Der Cyber Resilience Act (CRA) und die EU-KI-Verordnung (AI Act) sind zwei zentrale Pfeiler der europäischen Digitalstrategie, die sich insbesondere bei sicherheitskritischen Anwendungen überschneiden. Während der CRA die allgemeine Cybersicherheit fast aller Produkte mit digitalen Elementen regelt, fokussiert sich die KI-Verordnung auf die spezifischen Risiken und die Sicherheit von KI-Systemen.
Hier sind die Details zum Zusammenhang beider Regelwerke:
1. Gemeinsamer Anwendungsbereich bei Hochrisiko-KI
Die engste Verbindung besteht für Produkte, die sowohl als „Produkt mit digitalen Elementen“ (CRA) als auch als „Hochrisiko-KI-System“ (KI-Verordnung) eingestuft werden.
- In solchen Fällen müssen Hersteller die Anforderungen beider Verordnungen erfüllen.
- Dies betrifft beispielsweise vernetzte Industriemaschinen oder medizinische Geräte, die KI-Komponenten enthalten.
2. Überschneidungen und „Doppelregulierung“
Experten und Wirtschaftsverbände weisen darauf hin, dass die teils überlappenden Anforderungen zu erheblichen Mehrbelastungen bei Dokumentation und Meldepflichten führen können:
- Risikomanagement: Beide Gesetze fordern eine systematische Bewertung technischer Risiken.
- Meldepflichten: Ein Vorfall in einem KI-basierten Produkt könnte gleichzeitig Meldungen unter dem CRA (wegen einer Sicherheitslücke) und der KI-Verordnung (wegen eines KI-spezifischen Risikos) auslösen.
- Konformitätsbewertung: Die Prozesse zur Erlangung der CE-Kennzeichnung müssen unter Umständen für beide Regelwerke koordiniert werden.
3. Das „Lex-Specialis“-Prinzip und Harmonisierung
Um Doppelarbeit zu vermeiden, wird das Prinzip des „Lex-Specialis“ oder des „Lead Acts“ diskutiert. Das bedeutet, dass bei Konflikten oder Überschneidungen sektorspezifische Regeln (wie der CRA für Produktsicherheit) Vorrang haben könnten, während die Anforderungen der KI-Verordnung dort explizit zugeordnet werden. Die EU plant zudem einen „Digital-Omnibus“, um Begriffe und Meldeprozesse zwischen AI Act, CRA, NIS2 und anderen Gesetzen besser zu harmonisieren.
4. Strategische Empfehlung für Unternehmen
Aufgrund der Komplexität wird Unternehmen empfohlen, integrierte Compliance-Maps zu erstellen. Anstatt die KI-Verordnung und den CRA getrennt zu behandeln, sollten Synergien genutzt werden:
- Modulare Prozesse: Sicherheits- und Risikoprozesse sollten so aufgebaut sein, dass sie die Anforderungen beider Gesetze modular abdecken.
- Sicherheitsfokus: Da beide Verordnungen einen risikobasierten Ansatz verfolgen, dient ein starkes technisches Fundament (wie Security-by-Design) als Basis für die Konformität in beiden Bereichen.
Zusammenfassend lässt sich sagen, dass der CRA das sicherheitstechnische Fundament für die Hardware und Software liefert, während die KI-Verordnung spezifische Sicherheitsleitplanken für den Einsatz der Künstlichen Intelligenz obenauf setzt.
