Die unabhängige IT-Sicherheits-Plattform - Der Marktplatz IT-Sicherheit

Sie haben einen IT-Notfall?

KI – Einsatz? Ja, aber sicher und rechtskonform!

Klaus Kilvinger,    |

KI ist in aller Munde, aber was ist für Anbieter und Betreiber zu beachten? Wir zeigen, wie ein rechtskonformer Einsatz gemäß KI-Verordnung mittels integriertem Managementsystem und der ISO/IEC 42001 gelingt.

Die ISO/IEC 42001:2023-12 ist die erste Managementsystemnorm für den KI – Einsatz, herausgegeben von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC). Sie zielt darauf ab, sicherzustellen, dass KI-Systeme verantwortungsbewusst entwickelt und genutzt werden, indem sie transparente Entwicklung, Risikomanagement und Rechenschaftspflicht fördert.

Die neue EU-KI-Verordnung (AI-Act) ist der weltweit erste umfassende Rechtsrahmen für KI. Sie zielt darauf ab, vertrauenswürdige KI zu fördern, indem sie sicherstellt, dass KI-Systeme die Grundrechte, Sicherheit und ethische Prinzipien achten. Die Umsetzung in den Ländern wird noch Zeit erfordern, insbesondere für das Zulassungsverfahren.

Der AI-Act definiert Anforderungen an Transparenz und Marktüberwachung sowie einen Rahmen für das Risikomanagement. Die Gesetzgebung verfolgt einen risikobasierten Ansatz mit vier Stufen: unakzeptable Systeme, Systeme mit hohem Risiko, Systeme mit begrenzten Risiken und Systeme mit geringem Risiko.

KI – Einsatz: Unakzeptable Systeme sind per se verboten

Hochrisiko-Systeme, wie solche in kritischen Infrastrukturen, unterliegen strengen Verpflichtungen und müssen unter anderem ein angemessenes Risikomanagement aufweisen. Systeme mit begrenzten Risiken haben Transparenzverpflichtungen, und Systeme mit geringem Risiko können frei verwendet werden.

Die Verordnung betrifft eine Vielzahl von Akteuren, sowohl Anbieter als auch Betreiber von KI-Systemen. Obwohl es noch einige Zeit bis zur vollständigen Einführung der Verordnung ist, sind unakzeptable Systeme bereits sechs Monate nach Inkrafttreten verboten, also an Weihnachten 2024!

Die ISO/IEC 42001 ist kein Selbstzweck, sie kann als Grundlage für die Umsetzung des Risikomanagements dienen, um die Anforderungen der EU-KI-Verordnung zu erfüllen und in einem integrierten Managementsystem die Effizienz zu fördern und Kosten senken. Eine Zertifizierung der Organisation nach ISO/IEC 42001 wird voraussichtlich 2025 möglich. Das mag nicht alle interessieren, aber es wird auch ein Wettbewerbsvorteil sein gegenüber der Konkurrenz „ohne“ nachweislich geprüftem System.

Organisationen sollten daher die ISO/IEC 42001 implementieren, um ihren KI – Einsatz verantwortungsbewusst zu entwickeln und die Grundlagen für eine Zertifizierung zu schaffen. Die Norm bietet bewährte Verfahren für das Management von Risiken und betrieblichen Aspekten der KI, ähnlich wie ISO 9001 für Qualitätsmanagement und ISO/IEC 27001 für Informationssicherheit.

In Kombination schaffen die Norm und der AI-Act einen Rahmen, der die verantwortungsvolle Entwicklung und Nutzung von KI-Systemen unterstützt.

Autoren

  • Opexa Advisory GmbH

    Wir sind eine im DACH-Raum aktive Unternehmensberatung, die sich auf Informationssicherheit fokussiert Denn für Informationen bestehen Risiken, die alle Unternehmen berücksichtigen müssen. Jedes Unternehmen muss strategisch über seine Anforderungen an die Informationssicherheit nachdenken und darüber, wie diese mit seinen eigenen Zielen, Prozessen, Größe und Struktur zusammenhängen. Unser Ansatz basiert auf Normen und Standards wie ISO/IEC 27001. Wir ermöglichen Unternehmen, ein Informationssicherheitsmanagementsystem einzurichten, das an ihre Größe und Bedürfnisse angepasst ist. Nur Unternehmen, die einen ganzheitlichen Ansatz verfolgen, stellen sicher, dass Informationssicherheit in organisatorische Prozesse, Informationssysteme und Managementkontrollen integriert ist und gewinnen an Effizienz und Effektivität. Wir stellen den Informationssicherheitsbeauftragten und beraten zu ISO27001, NIS2, TISAX®, ISO22301, B3S und SOC-2, um nur die wichtigsten zu nennen.

  • Klaus Kilvinger

    Klaus Kilvinger ist Geschäftsführender Gesellschafter bei OPEXA Advisory, Experte für Informationssicherheitsmanagementsysteme (ISMS wie z. B. ISO 27001, TISAX) und Regulatorik (NIS2, DORA). In dem Thema ist er als Berater, Trainer und CISO tätig, zudem tritt er als Sprecher auf Tagungen und Konferenzen auf. Für ihn ist Pragmatismus, Effizienz und Effektivität wichtig, u. a. mit dem Einsatz von Werkzeugen (z. B. Softwarelösungen für ein ISMS).

Weitere Inhalte zum Thema

Nichts mehr verpassen?

Newsletter IT-Sicherheit
Jetzt anmelden und 15% Rabatt für die Internet Security Days 2024 erhalten!
Marktplatz IT-Sicherheit Skip to content