EU-Kommission verlängert KI-Compliance-Fristen bis 2027
Neue Fristen für Hochrisiko-KI-Systeme: EU-Kommission reagiert auf Branchenbedenken
Die Europäische Kommission hat die Frist für die Umsetzung der Vorschriften zu Hochrisiko-Künstlichen Intelligenzsystemen (KI) auf Dezember 2027 verschoben. Diese Entscheidung folgt auf die Rückmeldungen der Industrie, die eine Verlängerung der Frist gefordert hatte, um die erforderlichen Standards und Normen zu entwickeln. Ursprünglich sollte der Stichtag im August 2026 liegen. Mit dieser Anpassung wird der Branche zeitliche Flexibilität gewährt, wobei die grundlegenden Anforderungen an Sicherheit und Compliance weiterhin gelten.
Im Zentrum dieser Änderungen steht der „Digitale Omnibus“, ein Maßnahmenpaket, das verschiedene EU-Vorschriften zur digitalen Sicherheit harmonisieren soll. Die aktuellen Fristen sind nun an die Verfügbarkeit von EU-Harmonisierungsnormen gebunden. Falls diese Standards nicht rechtzeitig bereitgestellt werden, verschiebt sich der Termin für Hochrisiko-KI-Systeme auf den 2. Dezember 2027. Für Systeme, die in Produkte integriert sind, wird ein neuer Fristtermin im August 2028 erwartet.
Highlights der it-sa 2025: Ein Blick auf die Cybersicherheitslandschaft
Die Messestadt Nürnberg wurde vom 7. bis 9. Oktober 2025 zum Schauplatz der weltweit größten Veranstaltung für Cybersicherheit. Über 28.000 Fachbesucher und nahezu 1.000 Aussteller aus 64 Ländern nahmen teil. Ein zentrales Diskussionsthema war die Rolle der Künstlichen Intelligenz in der Cybersicherheit, sowohl als potenzielle Bedrohung als auch als sowie Verteidigungsinstrument. Viele Fachleute hatten Bedenken hinsichtlich der Umsetzung des geplanten EU-KI-Gesetzes. Die anhaltend hohe Unsicherheit über fehlende harmonisierte Normen verschärfte die Diskussionen auf der Messe, wo sich einige Teilnehmer besorgt über die kommenden Anforderungen äußerten.
Die Dringlichkeit der Situation führte zu den regulatorischen Anpassungen, die wenig später von der EU-Kommission angekündigt wurden. Viele Unternehmen sind sich der bereits bestehenden Verpflichtungen im Rahmen der EU-KI-Regeln nicht bewusst. Dazu zählen unter anderem Risikobewertungen und umfassende Dokumentationspflichten. Hilfreiche Leitfäden bieten klare Anweisungen für Entwickler, CISOs (Chief Information Security Officers) und Compliance-Teams, um sicherzustellen, dass sie informierte Entscheidungen treffen und potenzielle Bußgelder vermeiden.
Digitale Entwicklungsstrategie: Der Digitale Omnibus als Schlüsselmaßnahme
Die EU-Kommission stellte am 19. November 2025 den „Digitalen Omnibus“ vor, um der sich wandelnden Branche Rechnung zu tragen. Die Vereinheitlichung der Regelungen zwischen dem EU-KI-Gesetz, der Datenschutz-Grundverordnung (DSGVO) und anderen relevanten Vorschriften wurde als notwendig erachtet, um Unklarheiten zu beseitigen. Ein steiniger Punkt war die Ablehnung eines umfassenden Friststopps, wie ihn einige Digitalminister vorgeschlagen hatten. Stattdessen wird ein konditionaler Aufschub eingeführt, wodurch die neuen Fristen eng an die Verfügbarkeit spezifischer Normen geknüpft sind. Dies bedeutet, dass Unternehmen genau im Auge behalten müssen, welche Fortschritte in der Standardisierung gemacht werden, und sie sind auf die zeitnahe Bearbeitung angewiesen.
Für die digitale Landschaft bedeutet dies eine unmittelbare Abhängigkeit von den Normungsgremien. Unternehmen sollten bereits jetzt ihre internen Governance-Strukturen an den Entwürfen der Normen, wie zum Beispiel ISO/IEC 42001, orientieren, um auf die finalen Regelungen gut vorbereitet zu sein. Die strengen Anforderungen an Hochrisiko-KI-Systeme werden weiterhin erwartet, und es gibt keinen Raum für Nachlässigkeiten. Daher ist es entscheidend, interne Prozesse zu optimieren und die Prinzipien einer fairen KI zu verankern.
Ausblick auf 2026: Der Digitale Fitness-Check
Im Jahr 2026 wird der „Digitale Fitness-Check“ in den Fokus rücken. Dieses umfassende Überprüfungsverfahren der EU-Digitalgesetze wird bis zum 11. März 2026 durchgeführt. Die Branche sieht in diesem Prozess eine Möglichkeit, ihre Anliegen an die Entscheidungsträger zu kommunizieren. Ein pragmatischer Ansatz könnte dabei entscheidend sein, um sowohl Innovation als auch Sicherheit im digitalen Raum zu fördern.
Die aufgeschobenen Fristen bieten den Unternehmen die Möglichkeit, sich strategisch auf die bevorstehenden Anforderungen vorzubereiten. Dennoch bleibt das Hauptziel bestehen: eine verantwortungsvolle und konforme Nutzung von KI-Technologien auf dem Markt. Die Branche sollte die zusätzliche Zeit nutzen, um ihre Governance-Strategien in Bezug auf Künstliche Intelligenz zu stärken, anstatt sich in einem Gefühl der Sicherheit zurückzulehnen.
Fazit: Regulierungen und Verantwortlichkeiten bleiben bestehen
Die zeitliche Verschiebung der Fristen kann zwar als Entlastung angesehen werden, jedoch sind damit keine grundlegenden Änderungen in den Anforderungen verbunden. Unternehmen sind weiterhin gefordert, umfassende Risikoanalysen, Dokumentationen und Kennzeichnungen ihrer KI-Systeme durchzuführen. Der Digitale Omnibus stellt sicher, dass trotz der Fristverlängerungen die Verpflichtungen zur Compliance beibehalten werden müssen.