CERTavia im AI Act Audit-Dossier
Der CERTavia PDF-Report ist ein technischer Nachweis für das Conformity Assessment Dossier nach EU AI Act Art. 15. Diese Seite zeigt, welcher Scan-Cluster welchen Artikel abdeckt und wie das Dokument korrekt eingebettet wird.
Zielgruppe: Compliance-Teams, Rechtsabteilungen, Wirtschaftsprüfer, Notified Bodies und interne Auditoren.
Was ist das Conformity Assessment Dossier?
Das Conformity Assessment Dossier (CAD) ist die zentrale Dokumentation, mit der Anbieter von Hochrisiko-KI-Systemen ihre Konformität mit dem EU AI Act nachweisen. Es ist kein einmaliges Dokument, sondern ein lebendiges Evidenzpaket.
Technische Dokumentation
Beschreibung des Systems, der Architektur, der Datenquellen, der Testmethoden und der Risikobewertung. CERTavia liefert den Infrastruktur-Layer dieser Dokumentation.
Konformitätserklärung
Formelle Erklärung des Anbieters, dass das System alle anwendbaren Anforderungen des EU AI Act erfüllt. Muss von der technischen Dokumentation gestützt sein.
Laufende Überwachung
Post-Market-Monitoring nach Art. 72. Re-Scans dokumentieren Infrastruktur-Veränderungen und belegen kontinuierliche Konformität gegenüber Aufsichtsbehörden.
Welcher Cluster deckt welchen Artikel?
CERTavia prüft 80+ Parameter in 6 Clustern. Jeder Cluster ist direkt auf regulatorische Anforderungen abbildbar.
| Cluster | Was wird geprüft | EU AI Act | DORA / NIS2 |
|---|---|---|---|
| A Basis-Infrastruktur | DNSSEC, TLS 1.3, SPF, DKIM, DMARC, HTTP-Sicherheitsheader, HSTS | Art. 15 — Robustheit und Cybersicherheit. Hochrisiko-KI-Systeme müssen gegen Cyberangriffe widerstandsfähig sein. | DORA Art. 9 — IKT-Sicherheit. NIS2 Art. 21 — Sicherheitsmaßnahmen für wesentliche Einrichtungen. |
| B Erreichbarkeit & Performance | TTFB, HTTP/3 (ALPN), Redirect-Ketten, Uptime-Signale | Art. 15 — Betriebsstabilität. Das System muss in vorhergesagten Betriebsbedingungen zuverlässig funktionieren. | DORA Art. 19 — IKT-Drittpartei-Risikomanagement. Verfügbarkeit von Diensten Dritter. |
| C Inhaltsintegrität | Canonical-Tags, Hreflang, Duplikate, Indexierbarkeit, Sitemaps | Art. 13 — Transparenz. Informationen müssen eindeutig, korrekt und nicht irreführend sein. Art. 15 — Integrität der bereitgestellten Daten. | — |
| D KI-Readiness | llms.txt, agents.md, MCP-Endpunkte, AI-Signale, API-Catalog | Art. 13 — Informationspflichten: Nutzer und nachgelagerte Systeme müssen wissen, mit welchem KI-System sie interagieren. Art. 50 — Transparenzpflichten für generative KI-Systeme und Chatbots. | — |
| E Rechtliches & Compliance | Consent-Layer, Impressum, Datenschutzerklärung, DSGVO-Signale | Art. 10 — Daten-Governance. Rechtmäßigkeit der Datenverarbeitung als Voraussetzung für den Einsatz von KI-Systemen. Art. 13 — Transparenz gegenüber Nutzern. | DSGVO Art. 5 — Grundsätze der Verarbeitung personenbezogener Daten. |
| F Agentic Web Layer | Well-Known-Endpunkte, SOVP-Zertifikat, maschinenlesbare Verifikations-URL | Art. 13 — Technische Dokumentation und maschinenlesbare Nachweise. Art. 15 — Anforderungen an die Dokumentation der Datenquellen-Integrität. | DORA Art. 19 — Dokumentation von IKT-Drittpartei-Abhängigkeiten. |
Den CERTavia PDF-Report korrekt einbetten
Der PDF Audit Report ist kein Marketingdokument — er ist ein technischer Nachweis mit kryptografischer Signatur und maschinenlesbarer Verifikations-URL.
Schritt 1: Positionierung im Dossier
Fügen Sie den CERTavia Report als Anlage in den Abschnitt "Technische Dokumentation" Ihres CAD ein. Empfohlene Bezeichnung: "Infrastruktur-Nachweis gemäß Art. 15 EU AI Act — Ausgestellt durch CERTavia / Litzki Systems LLC, [Datum]".
Schritt 2: Signatur referenzieren
Der Report enthält eine Ed25519-Signatur (RFC 8032) und einen Sovereign Vault Link. Verweisen Sie in Ihrer Konformitätserklärung explizit auf den Vault-Link als dauerhaft verifizierbaren Zeitpunkt-Nachweis.
Schritt 3: Maschinenlesbare URL
Pro-Reports enthalten eine maschinenlesbare Verifikations-URL. Diese URL kann von Auditoren, Notified Bodies und automatisierten Compliance-Systemen direkt gegen den Sovereign Vault verifiziert werden.
Schritt 4: Re-Scan-Zyklus dokumentieren
Für DORA-Konformität und kontinuierliches Post-Market-Monitoring nach Art. 72 EU AI Act: Dokumentieren Sie jeden Re-Scan als eigene Anlage mit Datum. Die Signaturkette belegt die Infrastruktur-Geschichte.
Die relevanten Artikel im Überblick
Art. 13 EU AI Act — Transparenz
Anbieter von Hochrisiko-KI-Systemen müssen sicherstellen, dass die Systeme so transparent sind, dass Nutzer die Ausgaben angemessen interpretieren können. Betrifft: Informationsbereitstellung, Dokumentation, maschinenlesbare Schnittstellen.
Art. 15 EU AI Act — Robustheit & Cybersicherheit
Hochrisiko-KI-Systeme müssen in Bezug auf Genauigkeit, Robustheit und Cybersicherheit konzipiert sein. Konkret: Widerstandsfähigkeit gegen Fehler, Störungen und Manipulationen — einschließlich der genutzten Datenquellen-Infrastruktur.
Art. 50 EU AI Act — Transparenzpflichten GPAI
Für KI-Systeme, die mit natürlichen Personen interagieren: Offenlegung der KI-Natur. Maschinenlesbare Deklarationen (llms.txt, agents.md) sind der technische Nachweis dieser Offenlegung.
DORA Art. 19 — IKT-Drittpartei-Risiko
Finanzunternehmen müssen wesentliche IKT-Drittdienstleister kontinuierlich überwachen. CERTavia liefert den verifizierbaren Infrastruktur-Status von Drittparteien — als einbettbarer Nachweis in IKT-Drittpartei-Verträge.
Fragen von Compliance-Teams und Auditoren
Reicht der CERTavia Report alleine für das CAD?
Nein — CERTavia liefert den Infrastruktur-Layer (Art. 15), nicht das vollständige CAD. Das Dossier erfordert zusätzlich: Systembeschreibung, Risikoanalyse, Testprotokolle, Konformitätserklärung und ggf. Notified-Body-Prüfung. CERTavia ist ein kryptografisch verifizierbarer Baustein in diesem Paket.
Wie lange ist ein CERTavia Report für das CAD verwendbar?
Der Pro-Report hat kein automatisches Ablaufdatum. Der Sovereign Vault dokumentiert den Infrastrukturzustand zum Ausstellungszeitpunkt dauerhaft. Für Post-Market-Monitoring empfehlen wir Re-Scans alle 90 Tage — insbesondere wenn sich Infrastruktur-Parameter (DNS, TLS, Endpunkte) ändern.
Welches Produkt brauche ich für das CAD?
Pro (USD 1.490) oder höher: enthält Sovereign Vault ohne Ablaufdatum, maschinenlesbare Verifikations-URL und API-Output. Basic (USD 490) hat 90-Tage-Vault-Laufzeit und ist für einmalige Momentaufnahmen ausreichend. Annual-Pläne sind für kontinuierliches Monitoring (DORA/NIS2) konzipiert.
Kann ein Notified Body oder Wirtschaftsprüfer den Report direkt verifizieren?
Ja. Die Verifikation erfolgt über die maschinenlesbare Verifikations-URL im Report oder direkt über den Sovereign Vault Link. Prüfer können die Ed25519-Signatur gegen den öffentlichen Schlüssel von Litzki Systems LLC verifizieren — ohne CERTavia kontaktieren zu müssen.
Infrastruktur-Nachweis für Ihr Audit-Dossier.
Self-Service: Domain scannen, Pro-Report kaufen, in CAD einbetten. Lieferzeit 90–120 Sekunden.
Für Enterprise-Anfragen, Procurement und Auditor-Onboarding: Kontakt aufnehmen →