Skip to main content

17.09.2024 | Verwaltungsmanagement | Im Fokus | Online-Artikel

So könnte das BSI effizient auf den EU AI Act reagieren

verfasst von: Jordan Pötsch

5:30 Min. Lesedauer

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config
loading …

Das BSI könnte bei der KI-Aufsicht im Rahmen des EU AI Acts eine wichtige Rolle spielen. Wie es durch gezielte Ergänzung bestehender Frameworks auf das KI-Gesetz reagieren könnte, ohne das Rad neu zu erfinden.

Die Mitgliedstaaten der Europäischen Union sind durch den EU AI Act verpflichtet, bis August 2025 nationale Behörden ernannt zu haben, die die Umsetzung der in der KI-Verordnung genannten Anforderungen beaufsichtigen. Die Aufgaben der nationalen Aufsicht über Künstliche Intelligenz (KI) umfassen im Wesentlichen drei zentrale Bereiche:

  1. Es obliegt der Behörde, unabhängige Prüfstellen zu benennen, die für die Kontrolle von Hochrisiko-KI-Systemen zuständig sind.
  2. Für die Marktüberwachung ist die Behörde ebenfalls verantwortlich. Sie fungiert als Ansprechpartnerin für KI-Anbieter, die Fehler in ihren Systemen identifizieren.
  3. Die Behörde soll Innovation und Wettbewerb vorantreiben und fördern.

Artikel 70 des EU AI Acts legt die Rahmenbedingungen für die nationalen zuständigen Behörden (National Competent Authorities) der Mitgliedstaaten fest, die für die Umsetzung und Überwachung der Verordnung verantwortlich sind. Es ist denkbar, dass mehrere Institutionen diese Aufgaben gemeinsam übernehmen. In Deutschland kämen hierfür insbesondere das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Bundesnetzagentur (BNetzA), die Datenschutzbehörden oder eine neu zu gründende Behörde in Betracht. Bisher wurde noch keine politische Entscheidung getroffen und es gibt eine Vielzahl an Argumenten für die jeweilige Option.

BSI kommt bei KI-Regulierung weiterhin wichtige Funktion zu

Das BSI hat in der Vergangenheit bereits Studien, den KI-Kriterienkatalog AIC4 und diverse Leitfänden zur sicheren Einführung von KI veröffentlicht. Selbst wenn dem BSI im Rahmen des AI Acts aufgrund politischer Entscheidungen keine offizielle Rolle zugewiesen wird, ist dennoch sicher, dass das Amt weiterhin eine wichtige Funktion bei der KI-Regulierung einnehmen wird. So etabliert sich das BSI aktiv in aktuellen Regulierungsinitiativen. Ein Beispiel dafür ist die Arbeitsgruppe CEN-CENELEC JTC 21. Zudem wird ein horizontaler Standard für Hochrisiko- und so genannte GPAI-KI-Systeme sowie deren Anwendungsfälle entwickelt, um die Anforderungen des EU AI Acts für diese Kategorien zu operationalisieren und zertifizieren zu können.

Für eine bedeutende Rolle des BSI bei der KI-Regulierung sprechen auch schwerwiegende fachlich-inhaltliche Gründe. Der EU AI Act sieht unter anderem verpflichtend die Einführung eines Risikomanagementsystems (RMS) für Hochrisiko-KI-Systeme vor. Im Dezember 2023 wurde der internationale Standard ISO/IEC 42001 veröffentlicht, der ein KI-Managementsystem (KIMS) beschreibt. Der Standard ist durch die High Level Structure (HLS) ausdrücklich so ausgelegt, dass er auf bestehende Managementsysteme wie das der ISO/IEC 27001 aufbaut. Um Synergieeffekte zu erzeugen ist es nur sinnvoll, bei der Einführung eines RMS für KI auf bestehende Risikoprozesse in einer Organisation aufzubauen. Auch wenn es sich bei der ISO/IEC 42001, ISO/IEC 42005 und ISO/IEC 42006 um global anerkannte Standards handelt, sind durch diese Standards Spezifika der EU-Regulierung, die durch den EU AI Act verbindlich vorgegeben werden, nicht abgedeckt. Auch wichtige Begrifflichkeiten divergieren. Das BSI hat bereits eine nationale Version eines Information Security Management Systems (ISMS), den BSI-IT-Grundschutz.

Standard einführen, ohne das Rad neu zu erfinden

Ob nun die Wahl auf das BSI als Aufsichtsbehörde im Rahmen des EU AI Acts fallen wird oder nicht, ergibt sich aus den vorgenannten Ausführungen eine Maßnahme für das Amt: die Einführung eines neuen Standards BSI 200-5 (KIMS), der die wesentliche Struktur der ISO/IEC 42001 übernimmt und somit eine Konkretisierung der europäischen KI-Verordnung auf Grundlage des ISO/IEC 42001 schafft. Während die Schnittstellen zwischen ISMS und KIMS in den ISO-Standards nicht scharf definiert sind, kann das BSI durch Einführung neuer KI-Bausteine und dem 200-5 die Schnittstellen klar definieren, um inhaltliche Lücken zu vermeiden. Auch würde eine wesentliche Herausforderung gelöst: durch Nationalisierung der ISO/IEC 42001 können operationalisierte Dimensionen eingeführt werden. Der neue BSI-Standard 200-5 könnte langfristig als Zertifizierungsgrundlage für ein KIMS dienen. In dem Kontext wären neue Personenzertifizierungen erforderlich, wie zum Beispiel ein ISO/IEC 42001 Lead Auditor auf Basis von BSI 200-5.

In dem Buch „Regulierung von Künstlicher Intelligenz in der EU – Praxisbezogene Lösungsansätze für die Sicherheit von KI-Anwendungen“, das voraussichtlich Ende 2024 bei Springer Gabler erscheint, wird eine detaillierte Soll-Ist-Analyse zwischen bestehenden Frameworks des BSI und den Anforderungen des AI Acts vorgenommen. Das Ergebnis: Fachlich-inhaltlich hat das BSI flächendeckend die Grundlage geschaffen, um aufwandsarm den EU AI Act zu konkretisieren und – als erste Regulierungsbehörde EU-weit – die ISO/IEC-42x-Reihe national als eigenen Standard einzuführen.

Vier KI-Grundschutzbausteine erforderlich

Ein Vergleich zwischen dem Grundschutzkompendium Edition 2023 und der ICT-Infrastruktur des FAICP-Frameworks zeigt, dass vier zusätzliche KI-Grundschutzbausteine zur Abdeckung der Sicherheitsrisiken erforderlich sind. Sie wären künftig Teil der BSI-IT-Grundschutzzertifizierung. Durch die KI-Bausteine werden die Schnittstellen zwischen ISMS und KIMS erstmal scharf definiert. Der neue BSI-Standard 200-5 würde die ISO/IEC 42001 und 42006 integrieren und sie an die Vorgaben des EU AI Acts anpassen.

Personenkompetenzen und -zertifizierungen anpassen

Einhergehend müssten Personenkompetenzen und -zertifizierungen angepasst werden. Das BSI differenziert hinsichtlich Kompetenzfeststellung und Zertifizierung von Personen zwischen den drei Geltungsbereichen Kompetenzfeststellungen ohne Personenzertifizierung, Personenzertifizierung zur Durchführung von Prüfungen ohne das Ziel einer (System-)Zertifizierung und Personenzertifizierung zur Durchführung von Audits mit dem Ziel einer (System-)Zertifizierung. Auch diesem Themenkomplex widmet sich das Buch „Regulierung von Künstlicher Intelligenz in der EU – Praxisbezogene Lösungsansätze für die Sicherheit von KI-Anwendungen“ ausführlich.

Im ersten Schritt wären die bereits vorhandenen Bereiche und die dazugehörigen Personengruppen beziehungsweise deren Lehrpläne daraufhin zu überprüfen, ob sie sinnvoll durch Inhalte zu KI ergänzt werden können. Im zweiten Schritt wäre zu untersuchen, welche KI-Inhalte nicht sinnvoll in die bestehenden Personengruppen integriert werden können und daher auf neue Personengruppen verteilt werden sollten.

Komplexität reduzieren, KI-Innovationen fördern

Abschließend lässt sich festhalten, dass das BSI eine zentrale Rolle bei der Umsetzung des EU AI Acts in Deutschland einnehmen könnte, indem es bestehende Standards und Prozesse intelligent nutzt und erweitert. Durch die Einführung eines neuen BSI-Standards 200-5 kann das BSI eine Brücke zwischen internationalen Normen wie der ISO/IEC 42001 und den spezifischen Anforderungen des EU AI Acts bauen. Dies würde nicht nur Synergien schaffen und die Komplexität reduzieren, sondern auch die Wettbewerbsfähigkeit und Innovationskraft der deutschen KI-Landschaft stärken. Eine gezielte Anpassung der bestehenden Zertifizierungs- und Kompetenzfeststellungssysteme würde zudem sicherstellen, dass die notwendigen Fähigkeiten und Fachkenntnisse zur sicheren Handhabung von KI in Deutschland aufgebaut und kontinuierlich weiterentwickelt werden.

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

Das könnte Sie auch interessieren

01.08.2024 | Risikomanagement | Fragen + Antworten | Online-Artikel

EU AI Act verlangt neue KI-Governance

Premium Partner