• CRA vs AI-Act: Ein Leitfaden zur regulatorischen Überschneidung

    Einführung

    Mit der Verabschiedung der Cyberresilienz-Verordnung (CRA, Verordnung (EU) 2024/2847) und des Gesetzes über künstliche Intelligenz (AI Act, Verordnung (EU) 2024/1689) hat die Europäische Union zwei wegweisende Rechtsakte geschaffen, die die digitale Landschaft maßgeblich prägen werden.

    Für Unternehmen, die Produkte entwickeln, die sowohl digitale Elemente als auch KI-Komponenten enthalten, stellt sich die entscheidende Frage:

    Wie interagieren diese beiden Verordnungen miteinander?

    Kurz gesagt:

    Grundsätzlich hat der AI Act Vorrang. Produkte mit digitalen Elementen, die in den Anwendungsbereich der CRA fallen und zugleich als Hochrisiko-KI-Systeme im Sinne von Artikel 6 des AI Act gelten, müssen jedoch zusätzlich die grundlegenden Cybersicherheitsanforderungen der CRA erfüllen.

    Erfüllen diese Hochrisiko-KI-Systeme die in Anhang I Teil I und II der CRA festgelegten Cybersicherheitsanforderungen, wird davon ausgegangen, dass sie auch die Anforderungen nach Artikel 15 des AI Act erfüllen.

    Ausnahmsweise hat jedoch die CRA Vorrang – und zwar bei Produkten, die als „wichtige“ oder „kritische“ Produkte mit digitalen Elementen gemäß Anhang III bzw. IV der CRA eingestuft sind. Dieser Vorrang gilt allerdings ausschließlich in Bezug auf die Cybersicherheitsanforderungen.

    Die zentrale Schnittstelle: Artikel 12 CRA

    Die Hauptregelung zur Koordination zwischen beiden Verordnungen findet sich in Artikel 12 der CRA („Hochrisiko-KI-Systeme“). Ergänzt wird diese durch die Erwägungsgründe 63 bis 65 sowie Artikel 52 Absatz 14 CRA zur Marktüberwachung.

    Der Gesetzgeber hat erkannt, dass viele Produkte gleichzeitig unter beide Verordnungen fallen können – insbesondere wenn es sich um Hochrisiko-KI-Systeme handelt, die zugleich als Produkte mit digitalen Elementen einzustufen sind.

    Der Grundsatz der Konformitätsvermutung

    Doppelte Anwendbarkeit

    Produkte, die sowohl in den Anwendungsbereich der CRA fallen als auch als Hochrisiko-KI-Systeme gemäß Artikel 6 AI Act eingestuft werden, müssen grundsätzlich beide Regelwerke beachten. Die CRA etabliert jedoch eine wichtige Erleichterung durch das Prinzip der Konformitätsvermutung.

    Die Konformitätsvermutung in der Praxis

    Wenn ein Hochrisiko-KI-System:

    • die grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I der CRA erfüllt, und
    • die vom Hersteller festgelegten Verfahren den Anforderungen in Anhang I Teil II der CRA entsprechen,

    dann wird automatisch davon ausgegangen, dass auch die Cybersicherheitsanforderungen gemäß Artikel 15 AI Act erfüllt sind. Diese Erfüllung muss in der EU-Konformitätserklärung nach CRA dokumentiert werden.

    Praktischer Hinweis: Diese Regelung vermeidet doppelte Compliance-Arbeit und schafft rechtliche Klarheit für Hersteller.

    Erweiterte Risikobewertung für KI-Systeme

    KI-spezifische Bedrohungsszenarien

    Bei der Durchführung der nach CRA erforderlichen Risikobewertung müssen Hersteller von Hochrisiko-KI-Systemen besondere Aufmerksamkeit auf KI-spezifische Cyberbedrohungen legen:

    • Data Poisoning: Manipulation der Trainingsdaten zur Verfälschung des KI-Verhaltens
    • Adversarial Attacks: Gezielte Eingaben zur Täuschung des KI-Systems
    • Model Extraction: Unbefugter Zugriff auf das trainierte Modell
    • Manipulation von Systemverhalten und -leistung

    Grundrechtsschutz als Bewertungsmaßstab

    Besonders hervorzuheben ist, dass die Risikobewertung auch potenzielle Auswirkungen auf die Grundrechte gemäß AI Act berücksichtigen muss. Dies stellt eine direkte Verbindung zwischen technischer Cybersicherheit und rechtlichem Grundrechtsschutz her.

    Das Konformitätsbewertungsverfahren: Ein komplexes Regelungssystem

    Grundregel: Vorrang des AI Act

    Im Regelfall hat das Konformitätsbewertungsverfahren nach AI Act Vorrang. Dies bedeutet:

    • Das in Artikel 43 AI Act vorgesehene Verfahren gilt auch für die Bewertung der CRA-Cybersicherheitsanforderungen
    • Die nach AI Act notifizierten Stellen sind auch für die CRA-Konformität zuständig, sofern sie die Anforderungen des Artikel 39 CRA erfüllen

    Die Ausnahme: Vorrang der CRA

    Die CRA-Konformitätsbewertungsverfahren haben jedoch Vorrang, wenn alle folgenden Bedingungen kumulativ erfüllt sind:

    1. Produktklassifikation nach CRA:
      • Das Produkt ist als „wichtiges Produkt mit digitalen Elementen“ (Anhang III CRA) eingestuft und unterliegt den Verfahren nach Artikel 32 Absätze 2 und 3 CRA, oder
      • Das Produkt ist als „kritisches Produkt mit digitalen Elementen“ (Anhang IV CRA) eingestuft und benötigt ein europäisches Cybersicherheitszertifikat oder unterliegt Artikel 32 Absatz 3 CRA
    2. Gleichzeitig: Das Konformitätsbewertungsverfahren nach AI Act basiert auf interner Kontrolle gemäß Anhang VI AI Act

    Wichtig: In diesen Ausnahmefällen gilt der CRA-Vorrang nur für Cybersicherheitsaspekte. Alle anderen AI Act-Anforderungen werden weiterhin nach dem internen Kontrollverfahren des AI Act bewertet.

    Synergieeffekte und praktische Vorteile

    KI-Reallabore

    Ein wichtiger Vorteil für Innovatoren: Hersteller von Produkten, die unter beide Verordnungen fallen, können an den KI-Reallaboren gemäß Artikel 57 AI Act teilnehmen. Dies ermöglicht kontrollierte Testumgebungen für innovative Entwicklungen.

    Koordinierte Marktüberwachung

    Die Marktüberwachung erfolgt koordiniert:

    • AI Act-Behörden sind auch für CRA-Aspekte bei Hochrisiko-KI-Systemen zuständig
    • Enge Zusammenarbeit mit CRA-Marktüberwachungsbehörden, CSIRTs und ENISA
    • Informationsaustausch über relevante Erkenntnisse zwischen den Behörden

    Praktische Handlungsempfehlungen

    1. Frühzeitige Klassifizierung: Bestimmen Sie frühzeitig, ob Ihr Produkt unter beide Verordnungen fällt
    2. Integrierte Compliance-Strategie: Entwickeln Sie eine ganzheitliche Compliance-Strategie, die beide Regelwerke berücksichtigt
    3. Dokumentation: Nutzen Sie die Konformitätsvermutung durch sorgfältige Dokumentation der CRA-Compliance
    4. Risikomanagement: Implementieren Sie ein umfassendes Risikomanagement, das sowohl klassische Cybersecurity als auch KI-spezifische Bedrohungen abdeckt

    Mit Legal Living Hub bekommst Du moderne Datenschutzberatung und KI-Compliance auf Augenhöhe

    kostenlose 30-minütige Erstberatung sichern

    Fazit

    Die Überschneidungsregelungen zwischen CRA und AI Act zeigen den Willen des europäischen Gesetzgebers, trotz komplexer Regulierung praktikable Lösungen zu schaffen. Die Konformitätsvermutung und die koordinierte Marktüberwachung sind wichtige Instrumente zur Vermeidung von Doppelbelastungen.

    Gleichzeitig bleibt die praktische Anwendung komplex und erfordert sorgfältige Analyse im Einzelfall. Unternehmen sollten frühzeitig rechtliche Beratung einholen und ihre Compliance-Prozesse entsprechend ausrichten.

    Die erfolgreiche Navigation durch diese regulatorische Landschaft wird zunehmend zum Wettbewerbsvorteil – sowohl in Bezug auf rechtliche Sicherheit als auch hinsichtlich des Vertrauens von Kunden und Partnern in die Sicherheit und Rechtskonformität der angebotenen Produkte.