Ein Überblick über einige der wichtigsten Anforderungen des EU KI-Gesetzes und darüber, was Sie tun müssen, um konform zu werden.
•
•
7 Minuten Lesezeit
Themen
Am 22. Januar 2024 wurde der endgültige Text des Europäischen KI-Gesetzes (der „AIA“) der Öffentlichkeit zugänglich gemacht. Es führt viele neue Verpflichtungen für das gesamte KI-Ökosystem ein und mit hohen Strafen bei Nichteinhaltung ist es an der Zeit, dass Organisationen aktiv werden.
Dieser Blog führt Sie durch einige der wichtigsten Aspekte, die Sie berücksichtigen müssen, um sicherzustellen, dass Ihre Organisation konform ist.
Die Verpflichtungen
Artikel 16 legt die wesentlichen Verpflichtungen für Anbieter von Hochrisiko-KI-Systemen fest. Der Kern dieser Compliance-Verpflichtungen für Organisationen liegt in der Einrichtung eines Qualitätsmanagementsystems, eines Risikomanagementsystems, der Vorbereitung und Pflege detaillierter technischer Dokumentationen und der Durchführung von Konformitätsbewertungen. Wir werden diese Anforderungen nacheinander aufschlüsseln, um einige praktische Ratschläge zu geben, die Organisationen nutzen können, um sich mit dem, was sie tun müssen, auf den neuesten Stand zu bringen.
Obwohl die gesetzliche Pflicht zur Einhaltung der in diesem Blog dargelegten Verpflichtungen hauptsächlich für diejenigen KI-Systeme gilt, die die EU-Definition von Hochrisiko erfüllen, bedeutet dies nicht, dass KI-Systeme, die nicht unter diese Spezifikationen fallen, nicht auch ein erhebliches Risiko für Ihr Unternehmen darstellen könnten (oder dass sie später von der Definition erfasst werden könnten, wenn sie sich weiterentwickeln). Die AIA ermutigt Organisationen, freiwillig die Anwendung spezifischer Anforderungen des gesetzlichen Rahmens zu übernehmen, und aus unserer Perspektive macht es Sinn, dies zu tun, um sicherzustellen, dass alle Arten von Risiken erfolgreich bewältigt werden.
Was ist ein Qualitätsmanagementsystem unter dem EU-KI-Gesetz?
Einer der ersten Schritte auf Ihrem Weg zur Compliance ist die Einrichtung Ihres KI-Qualitätsmanagementsystems („QMS“). Zweck des QMS ist es sicherzustellen, dass Ihre Organisation gut vorbereitet ist, um die Risiken zu managen, die KI mit sich bringen kann. Es ist übergreifend und sollte die Form von Richtlinien, Verfahren und Anweisungen annehmen, die die Regeln festlegen, wie Ihre Organisation mit KI interagiert.
Das QMS muss unter anderem Folgendes umfassen:
eine Strategie zur Einhaltung der Vorschriften (und entscheidend muss sie auch Pläne und Verfahren zur Bewältigung von Änderungen am KI-System und/oder den Vorschriften enthalten);
Anforderungen an Risikomanagementsysteme (siehe unten);
detaillierte technische Dokumentation (siehe erneut unten);
Techniken für Design, Designkontrolle und Designverifizierung;
Qualitätskontroll- und Qualitätssicherungsverfahren;
systeme und Verfahren rund um das Datenmanagement; und
die Einrichtung, Implementierung und Pflege eines Nachmarktüberwachungssystems, um sicherzustellen, dass das KI-System während seiner gesamten Lebensdauer konform mit der AIA bleibt.
Als erster Schritt sollten Sie darauf abzielen, eine KI-Richtlinie zu erstellen, um die oben aufgeführten Punkte abzudecken. Wir haben einen kostenlosen und umfassenden Leitfaden vorbereitet, wie Sie diese KI-Richtlinien entwerfen können, der hier zugänglich ist.
Was ist ein Risikomanagementsystem unter dem EU-KI-Gesetz?
Die QMS-Verpflichtungen erfordern, dass Organisationen ein Risikomanagementsystem („RMS“) im Hinblick auf ihre KI einführen.
Es gibt einen wesentlichen, aber feinen Unterschied zwischen dem QMS und dem RMS – ein QMS umfasst, wie Sie Risiken managen und Vorschriften über Ihre gesamte Organisation hinweg einhalten, während ein RMS umfasst, wie Sie Risiken managen und Vorschriften im Hinblick auf ein einzelnes KI-System einhalten.
Das RMS ist ein kontinuierlicher, iterativer Prozess, der sich durch den gesamten Lebenszyklus eines Hochrisiko-KI-Systems zieht und eine systematische Überprüfung und Aktualisierung erfordert. Es soll die folgenden Schritte umfassen:
Identifizierung und Analyse der vorhersehbaren Risiken, die das KI-System für Gesundheit, Sicherheit oder Grundrechte darstellen kann, wenn es gemäß seiner vorgesehenen Zweckbestimmung verwendet wird;
eine Schätzung und Bewertung der Risiken, die bei einer voraussehbaren missbräuchlichen Nutzung des KI-Systems auftreten können;
Bewertung von Risiken auf der Grundlage der Analyse von Daten, die aus dem Nachmarktüberwachungssystem gesammelt wurden; und
Annahme geeigneter und gezielter Risikomanagementmaßnahmen, die darauf ausgelegt sind, alle im Einklang mit den oben genannten Anforderungen identifizierten Risiken anzugehen.
Letztendlich müssen die durch das RMS identifizierten Risiken so sein, dass jedes relevante Restrisiko, das mit jeder Gefahr verbunden ist, sowie die gesamten Restrisiken des Hochrisiko-KI-Systems als akzeptabel eingeschätzt werden. Wo angebracht, sollten geeignete Minderungs- und Kontrollmaßnahmen ergriffen werden, wenn Risiken nicht beseitigt werden können. Es gibt auch zusätzliche Anforderungen an Tests und zusätzliche Überlegungen zum Einfluss des Systems auf Personen unter 18 Jahren.
Wie lauten die neuen Dokumentationspflichten?
Die QMS-Anforderungen legen auch fest, dass Organisationen vor der Markteinführung eines Hochrisiko-KI-Systems technische Dokumentation in Bezug auf dieses System erstellen müssen. Anhang IV des Gesetzes legt die spezifischen Dinge fest, die die Dokumentation abdecken sollte. Letztendlich muss die Dokumentation ausreichen, um den zuständigen Behörden und benannten Stellen die notwendigen Informationen zu liefern, um einen klaren und umfassenden Überblick über die Einhaltung der Anforderungen der AIA durch das KI-System zu erhalten. Dies umfasst die gesamte Dokumentation rund um das QMS und das RMS sowie die technische Dokumentation in Bezug auf Ihr System.
Wussten Sie, dass einige dieser Dokumentationsanforderungen mit unserer KI-Governance-Lösung automatisiert werden können? Lesen Sie mehr darüber, wie unser Steuerungs-Feature dies für Sie automatisieren kann hier und kontaktieren Sie uns und erfahren Sie mehr.
Die Rolle von Standards
Standards werden eine zentrale Rolle bei der Einhaltung der AIA spielen, und bei Enzai sehen wir bereits, wie sich der Markt um bestimmte Rahmenwerke formiert. Das National Institute for Standards in Technology (NIST) hat seinen KI-Risikomanagement-Rahmen eingeführt, und wir haben mit mehreren Organisationen zusammengearbeitet, um Rahmenwerke zu entwickeln, die diesen Anforderungen entsprechen. Im späten Jahr 2023 führten die Internationale Organisation für Normung (ISO) und die Internationale Elektronikkommission (IEC) ihren Standard 42001 ein, und wir arbeiten auch mit Organisationen daran, diesen umzusetzen. Beachten Sie, dass diese Standards, da sie noch nicht von der EU übernommen wurden, allein keine Konformität garantieren. Die AIA legt fest, dass, wo die Anforderungen der AIA nicht vollständig angewendet werden oder nicht alle relevanten Anforderungen der AIA abdecken, eine Organisation sicherstellen muss, dass ihr QMS alle technischen gesetzlichen Spezifikationen beinhaltet.
Es wird einen Mechanismus geben, durch den bestimmte Standards von der EU genehmigt werden können, und es wird eine Vermutung der Konformität mit der AIA bestehen, wenn eine Organisation nachweisen kann, dass sie diese Standards erfüllt. CEN-CENELEC (das Europäische Komitee für elektrotechnische Normung) hat das Gemeinsame Technische Komitee 21 „Künstliche Intelligenz“ eingerichtet, um eine Reihe harmonisierter Standards zu erstellen. Während es zum Zeitpunkt der Erstellung im Januar 2024 noch kein festgelegtes Veröffentlichungsdatum für diese Standards (noch deren Genehmigung durch die EU) gibt, erwarten wir, dass im zweiten Halbjahr dieses Jahres ein Veröffentlichungstermin erscheinen wird, angesichts der wichtigen Rolle, die diese Standards bei der AIA-Compliance spielen werden.
Was ist eine Konformitätsbewertung?
Eine Konformitätsbewertung macht genau das, was sie besagt – sie ist eine Bewertung, um festzustellen, ob ein KI-System konform mit der AIA ist. Das Verfahren zur Bewertung der Konformität hängt von einigen Variablen ab. Zum Beispiel gibt es, wie bereits erwähnt, eine Vermutung der Konformität, wenn ein KI-System nachweisen kann, dass es den harmonisierten Standards entspricht. Für bestimmte Arten von Systemen kann die Konformitätsbewertung anhand interner Kontrollen durchgeführt werden und für andere wird sie eine Überprüfung durch eine externe benannte Stelle beinhalten.
Auch ein Zertifizierungsprozess wird etabliert, und genehmigte Systeme dürfen das CE-Kennzeichen an ihren Produkten anbringen. Darüber hinaus müssen die meisten Arten von Hochrisiko-KI-Systemen in einer zentralen EU-Datenbank registriert werden, bevor sie in Betrieb genommen werden.
Einige dieser betrieblichen Mechanismen werden einige Zeit benötigen, bis sie durch die EU etabliert sind. Sie kommen jedoch und mit der Einrichtung Ihres QMS können Sie sicherstellen, dass Sie bereit sind.
Keine Angst, wir können helfen
All diese neuen Anforderungen mögen etwas überwältigend erscheinen, aber wir sind hier, um zu helfen. Unsere KI-Governance- und Risikomanagementlösung wurde von Grund auf so gestaltet, dass sie all diese Verpflichtungen direkt erfüllt. Unsere Softwareplattform ist das Qualitätsmanagementsystem, das gemäß der AIA erforderlich ist, und unser Funktionsumfang stellt sicher, dass Sie ein Risikomanagementsystem in Bezug auf alle Ihre KI-Systeme schnell und effizient einführen können, ohne dass etwas durch das Raster fällt. Wir haben das System so gestaltet, dass auch wenn Sie mit Standards arbeiten, die möglicherweise nicht vollständig konform sind, Ihr QMS auf Enzai einfach zu übernehmen sein wird und alles abgedeckt hat.
Um mehr darüber zu erfahren, wie wir Ihnen helfen können, kontaktieren Sie uns bitte hier.
Ermöglichen Sie Ihrer Organisation die Einführung, Steuerung und Überwachung von KI mit unternehmensgerechtem Vertrauen. Entwickelt für regulierte Organisationen, die im großen Maßstab operieren.