industryArticlemaschinenlesbar

Kritische Infrastrukturen: AI Act, Data Act & DSGVO-Pflichten

MenschMarkdown öffnen

KI-Systeme, die als Sicherheitskomponente in kritischer digitaler Infrastruktur, in Wasserversorgungssysteme oder als Notstromversorgung eingesetzt werden, sind nach Anhang III Nr. 2 AI Act hochriskant und unterliegen spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026) den Pflichten aus Art. 8–15. Betroffen sind Betreiber essenzieller Dienste (Energie, Wasser, Verkehr, Telekommunikation, Gesundheitswesen, Finanzen) nach NIS2. Der AI Act überlappt hier mit der NIS2-Richtlinie (Risikomanagement, Meldung erheblicher Vorfälle), der DSGVO und Sektorrecht. Anbieter müssen Konformitätsbewertung und CE-Kennzeichnung nachweisen; Betreiber übernehmen die Art. 26-Pflichten sowie die NIS2-Meldepflichten.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
wann hochriskant

Wann kritische Infrastruktur-KI hochriskant ist

Anhang III Nr. 2 AI Act erfasst KI-Systeme, die als Sicherheitskomponente der Versorgungs- und IT-Infrastruktur verwendet werden — also als Sicherheitskomponente von kritischer digitaler Infrastruktur, von Wasserversorgungssystemen oder als Notstromversorgung. Das können u. a. sein: Anomalieerkennung in Stromnetzen, KI-basierte Netzwerküberwachung in Telekommunikation, Steuerung von Wasseraufbereitungs- oder Schutzeinrichtungen. KI, die nur am Rande mitläuft (z. B. reine Auswertungs-Dashboards ohne Sicherheitsfunktion), fällt oft nicht darunter; die Grenze ist die Sicherheitsfunktion.

ueberschneidung nis2

Überschneidung mit NIS2 und Sektorrecht

Wer kritische Infrastruktur betreibt, ist meist „sehr wichtiger Anbieter" oder „wichtiger Anbieter" nach der NIS2-Richtlinie (RL (EU) 2022/2555). NIS2 verlangt angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen zur Cybersicherheit sowie die Meldung erheblicher Vorfälle. Der AI Act ergänzt dies KI-spezifisch: Anomalieerkennung oder Steuerungs-KI muss die Art. 8–15-Pflichten erfüllen, schwere Vorfälle sind zusätzlich nach Art. 73 AI Act zu melden. Hinzu kommen Sektorrecht (z. B. EnWG/BsiG in Deutschland) und die DSGVO. Compliance heißt hier: die Pflichtenbündel konsistent verbinden, nicht doppelt pflegen.

pflichten fristen

Pflichten, Fristen und Aufsichten

Anbieter erfüllen Art. 8–15, Konformitätsbewertung, CE-Kennzeichnung und Registrierung (spätestens 2. Dezember 2027 (AI Omnibus 2026)). Betreiber treffen die Art. 26-Pflichten sowie die NIS2-Maßnahmen- und Meldepflichten. In Deutschland sind das BSI, die Bundesnetzagentur und die Sektoraufsichten zentral; in Österreich der Rat für KI und sektorale Regulatoren; in der Schweiz das nationale Cybersicherheits-Zentrum (NCSC) und sektorale Stellen. Schwere KI-Vorfälle (z. B. Systemausfälle mit Versorgungsfolge) sind mehrfach zu melden — an die Marktüberwachung (AI Act) und an die Cybersicherheits-/Sektoraufsicht (NIS2).

Sources

Quellen

FAQ

Häufige Fragen

Wann ist KI in der kritischen Infrastruktur hochriskant?

Wenn sie als Sicherheitskomponente in kritischer digitaler Infrastruktur, Wasserversorgung oder Notstromversorgung eingesetzt wird (Anhang III Nr. 2 AI Act). Maßgeblich ist die Sicherheitsfunktion.

Wie hängen AI Act und NIS2 zusammen?

Sie überlappen: NIS2 verlangt Cybersicherheitsmaßnahmen und Vorfallsmeldung; der AI Act ergänzt KI-spezifische Pflichten (Art. 8–15) und die Meldung schwerer KI-Vorfälle (Art. 73). Beide sind für Betreiber kritischer Dienste gemeinsam zu erfüllen.

Wer überwacht in Deutschland?

Wichtig sind BSI, Bundesnetzagentur und Sektoraufsichten für Cybersicherheit/Versorgungssicherheit sowie die Marktüberwachungsbehörden für den AI Act. Schwere Vorfälle sind mehrfach zu melden.

Beratung für deinen Sektor

KI-Compliance für Kritische Infrastrukturen?

Wenn du im Sektor Kritische Infrastrukturen KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.

Jetzt beraten lassen
Related