Opexa Advisory GmbH
KI ist in aller Munde, aber was ist für Anbieter und Betreiber zu beachten? Wir zeigen, wie ein rechtskonformer Einsatz gemäß KI-Verordnung mittels integriertem Managementsystem und der ISO/IEC 42001 gelingt.
Die ISO/IEC 42001:2023-12 ist die erste Managementsystemnorm für den KI – Einsatz, herausgegeben von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC). Sie zielt darauf ab, sicherzustellen, dass KI-Systeme verantwortungsbewusst entwickelt und genutzt werden, indem sie transparente Entwicklung, Risikomanagement und Rechenschaftspflicht fördert.
Die neue EU-KI-Verordnung (AI-Act) ist der weltweit erste umfassende Rechtsrahmen für KI. Sie zielt darauf ab, vertrauenswürdige KI zu fördern, indem sie sicherstellt, dass KI-Systeme die Grundrechte, Sicherheit und ethische Prinzipien achten. Die Umsetzung in den Ländern wird noch Zeit erfordern, insbesondere für das Zulassungsverfahren.
Der AI-Act definiert Anforderungen an Transparenz und Marktüberwachung sowie einen Rahmen für das Risikomanagement. Die Gesetzgebung verfolgt einen risikobasierten Ansatz mit vier Stufen: unakzeptable Systeme, Systeme mit hohem Risiko, Systeme mit begrenzten Risiken und Systeme mit geringem Risiko.
KI – Einsatz: Unakzeptable Systeme sind per se verboten
Hochrisiko-Systeme, wie solche in kritischen Infrastrukturen, unterliegen strengen Verpflichtungen und müssen unter anderem ein angemessenes Risikomanagement aufweisen. Systeme mit begrenzten Risiken haben Transparenzverpflichtungen, und Systeme mit geringem Risiko können frei verwendet werden.
Die Verordnung betrifft eine Vielzahl von Akteuren, sowohl Anbieter als auch Betreiber von KI-Systemen. Obwohl es noch einige Zeit bis zur vollständigen Einführung der Verordnung ist, sind unakzeptable Systeme bereits sechs Monate nach Inkrafttreten verboten, also an Weihnachten 2024!
Die ISO/IEC 42001 ist kein Selbstzweck, sie kann als Grundlage für die Umsetzung des Risikomanagements dienen, um die Anforderungen der EU-KI-Verordnung zu erfüllen und in einem integrierten Managementsystem die Effizienz zu fördern und Kosten senken. Eine Zertifizierung der Organisation nach ISO/IEC 42001 wird voraussichtlich 2025 möglich. Das mag nicht alle interessieren, aber es wird auch ein Wettbewerbsvorteil sein gegenüber der Konkurrenz „ohne“ nachweislich geprüftem System.
Organisationen sollten daher die ISO/IEC 42001 implementieren, um ihren KI – Einsatz verantwortungsbewusst zu entwickeln und die Grundlagen für eine Zertifizierung zu schaffen. Die Norm bietet bewährte Verfahren für das Management von Risiken und betrieblichen Aspekten der KI, ähnlich wie ISO 9001 für Qualitätsmanagement und ISO/IEC 27001 für Informationssicherheit.
In Kombination schaffen die Norm und der AI-Act einen Rahmen, der die verantwortungsvolle Entwicklung und Nutzung von KI-Systemen unterstützt.
