In diesem Beitrag

EU-Kommission verlängert Fristen für KI-Compliance bis 2027

2025-12-27 15:13:00 · Quelle: Google News Aggregat

Die EU-Kommission hat die Frist für die Umsetzung von Hochrisiko-KI-Systemen auf Dezember 2027 verlängert. Diese Entscheidung ist Teil des „Digitalen Omnibus“, der Unternehmen mehr Zeit zur Verfügung stellt, während die Anforderungen weiterhin streng bleiben.

it-sa 2025: Ein Wendepunkt in der Cybersicherheit

Die Cybersecurity-Branche erlebte einen bedeutenden Moment während der it-sa 2025, die vom 7. bis 9. Oktober in Nürnberg stattgefunden hat. Mit über 28.267 Fachbesuchern und 993 Ausstellern aus 64 Ländern stellte die Veranstaltung einen neuen Rekord auf. Im Zentrum der Diskussionen stand das Thema Künstliche Intelligenz (KI), sowohl hinsichtlich ihrer Risiken als auch als Verteidigungsmittel. In den Kongresshallen wurden zahlreiche Debatten über die praktische Umsetzung des EU-KI-Gesetzes geführt. Die Unsicherheit in der Branche war spürbar, da die harmonisierten Normen für Konformitätsbewertungen noch ausstanden und der ursprünglich geplante Stichtag für die Umsetzung im August 2026 immer näher rückte. Diese angespannte Atmosphäre unterstrich die Notwendigkeit regulatorischer Anpassungen, die einige Wochen später von der EU-Kommission in Form der Fristverschiebung genannt wurden.

Unternehmen unterschätzen häufig die Anforderungen, die mit den EU-KI-Regelungen einhergehen, einschließlich der Notwendigkeit zur Risikoklassifizierung und der Dokumentation. In diesem Zusammenhang wurde ein kostenloser Umsetzungsleitfaden angeboten, der die wichtigsten Anforderungen und Übergangsfristen für Entwickler, CISOs sowie Compliance-Teams zusammenfasst. Das Ziel dieser Ressource ist es, Bußgelder zu vermeiden und geeignete Entscheidungen zur KI-Governance frühzeitig zu treffen.

Der Digitale Omnibus: Anpassungen an den Zeitplan für KI

Am 19. November 2025 präsentierte die EU-Kommission als Antwort auf Bedenken aus der Industrie das „Digitale Omnibus“-Paket. Dieses Regelwerk zielt darauf ab, Überschneidungen zwischen dem KI-Gesetz, der Datenschutz-Grundverordnung (DSGVO) und dem Data Act zu beseitigen. Dabei lehnte die Kommission einen vollständigen Stopp der Fristen ab, der von einigen Digitalministern gefordert wurde. Stattdessen tritt der neue Vorschlag eines konditionalen Aufschubs in Kraft. Die Frist für Hochrisiko-KI-Systeme, wie sie im Anhang III festgelegt sind, wird an die Verfügbarkeit von EU-Harmonisierungsnormen gekoppelt. Sollte diese normative Basis nicht rechtzeitig bereitgestellt werden, verschiebt sich der Stichtag vom ursprünglich geplanten August 2026 auf den 2. Dezember 2027. Zusätzlich wird für in Produkte integrierte Systeme ein neuer Stichtag im August 2028 erwartet.

Auswirkungen auf deutsche Unternehmen

Für CISOs und Verantwortliche für Compliance in Unternehmen bringt die Fristverlängerung zwar eine gewisse Entlastung, jedoch bleibt die Situation herausfordernd. Die Anforderungen des KI-Gesetzes sind nach wie vor sehr streng. Wichtige Neuerungen sind im Folgenden zusammengefasst:

Hinweisgeber-Portal aktiv: Die EU-KI-Behörde hat bereits Ende 2025 ein Meldesystem für Verstöße und Sicherheitsrisiken eingeführt. Somit wird die Durchsetzungsinfrastruktur unabhängig von den Friständerungen geschaffen.
Bias-Erkennung und DSGVO: Der Entwurf des Omnibus ermöglicht künftig die Verarbeitung besonderer personenbezogener Daten zur Erkennung von Verzerrungen in allen KI-Systemen, nicht nur in Hochrisiko-Anwendungen, was einen signifikanten Konfliktpunkt entschärft.
Abhängigkeit von Normen: Der konditionale Aufschub macht Unternehmen von der Arbeit der Normungsgremien abhängig. Experten empfehlen, interne Governance bereits an die Entwürfe wie ISO/IEC 42001 anzupassen, anstatt auf die endgültige EU-Veröffentlichung zu warten.

Der Digitale Fitness-Check: Ausblick auf 2026

Im kommenden Jahr wird der „Digitale Fitness-Check“ der EU-Kommission im Mittelpunkt stehen. Diese umfassende Prüfung der EU-Digitalgesetze wird bis zum 11. März 2026 durchgeführt. Die Branche hofft, dass der pragmatische Ansatz, der auf der it-sa 2025 zu beobachten war, auch in diesem Zusammenhang Gehör findet.

Die zentrale Botschaft zum Ende des Jahres ist klar: Während sich die Deadlines verschoben haben, bleibt das Ziel unverändert. Der Digitale Omnibus ersetzt die Angst vor Fristen mit einem klaren, jedoch anspruchsvollen Weg bis 2027. Unternehmen sollten die zusätzliche Zeit nutzen, um ihre KI-Governance zu stärken und ihre Compliance-Programme fortzuführen, anstatt sie zu pausieren.

Fazit: Der Weg zur KI-Governance bleibt anspruchsvoll

Die neuen Fristen entbinden Unternehmen nicht von den bestehenden Verpflichtungen zur Risikoanalyse, Kennzeichnung und Dokumentation ihrer KI-Systeme. Eine strukturierte Planung ist unabdingbar, um rechtzeitig auf die neuen Anforderungen reagieren zu können. Die Verfügbarkeit von Hilfsmitteln und Leitfäden sollte aktiv zur Umsetzung und Einhaltung der Vorgaben genutzt werden.

EU-Kommission verlängert KI-Compliance-Fristen bis 2027