Warum der EU‑AI‑Act industrielle KI-Projekte unter Druck setzt

Kaum ein Regulierungsvorhaben wird in der Industrie so aufmerksam verfolgt wie der EU‑AI‑Act. Zwischen Warnungen vor Innovationshemmnissen und dem Versprechen verlässlicher Leitplanken steht eine nüchterne Frage: Welche Vorschriften treffen industrielle KI tatsächlich – und wo entstehen Bremswirkungen? Der AI Act und industrielle KI begegnen sich an sensibler Stelle: Dort, wo KI in sicherheitsrelevante Produkte oder Prozesse eingreift. Der Rechtsrahmen ist risikobasiert, unterscheidet zwischen verbotenen Praktiken, Hochrisiko‑Anwendungen und geringeren Risiken und gilt schrittweise. Das verhindert pauschale Urteile: Nicht jede Optimierungs‑KI in der Fertigung ist betroffen. Doch dort, wo Systeme als sicherheitskritisch klassifiziert werden, steigen die Anforderungen deutlich – mit technischen und wirtschaftlichen Folgen, die man realistisch einpreisen muss.

Risikokategorisierung: Wann industrielle Systeme zu Hochrisiko werden

Hochrisiko‑Einstufungen knüpfen im Kern an zwei Linien an: erstens an KI‑Anwendungen, die Grundrechte oder Sicherheit erheblich berühren, und zweitens an KI, die als Sicherheitskomponente in bereits regulierten Produkten dient. Für die Industrie ist Letzteres entscheidend. Sobald KI Funktionen in Maschinen, Aufzügen, Fahrzeugen oder anderen Produkten übernimmt, die einer Dritt‑Konformitätsbewertung unterliegen, rückt sie in das Hochrisiko‑Regime. Beispiele sind autonome Bewegungs- oder Schutzfunktionen in Robotikzellen. Dagegen sind viele Systeme zur Prozessoptimierung oder einfache Predictive‑Maintenance‑Modelle außerhalb sicherheitsrelevanter Steuerketten oft nicht erfasst. Unklarheiten bleiben bei hybriden Setups – etwa nachgerüsteter KI in Bestandsanlagen –, bis technische Leitlinien und harmonisierte Normen präzisieren, wann eine Funktion als Sicherheitskomponente gilt. Für CTOs heißt das: Frühe, saubere Abgrenzung gegen vermeintliche Hochrisiko‑Trigger ist strategisch wichtig.

Konformität in der Praxis: Dokumentation, Daten, Lifecycle

Wer ein Hochrisiko‑System anbietet, muss ein durchgängiges Risikomanagement über den gesamten Lebenszyklus nachweisen – von der Gefährdungsanalyse über Design‑Mitigations bis zur Wirksamkeitsprüfung. Hinzu kommen Anforderungen an Datenqualität und ‑governance (Repräsentativität, Relevanz, Bias‑Kontrolle), technische Dokumentation, Protokollierung, Robustheit, Cybersecurity, menschliche Aufsicht und ein Post‑Market‑Monitoring mit Vorfallsmeldungen. In vielen Industriefällen verzahnt sich die KI‑Konformität mit der CE‑Kennzeichnung des Gesamtprodukts; je nach Produktrecht ist neben der Eigenbewertung auch eine Benannte Stelle involviert. Praktisch relevant ist der Stand der Normung: Solange harmonisierte CEN/CENELEC‑Standards fehlen, müssen Hersteller Anforderungen direkt aus dem Gesetz herleiten – mit Unsicherheiten für Tests, Metriken und Akzeptanzkriterien. Wer hier strukturierte Evidenzketten aufbaut (Datenherkünfte, Trainingsprotokolle, Validierungsberichte), verkürzt spätere Schleifen mit Prüfern und Behörden.

Technik- und Lieferkettenhürden

Industrielle Daten sind oft domänenspezifisch, heterogen und betriebsgeheim. Repräsentative Trainings‑ und Validierungssets zu schaffen, ist anspruchsvoll – besonders bei seltenen Fehlerereignissen. Erklärbarkeit ist ein zweiter Reibungspunkt: Hochperformante Modelle (etwa Deep Learning für Anomalien) müssen so dokumentiert und überwacht werden, dass Entscheidungen nachvollziehbar und unter Aufsicht korrigierbar bleiben. In der Brownfield‑Realität stoßen diese Anforderungen auf fragmentierte OT‑Landschaften und Update‑Beschränkungen. Zudem wirkt der AI Act entlang der Lieferkette: Rollen und Pflichten von Anbieter, Inverkehrbringer, Integrator und Betreiber greifen ineinander. KI‑Module, Edge‑Geräte und Cloud‑Dienste müssen technische Akten, Nutzungsgrenzen und Update‑Prozesse abgestimmt bereitstellen – vertraglich abgesichert und auditierbar. Ohne solche Durchgriffsrechte beim Logging und bei Patches entstehen Compliance‑Lücken im Betrieb.

Ökonomische Folgen und Wettbewerbsblick

Die Pflichten erhöhen Fixkosten in Entwicklung, Dokumentation und Qualitätssicherung und verschieben Aufwand in frühe Projektphasen. Große Hersteller können Governance‑Strukturen, Testkapazitäten und Rechtskompetenz eher bündeln; für KMU schlägt der Anteil am Budget stärker zu Buche. Hinzu kommt Sanktionsdruck mit umsatzbezogenen Bußgeldern, der Risikoaversion fördert. International steht die EU damit für einen verbindlichen, prüfbaren Ansatz. Die USA und das Vereinigte Königreich setzen stärker auf Leitlinien und freiwillige Frameworks – was Geschwindigkeit begünstigen kann, aber nicht zwingend zu belastbareren Produkten führt. Für europäische Anbieter liegt die Chance in nachweislich sicherer, auditierbarer KI; das Risiko in längeren Time‑to‑Market‑Zyklen.

• Frühe Klassifizierung und Architekturwahl: Sicherheitsfunktion strikt von Optimierung trennen.
• Datenstrategie aufbauen: repräsentative, versionierte Sets; synthetische Daten gezielt nutzen.
• Explainability-by-Design: Monitoring, Model‑Cards und Grenzwertlogik integrieren.
• Lieferketten‑Compliance vertraglich absichern: Rollen, Logs, Update‑Pflichten klären.
• Pilotieren mit Norm‑Entwürfen und Guidance; Ergebnisse als Evidenz dokumentieren.

Unterm Strich droht industriellen KI‑Projekten kein generelles Aus. Aber dort, wo sicherheitskritische Funktionen berührt sind, verlangt der AI‑Act eine neue Professionalität: systematische Risikosteuerung, belastbare Daten- und Dokumentationsprozesse und abgestimmte Lieferketten. Wer das jetzt strukturiert angeht und die kommenden Standards antizipiert, reduziert Reibungsverluste – und hält die Balance zwischen Innovationsgeschwindigkeit und vertrauenswürdiger Technik.