statt sie parallel zu betreiben.

Was zu tun ist

  • Erfassen Sie beide Rahmenwerke: fällt Ihr Produkt unter den CRA, die KI-Verordnung oder beide?
  • Wenden Sie Security by Design an: liefern Sie ohne bekannte ausnutzbare Schwachstellen.
  • Adressieren Sie KI-spezifische Bedrohungen: testen Sie auf Data Poisoning und Adversarial Attacks.
  • Richten Sie ein Schwachstellen- und Meldeverfahren gemäß CRA ein.
  • Integrieren Sie die Risikobewertungen von CRA und KI-Verordnung zu einem zusammenhängenden Verfahren.

Cyberresilienz ist keine separate Schicht über der KI, sondern Teil der Robustheit, die beide Rahmenwerke verlangen.

Quellen

  1. https://eur-lex.europa.eu/eli/reg/2024/2847/oj
    Verordnung (EU) 2024/2847 (Cyber Resilience Act); horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen.
  2. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordnung (EU) 2024/1689 (KI-Verordnung); Art. 15 verlangt ein angemessenes Maß an Cybersicherheit für Hochrisiko-KI-Systeme.

Share on LinkedIn

Lesen Sie auch

W

Pflichten des Einführers nach der KI-Verordnung (Artikel 23)

Wer ein Hochrisiko-KI-System von außerhalb der EU in Verkehr bringt, ist Einführer und muss vor der Einfuhr prüfen, ob der Anbieter die Konformität geregelt hat. Artikel 23 macht den Einführer zum Torwächter, mit eigenen Aufzeichnungs-, Aufbewahrungs- und Stopppflichten.

U

KI-Beschaffung durch die öffentliche Hand: KI-Verordnungs-Konformität als Vergabeanforderung

Wer als Behörde ein KI-System beschafft, wird nach der KI-Verordnung Betreiber und manchmal selbst Anbieter. Machen Sie Konformität, Dokumentation und Grundrechtsprüfung zu harten Anforderungen in der Ausschreibung, nicht zu Restposten im Vertrag.

W

Die EU-Konformitätserklärung nach der KI-Verordnung (Artikel 47)

Die EU-Konformitätserklärung ist die schriftliche Erklärung, mit der der Anbieter selbst bestätigt, dass ein Hochrisiko-KI-System der KI-Verordnung entspricht. Artikel 47 schreibt Inhalt, Sprache und Aufbewahrung vor; der Anbieter trägt dafür die volle Verantwortung.

Dirk Baaijen

Über diese Wissensdatenbank

Zusammengestellt und gepflegt von YRproject — Programm- und Projektsteuerung an der Schnittstelle von digitaler Transformation, KI und Regulierung. Jede sachliche Aussage ist bis zur Primärquelle nachvollziehbar. Hinter YRproject steht Dirk Baaijen Über & Methode →

Ein Projekt oder Programm? Mit YRproject arbeiten →

Das monatliche Briefing

KI-Regulierung in fünf Minuten: was sich geändert hat, was kommt und was es bedeutet. Kein Spam, jederzeit abbestellbar.

Ihre Adresse wird nur hierfür verwendet und auf eigenen Servern gespeichert.