← Blog
14. Juni 2026 Regulierung

EU AI Act Checkliste: Infrastruktur-Anforderungen für Hochrisiko-KI-Systeme

Von Thorsten Litzki · Litzki Systems LLC

tl;dr

Kernaussagen

  • •  Hochrisiko-KI nach Annex III unterliegt verbindlichen Infrastruktur-Anforderungen — nicht nur Dokumentationspflichten.
  • •  Art. 15 ist die technische Kernpflicht: Robustheit, Verfügbarkeit, Cybersicherheit müssen nachweisbar sein.
  • •  Das Conformity Assessment Dossier (Art. 43) braucht konkrete Evidenz — keine allgemeinen Aussagen.
  • •  Infrastruktur-Nachweise wie CERTavia können direkt in das CAD-Dossier integriert werden.

Schritt 1: Bin ich betroffen? — Annex III Prüfung

Der EU AI Act unterscheidet zwischen allgemeinen KI-Systemen und Hochrisiko-KI. Hochrisiko-KI ist abschließend in Annex III definiert. Bevor Sie die Infrastruktur-Checkliste durchgehen, stellen Sie sicher, dass Ihr System tatsächlich betroffen ist.

Typische Annex III-Kategorien:

  • Biometrische Systeme (Identifizierung, Kategorisierung, Emotionserkennung)
  • KI in kritischer Infrastruktur (Energie, Wasser, Verkehr)
  • KI im Bildungsbereich (Bewertung, Zulassung)
  • KI in der Beschäftigung und Arbeitsvermittlung (Screening, Beurteilung)
  • KI für wesentliche private und öffentliche Dienstleistungen (Kredit, Versicherung)
  • KI in Strafverfolgung und Migrationskontrolle
  • KI in der Rechtspflege

Unsicher, ob Sie betroffen sind? Der CERTavia Schnelltest hilft bei der Einschätzung.

Schritt 2: Checkliste Art. 9 — Risikomanagementsystem

Art. 9 verlangt ein dokumentiertes Risikomanagementsystem für das gesamte Lebenszyklus des KI-Systems.

Risikoidentifikation und -analyse für alle bekannten und vorhersehbaren Risiken
Risikomanagement-Maßnahmen dokumentiert und umgesetzt
Residualrisiken bewertet und akzeptiert oder mitigiert
Risikomanagementsystem wird laufend aktualisiert (Post-Market Monitoring)

Schritt 3: Checkliste Art. 15 — Genauigkeit, Robustheit, Cybersicherheit

Art. 15 ist die kritische technische Anforderung. Hier sind konkrete Infrastruktur-Prüfpunkte:

Cybersicherheit der Infrastruktur

TLS 1.2 oder 1.3 auf allen produktiven Endpunkten — keine veralteten Protokollversionen
Starke Cipher-Suites (ECDHE, AES-GCM) — keine RC4, DES, 3DES
DNSSEC für alle relevanten Domains aktiviert und vollständig validiert
HTTP Security Header implementiert: HSTS, CSP, X-Frame-Options, Referrer-Policy
E-Mail-Sicherheit: SPF, DKIM, DMARC mit Enforcement-Policy (reject oder quarantine)

Robustheit und Verfügbarkeit

Failover- und Redundanzkonzept dokumentiert
Back-up-Pläne für kritische KI-Komponenten vorhanden
Nachweis über Infrastruktur-Zustand zu einem definierten Stichtag verfügbar

Der CERTavia-Scan prüft alle technischen Parameter aus der Cybersicherheits-Checkliste automatisch und liefert einen kryptografisch signierten Nachweis.

Schritt 4: Checkliste Art. 17 — Qualitätsmanagementsystem

QMS-Dokumentation erstellt und aktuell gehalten
Daten-Governance-Prozesse definiert (Trainings-, Validierungs-, Testdaten)
Änderungsmanagement für KI-Modelle und Infrastruktur dokumentiert
Post-Market Monitoring-System etabliert

Schritt 5: Checkliste Art. 43 — Conformity Assessment Dossier

Das Conformity Assessment Dossier (CAD) nach Art. 43 ist der formale Nachweis für die Marktaufsichtsbehörden. Es muss konkrete Evidenz enthalten — keine allgemeinen Aussagen.

Systembeschreibung und Anwendungsbereich des KI-Systems
Technische Dokumentation (Architektur, Daten, Methoden)
Risikomanagementsystem-Dokumentation (Art. 9)
Infrastruktur-Evidenz nach Art. 15 — kryptografisch signiert und verifizierbar
Transparenzdokumentation für Nutzer (Art. 13)
EU-Konformitätserklärung (Art. 47)

Zeitplan: Was gilt ab wann?

Der EU AI Act gilt seit August 2024 (in Kraft getreten). Die Übergangsfrist für Hochrisiko-KI nach Annex III läuft bis 2. August 2026. Ab diesem Datum müssen Systeme nachweislich compliant sein, bevor sie auf dem EU-Markt eingesetzt oder in Betrieb genommen werden.

Wichtig: Das bedeutet, die Infrastruktur muss zu einem Stichtag vor dem regulatorischen Deadline nachweislich konform sein. Ein nachträglicher Nachweis wird schwieriger zu führen sein.

Nächste Schritte

Wenn Sie diese Checkliste durchgegangen sind, haben Sie einen Überblick über Ihren Compliance-Status. Der technische Infrastruktur-Nachweis nach Art. 15 ist dabei oft der am schnellsten zu schließende Gap — weil er automatisiert und in 90 Sekunden verfügbar ist.

Starten Sie mit dem kostenlosen CERTavia-Scan und erhalten Sie sofort Ihr CERTIFIED/FAILED-Urteil mit vollständigem Cluster-Report.

Infrastruktur-Nachweis

Infrastruktur-Nachweis für Ihr CAD-Dossier

Kryptografisch signiert, maschinenlesbar, in 90 Sekunden — direkt integrierbar in Ihren Conformity-Assessment-Prozess.

Domain jetzt scannen – kostenlos Nachweis bestellen