AI Act und CRA: Synergien nutzen für die Cybersicherheits-Compliance

Okt 09, 2025

IT-Recht
AI Act / Cyber Resilience Act

Illustration: EU AI Act und Cyber Resilience Act - Synergien in der Cybersicherheits-Compliance

Mit dem AI Act (Verordnung (EU) 2024/1689) und dem Cyber Resilience Act (CRA) (Verordnung (EU) 2024/2847) hat die EU zwei neue, weitreichende Regelwerke geschaffen. Statt sie isoliert zu betrachten, sollten Unternehmen das Zusammenspiel beider Verordnungen gezielt nutzen. Eine integrierte Implementierung kann Doppelaufwände und Kosten sparen.

Wie lassen sich Doppelaufwände bei der Compliance von AI Act und Cyber Resilience Act vermeiden?

Fokus auf Sicherheit und Robustheit

Der AI Act zielt auf die Qualität, Transparenz und Robustheit von KI-Systemen ab. Für sogenannte Hochrisiko-KI-Systeme verpflichtet Artikel 15 Hersteller explizit, ihre Systeme gegen Manipulationen, Fehlfunktionen und Angriffe abzusichern.

Der Cyber Resilience Act schafft erstmals eine EU-weite Cybersicherheits-Grundlinie für alle Produkte mit digitalen Elementen - von der IoT-Lampe bis zur industriellen Steuerung. Er verlangt, dass diese Produkte über ihren gesamten Lebenszyklus hinweg sicher entwickelt, gewartet und aktualisiert werden.

Auch wenn die Stoßrichtungen auf den ersten Blick unterschiedlich erscheinen, hat der Gesetzgeber einige Verzahnungen vorgesehen, die für Implementierungsverantwortliche besonders relevant sind.

Konformitätsbewertung: Synergien für Hochrisiko-KI

Die Verzahnung beider Akte zeigt sich besonders im Bereich der Konformitätsbewertung für Hochrisiko-KI-Systeme, die gleichzeitig als Produkte mit digitalen Elementen gelten.

Vereinfachung durch automatische Konformität

Artikel 12 CRA legt fest: Wenn ein Hochrisiko-KI-System die grundlegenden Cybersicherheitsanforderungen des CRA erfüllt - einschließlich der in Artikel 12 Absatz 1 Buchstaben a bis c genannten Voraussetzungen - und dies in der EU-Konformitätserklärung nachgewiesen wird, gilt es im Hinblick auf Artikel 15 AI Act als konform mit dessen Cybersicherheitsanforderungen (unbeschadet der Anforderungen an Genauigkeit und Robustheit).

Das bedeutet: Hersteller müssen in manchen Fällen nicht zwei getrennte Bewertungsverfahren für die Cybersicherheit durchlaufen. Die Prüfung der KI- und der Cybersicherheitsanforderungen kann in einem abgestimmten Prozess erfolgen.

Der strengere Prüfrahmen bleibt Vorrang

Von dieser Erleichterung ausgenommen sind jedoch Produkte mit besonders hohem Sicherheitsrisiko, die in den Anhängen III und IV des CRA (z. B. wichtige oder kritische Produkte) aufgeführt sind. Hier gilt: Wenn ein solches Produkt zugleich als Hochrisiko-KI-System eingestuft wird, aber nach dem AI Act nur einem internen Kontrollverfahren (Anhang VI AI Act) unterliegen würde, muss für den Teil der Cybersicherheitsanforderungen immer das umfangreichere Konformitätsbewertungsverfahren des CRA angewendet werden. Produkte mit hoher Relevanz für die digitale Infrastruktur unterliegen somit stets dem strengeren Prüfrahmen.

Praktische Konsequenzen für Hersteller und Software-Anbieter

Die enge Verzahnung erfordert eine neue, ganzheitliche Compliance-Strategie.

  • Prozess-Integration: Pflichten aus AI Act und CRA sollten gemeinsam im Produktentwicklungsprozess (z. B. CE-Konformität) berücksichtigt werden. Dokumentation und Risikomanagement sollten integriert erfolgen.
  • Lebenszyklus-Sicherheit: Der CRA verpflichtet zu einem kontinuierlichen Schwachstellen- und Patch-Management über den gesamten Produktlebenszyklus. Dies betrifft auch KI-Systeme, da Änderungen an Modellen oder Trainingsdaten die Sicherheitsarchitektur beeinflussen können.
  • KI-spezifische Bedrohungen: Nach Erwägungsgrund 51 CRA müssen Cybersicherheitsbewertungen künftig auch Angriffe auf KI-Modelle einbeziehen, etwa adversarial attacks, Manipulation von Trainingsdaten (data poisoning) oder das Ausnutzen algorithmischer Schwächen.

Fazit

Das Zusammenspiel von AI Act und CRA zeigt, dass die EU ein integriertes Sicherheits- und Vertrauenssystem für KI-basierte Produkte etabliert. Wer diese wechselseitige Anrechnung gezielt nutzt, kann seine Compliance-Prozesse verschlanken und gleichzeitig die Resilienz und Integrität seiner KI-Lösungen nachweislich erhöhen. Mit der zunehmenden Umsetzung beider Verordnungen wird die Fähigkeit, Sicherheits-, Datenschutz- und KI-Compliance in einem integrierten Rahmen nachzuweisen, zu einem entscheidenden Faktor im europäischen Markt.

Bei der Umsetzung ist jedoch besondere Sorgfalt geboten: Die korrekte Abgrenzung zwischen den Anforderungen des AI Act und des CRA ist im Einzelfall, insbesondere hinsichtlich der vorrangigen Prüfverfahren für kritische Produkte, komplex. Eine fehlerhafte Weichenstellung kann insbesondere erhebliche Auswirkungen auf die CE-Kennzeichnung haben. Um rechtliche Nachteile oder Risiken zu vermeiden, sollte eine rechtliche Prüfung der Anwendbarkeit und Klassifizierung stets vor Einleitung des Verfahrens erfolgen.

Hinweis: Dieser Beitrag dient ausschließlich der allgemeinen Information und ersetzt keine individuelle rechtliche Beratung.

Kontakt.

Get in touch

Bei rechtlichen Fragen oder zur Vereinbarung eines Erstgesprächs können Sie gerne Kontakt aufnehmen.

Direktkontakt

E-Mail: info@kanzlei-happel.de
Tel.: +49 (6106) 639 24 25
Beratung per E-Mail, Telefon, Videokonferenz oder nach Vereinbarung.