Brüssel – Die Europäische Kommission will Europas digitale Infrastruktur mit einem neuen Neun-Punkte-Plan absichern. Das Ziel: weniger Abhängigkeit von ausländischen Technologieanbietern.
Der am Dienstag vorgestellte Aktionsplan für Cybersicherheit und Künstliche Intelligenz kommt genau zum richtigen Zeitpunkt. Denn bereits Anfang August treten die ersten weitreichenden Transparenzpflichten des EU AI Acts in Kraft. Unternehmen stehen damit vor einer doppelten Herausforderung: Sie müssen ihre Systeme sicherer machen und gleichzeitig strenge Kennzeichnungsvorschriften einhalten.
Drei Säulen für mehr Sicherheit
Der Plan konzentriert sich auf drei zentrale Bereiche: sichere und zugängliche KI für Cybersicherheitszwecke, die Vorbereitung des europäischen Cyber-Ökosystems und den Ausbau eigener KI-Kapazitäten. Neun konkrete Maßnahmen sollen die Umsetzung gewährleisten. Neue Gesetze sind dafür nicht nötig – die Kommission setzt auf bestehende Regelwerke wie den AI Act, die NIS2-Richtlinie und den Cyber Resilience Act.
Ein Kernstück des Plans ist die Entwicklung einer europäischen Blaupause für den strukturierten Zugang zu fortschtittlicher KI. Hinzu kommen EU-weite Bewertungskapazitäten für KI-Modelle, die bis 2027 einsatzbereit sein sollen. Finanziert wird das Ganze mit 200 Millionen Euro aus dem Forschungsprogramm Horizon Europe und weiteren 100 Millionen Euro aus dem Europäischen Innovationsrat (EIC).
Der Handlungsdruck ist enorm: Der Marktanteil europäischer Cloud-Anbieter ist von 29 Prozent im Jahr 2017 auf aktuell rund 15 Prozent eingebrochen. Ein „Grand Challenge“-Wettbewerb zur KI-Cybersicherheit und eine sichere Testplattform der EU-Agentur für Cybersicherheit (ENISA) sollen gegensteuern.
Die neuen EU-Regularien fordern Unternehmen heraus, ihre KI-Systeme grundlegend auf den Prüfstand zu stellen. Dieser kostenlose Umsetzungsleitfaden hilft Ihrer IT- und Rechtsabteilung, alle relevanten Fristen und Risikoklassen des AI Acts sofort zu überblicken. EU AI Act in 5 Schritten verstehen
Stichtag 2. August: Transparenzpflichten kommen
Während der Aktionsplan auf langfristige Infrastruktur setzt, tickt für viele Unternehmen bereits die Uhr. Ab dem 2. August 2026 greifen die Transparenzregeln nach Artikel 50 des EU AI Acts. Dann müssen KI-generierte oder manipulierte Bilder klar gekennzeichnet werden.
Allerdings hat der sogenannte Digital Omnibus vom 29. Juni 2026 für eine zeitliche Verschiebung gesorgt: Während die Pflichten für die Anwender von KI-Systemen wie geplant im August greifen, wurden die spezifischen Kennzeichnungsanforderungen für KI-Anbieter auf den 2. Dezember 2026 verschoben. Wer die Vorgaben ignoriert, riskiert Strafen von bis zu 35 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes.
Die Regulierungsmaschinerie läuft weiter: Ab Dezember 2026 gilt ein Verbot von nicht einvernehmlichen KI-generierten intimen Inhalten. Hochrisiko-KI-Systeme müssen bis Dezember 2027 (eigenständige Anwendungen) beziehungsweise August 2028 (eingebettete Systeme) konform sein.
Neben den regulatorischen Hürden steigen auch die technischen Gefahren durch KI-gestützte Angriffe massiv an. Erfahren Sie im aktuellen Experten-Report, wie Sie Ihr Unternehmen proaktiv absichern und neue gesetzliche Anforderungen kosteneffizient erfüllen. Gratis-E-Book zu neuen Cyberrisiken anfordern
BSI legt Prüfrahmen für KI vor
Parallel zur EU-Politik liefert auch die nationale Ebene konkrete Werkzeuge. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am heutigen Mittwoch einen Gemeinschaftsentwurf der sogenannten A5-Architektur veröffentlicht – ein modulares Prüfsystem für KI-Systeme.
Die „AI Audit and Assurance Assessment Architecture“ soll einen Kriterienkatalog bereitstellen, der KI-Systeme auf Robustheit, Erklärbarkeit, Verzerrungen und Cybersicherheit bewertet. Das BSI betont, dass der Rahmen maschinenlesbar über die Open Security Controls Assessment Language (OSCAL) sein wird. Branchenvertreter haben bis zum 31. August 2026 Zeit, Rückmeldungen zum Entwurf zu geben.
Auch die USA ziehen nach
Der Trend zur Kennzeichnungspflicht ist international. In den USA wurde am 25. Juni 2026 der AI Labeling Act erneut eingebracht. Das Gesetz würde die Handelskommission FTC ermächtigen, sichtbare und maschinenlesbare Kennzeichnungen auf KI-generierten Inhalten durchzusetzen.
Betroffen wären vor allem große Plattformen mit mindestens zehn Millionen monatlichen Nutzern oder 1,5 Milliarden Dollar Jahresumsatz. Pro Verstoß drohen 25.000 Dollar Strafe, bei Wiederholungstätern verdreifacht sich der Betrag. Unterstützung kommt von Gewerkschaften und Berufsverbänden wie SAG-AFTRA und der Authors Guild.

