Künstliche Intelligenz verändert die Produktlandschaft rasant. Doch wo liegt die Grenze zwischen dem Cyber Resilience Act und dem EU AI Act? Hier erfahren Sie, wie Sie beide Regulierungen navigieren.

1. Gilt der CRA für KI-Produkte?

Ja, wenn das KI-Produkt ein Produkt mit digitalen Elementen im Sinne des CRA ist. Dazu gehören Software mit ML-Modellen, IoT-Geräte mit eingebetteter KI, SaaS-Plattformen mit generativen KI-Funktionen und kommerzialisierte LLM-APIs.

2. Verhältnis zum EU AI Act

Der EU AI Act und der CRA ergänzen sich: Der AI Act reguliert die Risiken der KI-Nutzung (Transparenz, menschliche Aufsicht, algorithmische Verzerrung), der CRA die Cybersicherheit des digitalen Produkts. Ein KI-Produkt kann beiden Verordnungen gleichzeitig unterliegen.

3. CRA-Pflichten speziell für KI-Produkte

Sicherheit der Trainingsdaten: Schutz vor Datenvergiftung, Validierung der Datenpipeline-Integrität und Protokollierung des Trainingsdatenzugriffs.

Inferenzsicherheit: Schutz vor Model-Stealing und adversarialen Angriffen sowie Erkennung anomaler API-Nutzung.

SBOM für KI-Komponenten: Einbeziehung von KI-Frameworks, Bibliotheken und Modellen mit Versionen und Lizenzen. Vortrainierte Modelle müssen mit Quelle und genauer Version nachverfolgt werden.

4. Praxistipps

Führen Sie ein CRA/AI-Act-Cross-Audit durch, dokumentieren Sie Ihre KI-Pipelines und planen Sie die Weiterentwicklung beider Regulierungen ein.

Die Grenze zwischen Produktsicherheit (CRA) und KI-Ethik (AI Act) ist manchmal fließend, aber die Einhaltung beider ist für innovative KI-Produkte in Europa unerlässlich.