{ "regulation": "ai_act", "name": "AI Act (EU KI-Verordnung)", "description": "EU-Verordnung 2024/1689 zur Festlegung harmonisierter Vorschriften fuer kuenstliche Intelligenz", "version": "2.0", "effective_date": "2024-08-01", "obligations": [ { "id": "AIACT-OBL-001", "title": "Verbotene KI-Praktiken vermeiden", "description": "Sicherstellung, dass keine verbotenen KI-Praktiken eingesetzt werden: Social Scoring durch oeffentliche Stellen, Ausnutzung von Schwaechen (Alter, Behinderung), unterschwellige Manipulation, biometrische Echtzeit-Fernidentifizierung (mit Ausnahmen), Emotionserkennung am Arbeitsplatz/in Bildung, biometrische Kategorisierung nach sensitiven Merkmalen.", "applies_when": "uses_ai", "applies_when_condition": { "all_of": [ {"field": "ai_usage.uses_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 5", "title": "Verbotene Praktiken im KI-Bereich"} ], "sources": [ {"type": "article", "ref": "Art. 5 AI Act"} ], "category": "Compliance", "responsible": "Geschaeftsfuehrung", "sanctions": {"max_fine": "35 Mio. EUR oder 7% Jahresumsatz"}, "evidence": [ "KI-Inventar mit Risikobewertung", "Dokumentierte Pruefung auf verbotene Praktiken" ], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-002", "title": "Risikomanagementsystem fuer Hochrisiko-KI", "description": "Einrichtung eines Risikomanagementsystems fuer Hochrisiko-KI-Systeme: Ermittlung und Analyse bekannter und vorhersehbarer Risiken, Schaetzung und Bewertung der Risiken, Risikominderungsmassnahmen, kontinuierliche Ueberwachung und Aktualisierung.", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 9", "title": "Risikomanagementsystem"} ], "sources": [ {"type": "article", "ref": "Art. 9 AI Act"} ], "category": "Governance", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Risikomanagement-Dokumentation", "Risikobewertungen pro KI-System", "Massnahmenplan" ], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.03", "TOM.GOV.04"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-003", "title": "Daten-Governance fuer Hochrisiko-KI", "description": "Anforderungen an Trainings-, Validierungs- und Testdaten: Relevante Design-Entscheidungen, Datenerhebung und Datenherkunft, Vorverarbeitung (Annotation, Labelling, Bereinigung), Erkennung und Behebung von Verzerrungen (Bias), Identifizierung von Datenluecken.", "applies_when": "high_risk_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 10", "title": "Daten und Daten-Governance"} ], "sources": [ {"type": "article", "ref": "Art. 10 AI Act"} ], "category": "Technisch", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Datensatzdokumentation", "Bias-Analyse-Berichte", "Datenqualitaetsnachweise" ], "priority": "hoch", "tom_control_ids": ["TOM.DATA.01", "TOM.DATA.02", "TOM.DATA.03"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-004", "title": "Technische Dokumentation erstellen", "description": "Erstellung umfassender technischer Dokumentation vor Inverkehrbringen: Allgemeine Beschreibung des KI-Systems, Design-Spezifikationen, Entwicklungsprozess, Leistungsmetriken, Risikomanagement-Dokumentation gemaess Anhang IV.", "applies_when": "high_risk_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 11", "title": "Technische Dokumentation"}, {"norm": "AI Act", "article": "Anhang IV", "title": "Technische Dokumentation gemaess Art. 11"} ], "sources": [ {"type": "article", "ref": "Art. 11 AI Act"}, {"type": "article", "ref": "Anhang IV AI Act"} ], "category": "Dokumentation", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Technische Dokumentation nach Anhang IV", "Systemarchitektur-Dokumentation", "Algorithmus-Beschreibung" ], "priority": "hoch", "tom_control_ids": ["TOM.GOV.05", "TOM.SDLC.01"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-005", "title": "Protokollierungsfunktion implementieren", "description": "Hochrisiko-KI-Systeme muessen automatische Protokolle (Logs) erstellen: Nutzungszeitraum, Referenzdatenbank, Eingabedaten, Identitaet der verifizierenden Personen. Aufbewahrung mindestens 6 Monate.", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 12", "title": "Aufzeichnungspflichten"} ], "sources": [ {"type": "article", "ref": "Art. 12 AI Act"} ], "category": "Technisch", "responsible": "IT-Leitung", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Log-System-Dokumentation", "Beispiel-Logs", "Aufbewahrungsrichtlinie" ], "priority": "hoch", "tom_control_ids": ["TOM.LOG.01", "TOM.LOG.02", "TOM.LOG.03"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-006", "title": "Transparenz und Nutzerinformation", "description": "Bereitstellung klarer Informationen fuer Betreiber (Deployer): Gebrauchsanweisungen, Eigenschaften und Grenzen des Systems, Leistungsniveau und Genauigkeit, vorhersehbare Fehlnutzungen.", "applies_when": "high_risk_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 13", "title": "Transparenz und Information fuer Betreiber"} ], "sources": [ {"type": "article", "ref": "Art. 13 AI Act"} ], "category": "Organisatorisch", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Gebrauchsanweisung", "Leistungsdokumentation", "Warnhinweise" ], "priority": "hoch", "tom_control_ids": ["TOM.GOV.06", "TOM.OPS.01"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-007", "title": "Menschliche Aufsicht sicherstellen", "description": "Hochrisiko-KI muss menschliche Aufsicht ermoeglichen: Faehigkeiten und Grenzen verstehen, Ueberwachung des Betriebs, Interpretation der Ausgaben, Eingreifen oder Abbrechen koennen (Human-in-the-Loop / Human-on-the-Loop).", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 14", "title": "Menschliche Aufsicht"} ], "sources": [ {"type": "article", "ref": "Art. 14 AI Act"} ], "category": "Organisatorisch", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Aufsichtskonzept", "Schulungsnachweise fuer Bediener", "Notfall-Abschaltprozedur" ], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.07", "TOM.HR.01", "TOM.OPS.02"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-008", "title": "Genauigkeit, Robustheit und Cybersicherheit", "description": "Hochrisiko-KI muss waehrend des gesamten Lebenszyklus angemessene Genauigkeit aufweisen, robust gegen Fehler und Inkonsistenzen sein und Cyberangriffe verhindern koennen (Adversarial Attacks, Data Poisoning, Model Manipulation).", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 15", "title": "Genauigkeit, Robustheit und Cybersicherheit"} ], "sources": [ {"type": "article", "ref": "Art. 15 AI Act"} ], "category": "Technisch", "responsible": "IT-Leitung", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Genauigkeits-Metriken und Tests", "Robustheitstests", "Security-Assessment", "Penetrationstest-Bericht" ], "priority": "hoch", "tom_control_ids": ["TOM.SDLC.02", "TOM.NET.01", "TOM.CRYPTO.01"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-009", "title": "Betreiberpflichten fuer Hochrisiko-KI", "description": "Betreiber (Deployer) von Hochrisiko-KI muessen: Geeignete technische und organisatorische Massnahmen treffen, Eingabedaten auf Relevanz pruefen, Betrieb ueberwachen, Protokolle aufbewahren, betroffene Personen informieren.", "applies_when": "high_risk_deployer", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_deployer", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 26", "title": "Pflichten der Betreiber"} ], "sources": [ {"type": "article", "ref": "Art. 26 AI Act"} ], "category": "Organisatorisch", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Betriebskonzept", "Eingabedaten-Pruefung", "Monitoring-Dokumentation" ], "priority": "hoch", "tom_control_ids": ["TOM.OPS.03", "TOM.OPS.04", "TOM.LOG.04"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-010", "title": "Grundrechte-Folgenabschaetzung", "description": "Betreiber von Hochrisiko-KI in sensiblen Bereichen muessen vor Einsatz eine Grundrechte-Folgenabschaetzung durchfuehren (FRIA - Fundamental Rights Impact Assessment). Dies gilt fuer oeffentliche Stellen und private Betreiber in kritischen Bereichen.", "applies_when": "high_risk_deployer_fria", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_deployer", "operator": "EQUALS", "value": true}, {"field": "organization.is_public_authority", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 27", "title": "Grundrechte-Folgenabschaetzung fuer Hochrisiko-KI-Systeme"} ], "sources": [ {"type": "article", "ref": "Art. 27 AI Act"} ], "category": "Governance", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "FRIA-Dokumentation", "Risikobewertung Grundrechte", "Abhilfemassnahmen" ], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.08", "TOM.GOV.09"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-011", "title": "Transparenzpflichten fuer KI-Interaktionen", "description": "Bei KI-Systemen, die mit natuerlichen Personen interagieren: Kennzeichnung der KI-Interaktion, Information dass Inhalte KI-generiert sind, Kennzeichnung von Deep Fakes.", "applies_when": "limited_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.limited_risk_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 50", "title": "Transparenzpflichten fuer bestimmte KI-Systeme"} ], "sources": [ {"type": "article", "ref": "Art. 50 AI Act"} ], "category": "Organisatorisch", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Kennzeichnungskonzept", "Nutzerhinweise", "Deep-Fake-Kennzeichnung" ], "priority": "hoch", "tom_control_ids": ["TOM.GOV.10", "TOM.OPS.05"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-012", "title": "GPAI-Modell Dokumentation", "description": "Anbieter von GPAI-Modellen (General Purpose AI) muessen: Technische Dokumentation erstellen und aktualisieren, Informationen fuer nachgelagerte Anbieter bereitstellen, Urheberrechtsrichtlinie einhalten, Trainingsdaten-Zusammenfassung veroeffentlichen.", "applies_when": "gpai_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.is_gpai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 53", "title": "Pflichten der Anbieter von KI-Modellen mit allgemeinem Verwendungszweck"} ], "sources": [ {"type": "article", "ref": "Art. 53 AI Act"} ], "category": "Dokumentation", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "GPAI-Dokumentation", "Trainingsdaten-Summary", "Urheberrechts-Policy" ], "priority": "hoch", "tom_control_ids": ["TOM.GOV.11", "TOM.DATA.04"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-013", "title": "GPAI mit systemischem Risiko", "description": "GPAI-Modelle mit systemischem Risiko (>10^25 FLOP Training) haben zusaetzliche Pflichten: Modellbewertung nach Protokollen, Bewertung und Minderung systemischer Risiken, Dokumentation von Vorfaellen, angemessene Cybersicherheit.", "applies_when": "gpai_systemic_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.is_gpai_provider", "operator": "EQUALS", "value": true}, {"field": "ai_usage.gpai_systemic_risk", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 55", "title": "Pflichten der Anbieter von KI-Modellen mit allgemeinem Verwendungszweck mit systemischem Risiko"} ], "sources": [ {"type": "article", "ref": "Art. 55 AI Act"} ], "category": "Technisch", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "35 Mio. EUR oder 7% Jahresumsatz"}, "evidence": [ "Systemische Risikobewertung", "Red-Teaming-Berichte", "Incident-Dokumentation" ], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.12", "TOM.NET.02", "TOM.SDLC.03"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-014", "title": "EU-Datenbank-Registrierung", "description": "Registrierung in der EU-Datenbank fuer Hochrisiko-KI-Systeme: Anbieter vor Inverkehrbringen, Betreiber vor Inbetriebnahme bei bestimmten Kategorien (Annex III).", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 49", "title": "Registrierung"}, {"norm": "AI Act", "article": "Art. 60", "title": "EU-Datenbank fuer Hochrisiko-KI-Systeme"} ], "sources": [ {"type": "article", "ref": "Art. 49 AI Act"}, {"type": "article", "ref": "Art. 60 AI Act"} ], "category": "Meldepflicht", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Registrierungsbestaetigung", "EU-Datenbank-Eintrag" ], "priority": "hoch", "tom_control_ids": ["TOM.GOV.13"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-015", "title": "KI-Kompetenz sicherstellen", "description": "Anbieter und Betreiber muessen sicherstellen, dass Personal mit ausreichender KI-Kompetenz ausgestattet ist. Dies umfasst Schulungen und Sensibilisierung fuer Risiken und ethische Aspekte der KI-Nutzung.", "applies_when": "uses_ai", "applies_when_condition": { "all_of": [ {"field": "ai_usage.uses_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 4", "title": "KI-Kompetenz"} ], "sources": [ {"type": "article", "ref": "Art. 4 AI Act"} ], "category": "Schulung", "responsible": "Geschaeftsfuehrung", "sanctions": {"max_fine": "7,5 Mio. EUR oder 1% Jahresumsatz"}, "evidence": [ "Schulungsnachweise", "Kompetenzmatrix", "Awareness-Programm" ], "priority": "mittel", "tom_control_ids": ["TOM.HR.02", "TOM.HR.03"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-016", "title": "Klassifizierung als Hochrisiko-KI-System", "description": "Pruefung ob ein KI-System als Hochrisiko einzustufen ist anhand der Kriterien in Art. 6 und Anhang III. Systeme die in mindestens eine der 8 Hochrisiko-Kategorien fallen, unterliegen den erweiterten Pflichten.", "applies_when": "uses_ai", "applies_when_condition": { "all_of": [ {"field": "ai_usage.uses_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 6", "title": "Klassifizierungsregeln fuer Hochrisiko-KI-Systeme"}, {"norm": "AI Act", "article": "Anhang III", "title": "Hochrisiko-KI-Systeme gemaess Art. 6 Abs. 2"} ], "sources": [ {"type": "article", "ref": "Art. 6 AI Act"}, {"type": "article", "ref": "Anhang III AI Act"} ], "category": "Governance", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Klassifizierungsbericht je KI-System", "Anhang-III-Pruefung dokumentiert", "Entscheidungsmatrix Risikoeinstufung" ], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.01", "TOM.GOV.03"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-017", "title": "Aenderungen der Hochrisiko-Liste ueberwachen", "description": "Kontinuierliche Ueberwachung von Aenderungen an Anhang III durch delegierte Rechtsakte der EU-Kommission. Neue Hochrisiko-Kategorien koennen hinzugefuegt werden, bestehende Systeme muessen ggf. neu klassifiziert werden.", "applies_when": "uses_ai", "applies_when_condition": { "all_of": [ {"field": "ai_usage.uses_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 7", "title": "Aenderungen des Anhangs III"} ], "sources": [ {"type": "article", "ref": "Art. 7 AI Act"} ], "category": "Governance", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Monitoring-Prozess fuer regulatorische Aenderungen", "Re-Klassifizierungsprotokolle" ], "priority": "mittel", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-018", "title": "Einhaltung der Anforderungen Kapitel III Abschnitt 2", "description": "Hochrisiko-KI-Systeme muessen die Anforderungen aus Art. 8-15 vollstaendig erfuellen. Anbieter muessen ein System einrichten, das die Einhaltung aller Anforderungen sicherstellt und dokumentiert.", "applies_when": "high_risk_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 8", "title": "Einhaltung der Anforderungen"} ], "sources": [ {"type": "article", "ref": "Art. 8 AI Act"} ], "category": "Compliance", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Compliance-Checkliste Art. 8-15", "Nachweis der Anforderungserfuellung", "Gap-Analyse" ], "priority": "hoch", "tom_control_ids": ["TOM.GOV.04", "TOM.GOV.05"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-019", "title": "Allgemeine Anbieterpflichten Hochrisiko-KI", "description": "Anbieter von Hochrisiko-KI-Systemen muessen: Compliance mit Anforderungen sicherstellen, Kontaktdaten angeben, QMS einrichten, Dokumentation aufbewahren, Konformitaetsbewertung durchfuehren, CE-Kennzeichnung anbringen, Registrierungspflicht erfuellen.", "applies_when": "high_risk_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 16", "title": "Pflichten der Anbieter von Hochrisiko-KI-Systemen"} ], "sources": [ {"type": "article", "ref": "Art. 16 AI Act"} ], "category": "Compliance", "responsible": "Geschaeftsfuehrung", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Anbieter-Compliance-Nachweis", "QMS-Dokumentation", "Konformitaetserklaerung" ], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.01", "TOM.GOV.05", "TOM.GOV.14"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-020", "title": "Qualitaetsmanagementsystem einrichten", "description": "Anbieter von Hochrisiko-KI muessen ein QMS einrichten und dokumentieren: Compliance-Strategie, Design- und Entwicklungskontrolle, Qualitaetssicherung, Datenmanagement, Risikomanagement-Integration, Post-Market-Monitoring, Vorfallmeldung, Kommunikation mit Behoerden.", "applies_when": "high_risk_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 17", "title": "Qualitaetsmanagementsystem"} ], "sources": [ {"type": "article", "ref": "Art. 17 AI Act"} ], "category": "Governance", "responsible": "Qualitaetsmanagement", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "QMS-Handbuch", "Prozessbeschreibungen", "Audit-Berichte QMS", "Management-Review-Protokolle" ], "priority": "hoch", "tom_control_ids": ["TOM.GOV.14", "TOM.GOV.15", "TOM.SDLC.04"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-021", "title": "Dokumentationsaufbewahrung", "description": "Technische Dokumentation, QMS-Dokumentation, Konformitaetsbewertung und EU-Konformitaetserklaerung muessen mindestens 10 Jahre nach Inverkehrbringen aufbewahrt werden. Auf Anfrage den Behoerden zugaenglich machen.", "applies_when": "high_risk_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 18", "title": "Dokumentationspflichten"} ], "sources": [ {"type": "article", "ref": "Art. 18 AI Act"} ], "category": "Dokumentation", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Aufbewahrungsrichtlinie", "Archivierungssystem-Nachweis", "Zugangsprotokoll fuer Behoerden" ], "priority": "hoch", "tom_control_ids": ["TOM.DATA.05", "TOM.DATA.06"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-022", "title": "Konformitaetsbewertung durchfuehren", "description": "Vor Inverkehrbringen oder Inbetriebnahme eines Hochrisiko-KI-Systems muss eine Konformitaetsbewertung gemaess Art. 43 durchgefuehrt werden. Bei biometrischen Systemen ist eine Drittbewertung durch notifizierte Stelle erforderlich.", "applies_when": "high_risk_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 19", "title": "Konformitaetsbewertung"}, {"norm": "AI Act", "article": "Art. 43", "title": "Konformitaetsbewertungsverfahren"} ], "sources": [ {"type": "article", "ref": "Art. 19 AI Act"}, {"type": "article", "ref": "Art. 43 AI Act"} ], "category": "Audit", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Konformitaetsbewertungsbericht", "Zertifikat notifizierte Stelle (falls zutreffend)", "Interne Audit-Dokumentation" ], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.04", "TOM.GOV.14"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-023", "title": "Automatisch generierte Logs bereitstellen", "description": "Anbieter von Hochrisiko-KI-Systemen muessen sicherstellen, dass automatisch generierte Logs gespeichert und auf Anfrage den Betreibern und Behoerden bereitgestellt werden koennen. Logs muessen die Rueckverfolgbarkeit des Systemverhaltens ermoeglichen.", "applies_when": "high_risk_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 20", "title": "Automatisch generierte Protokolle"} ], "sources": [ {"type": "article", "ref": "Art. 20 AI Act"} ], "category": "Technisch", "responsible": "IT-Leitung", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Log-Export-Funktion", "Protokoll-Zugriffskonzept", "Behoerden-Schnittstelle" ], "priority": "hoch", "tom_control_ids": ["TOM.LOG.01", "TOM.LOG.05", "TOM.LOG.06"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-024", "title": "Korrekturmassnahmen ergreifen", "description": "Anbieter muessen bei Nicht-Konformitaet unverzueglich Korrekturmassnahmen ergreifen: System in Konformitaet bringen, vom Markt nehmen oder zurueckrufen. Behoerden und ggf. Betreiber sind zu informieren.", "applies_when": "high_risk_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 21", "title": "Korrekturmassnahmen und Informationspflicht"} ], "sources": [ {"type": "article", "ref": "Art. 21 AI Act"} ], "category": "Compliance", "responsible": "Geschaeftsfuehrung", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Korrekturmassnahmen-Prozess", "Rueckruf-Verfahren", "Behoerden-Meldungen" ], "priority": "kritisch", "tom_control_ids": ["TOM.OPS.06", "TOM.BCP.01"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-025", "title": "Informationspflichten gegenueber Behoerden", "description": "Auf begruendetes Verlangen der Marktaufsichtsbehoerde muessen Anbieter alle erforderlichen Informationen und Dokumentation bereitstellen, einschliesslich Zugang zu automatisch generierten Logs. Zusammenarbeit in der Landessprache.", "applies_when": "high_risk_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 22", "title": "Informationspflichten"}, {"norm": "AI Act", "article": "Art. 23", "title": "Zusammenarbeit mit Behoerden"} ], "sources": [ {"type": "article", "ref": "Art. 22 AI Act"}, {"type": "article", "ref": "Art. 23 AI Act"} ], "category": "Meldepflicht", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Behoerden-Kommunikationsprotokoll", "Informationsbereitstellungs-Prozess", "Ansprechpartner-Benennung" ], "priority": "hoch", "tom_control_ids": ["TOM.GOV.06", "TOM.GOV.13"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-026", "title": "Bevollmaechtigten benennen", "description": "Anbieter mit Sitz ausserhalb der EU muessen vor Inverkehrbringen einen Bevollmaechtigten in der EU benennen. Der Bevollmaechtigte muss ueber ausreichende Befugnisse verfuegen und die Konformitaetsdokumentation vorhalten.", "applies_when": "high_risk_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 24", "title": "Pflichten der Bevollmaechtigten"} ], "sources": [ {"type": "article", "ref": "Art. 24 AI Act"} ], "category": "Organisatorisch", "responsible": "Geschaeftsfuehrung", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Bevollmaechtigten-Vertrag", "Vollmacht-Dokumentation", "Kontaktdaten EU-Bevollmaechtigter" ], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01", "TOM.VENDOR.01"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-027", "title": "Importeur-Pflichten einhalten", "description": "Importeure von Hochrisiko-KI-Systemen muessen sicherstellen: Konformitaetsbewertung durchgefuehrt, technische Dokumentation vorhanden, CE-Kennzeichnung angebracht, Gebrauchsanweisung beigefuegt. Namen und Kontaktdaten auf dem System oder Verpackung anbringen.", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 25", "title": "Pflichten der Einführer"} ], "sources": [ {"type": "article", "ref": "Art. 25 AI Act"} ], "category": "Compliance", "responsible": "Geschaeftsfuehrung", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Importeur-Pruefprotokoll", "Konformitaetserklaerung des Anbieters", "CE-Kennzeichnungsnachweis" ], "priority": "hoch", "tom_control_ids": ["TOM.VENDOR.02", "TOM.VENDOR.03"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-028", "title": "Deployer-Pflicht: Eingabedaten-Kontrolle", "description": "Betreiber von Hochrisiko-KI muessen sicherstellen, dass Eingabedaten relevant und hinreichend repraesentativ fuer den Verwendungszweck sind. Regelmaessige Pruefung der Datenqualitaet.", "applies_when": "high_risk_deployer", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_deployer", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 26 Abs. 4", "title": "Eingabedatenkontrolle durch Betreiber"} ], "sources": [ {"type": "article", "ref": "Art. 26 Abs. 4 AI Act"} ], "category": "Technisch", "responsible": "IT-Leitung", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Eingabedaten-Qualitaetspruefung", "Datenvalidierungsprotokolle", "Repraesentativitaets-Analyse" ], "priority": "hoch", "tom_control_ids": ["TOM.DATA.07", "TOM.DATA.08"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-029", "title": "Deployer-Pflicht: Monitoring und Protokollaufbewahrung", "description": "Betreiber muessen den Betrieb von Hochrisiko-KI ueberwachen und automatisch generierte Protokolle mindestens 6 Monate aufbewahren. Bei Risiken oder schwerwiegenden Vorfaellen unverzueglich den Anbieter und die Behoerden informieren.", "applies_when": "high_risk_deployer", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_deployer", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 26 Abs. 5", "title": "Monitoring-Pflicht der Betreiber"} ], "sources": [ {"type": "article", "ref": "Art. 26 Abs. 5 AI Act"} ], "category": "Technisch", "responsible": "IT-Leitung", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Monitoring-Dashboard", "Log-Aufbewahrungsnachweis", "Eskalationsprozess-Dokumentation" ], "priority": "hoch", "tom_control_ids": ["TOM.LOG.04", "TOM.LOG.07", "TOM.OPS.07"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-030", "title": "Deployer-Pflicht: Information betroffener Personen", "description": "Betreiber von Hochrisiko-KI muessen natuerliche Personen informieren, dass sie einer Entscheidung unterliegen, die auf dem Einsatz eines Hochrisiko-KI-Systems beruht. Dies gilt insbesondere in den Bereichen Beschaeftigung, Bildung und oeffentliche Dienstleistungen.", "applies_when": "high_risk_deployer", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_deployer", "operator": "EQUALS", "value": true}, {"field": "ai_usage.ai_makes_decisions", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 26 Abs. 7", "title": "Informationspflicht gegenueber betroffenen Personen"} ], "sources": [ {"type": "article", "ref": "Art. 26 Abs. 7 AI Act"} ], "category": "Organisatorisch", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Informationsschreiben-Vorlagen", "Nachweis der Benachrichtigung", "Datenschutzerklaerung mit KI-Hinweis" ], "priority": "hoch", "tom_control_ids": ["TOM.GOV.10", "TOM.OPS.05"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-031", "title": "Deployer-Pflicht: DSFA bei Hochrisiko-KI", "description": "Betreiber muessen vor Einsatz von Hochrisiko-KI eine Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO durchfuehren, soweit personenbezogene Daten verarbeitet werden. Die FRIA nach Art. 27 AI Act kann dabei beruecksichtigt werden.", "applies_when": "high_risk_deployer", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_deployer", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 26 Abs. 9", "title": "DSFA-Pflicht fuer Betreiber"}, {"norm": "DSGVO", "article": "Art. 35", "title": "Datenschutz-Folgenabschaetzung"} ], "sources": [ {"type": "article", "ref": "Art. 26 Abs. 9 AI Act"}, {"type": "article", "ref": "Art. 35 DSGVO"} ], "category": "Governance", "responsible": "Datenschutzbeauftragter", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "DSFA-Bericht", "FRIA-Integration", "Massnahmenplan" ], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.08", "TOM.GOV.09"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-032", "title": "Deployer wird zum Anbieter", "description": "Ein Betreiber wird zum Anbieter, wenn er: seinen Namen/Marke auf ein Hochrisiko-KI-System setzt, wesentliche Aenderungen vornimmt oder den Verwendungszweck aendert. In diesem Fall gelten alle Anbieterpflichten.", "applies_when": "high_risk_deployer", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_deployer", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 26 Abs. 10", "title": "Betreiber als Anbieter"} ], "sources": [ {"type": "article", "ref": "Art. 26 Abs. 10 AI Act"} ], "category": "Compliance", "responsible": "Geschaeftsfuehrung", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Pruefung Anbieter-Status", "Aenderungsprotokoll KI-System", "Umklassifizierungsentscheidung" ], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01", "TOM.GOV.03"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-033", "title": "Haendlerpflichten einhalten", "description": "Haendler von Hochrisiko-KI-Systemen muessen vor Bereitstellung pruefen: CE-Kennzeichnung, Konformitaetserklaerung, Gebrauchsanweisung, Konformitaet mit Art. 16. Bei Risiken unverzueglich Anbieter und Marktaufsicht informieren.", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 28", "title": "Pflichten der Haendler"} ], "sources": [ {"type": "article", "ref": "Art. 28 AI Act"} ], "category": "Compliance", "responsible": "Geschaeftsfuehrung", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Haendler-Checkliste", "Eingangs-Pruefprotokoll", "Lieferanten-Dokumentation" ], "priority": "mittel", "tom_control_ids": ["TOM.VENDOR.04", "TOM.VENDOR.05"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-034", "title": "Pflichten in der Wertschoepfungskette", "description": "Dritte, die Werkzeuge, Dienste, Komponenten oder Prozesse fuer Hochrisiko-KI bereitstellen, muessen mit dem Anbieter zusammenarbeiten und alle relevanten Informationen bereitstellen. Schriftliche Vereinbarungen sind erforderlich.", "applies_when": "high_risk_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 29", "title": "Pflichten von Dritten in der Wertschoepfungskette"} ], "sources": [ {"type": "article", "ref": "Art. 29 AI Act"} ], "category": "Organisatorisch", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Lieferantenvertraege", "Informationsaustausch-Protokolle", "Supply-Chain-Due-Diligence" ], "priority": "mittel", "tom_control_ids": ["TOM.VENDOR.06", "TOM.VENDOR.07"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-035", "title": "Konformitaetsbewertungsstellen nutzen", "description": "Fuer bestimmte Hochrisiko-KI-Systeme (insb. biometrische Identifizierung) muss die Konformitaetsbewertung durch eine notifizierte Stelle (Conformity Assessment Body) durchgefuehrt werden. Die Stelle muss unabhaengig und akkreditiert sein.", "applies_when": "high_risk_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true}, {"field": "ai_usage.uses_biometric_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 43", "title": "Konformitaetsbewertungsstellen"} ], "sources": [ {"type": "article", "ref": "Art. 43 AI Act"} ], "category": "Audit", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Notifizierte-Stelle-Beauftragung", "Akkreditierungsnachweis", "Bewertungsbericht der notifizierten Stelle" ], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.14", "TOM.GOV.15"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-036", "title": "EU-Konformitaetserklaerung ausstellen", "description": "Anbieter muessen fuer jedes Hochrisiko-KI-System eine EU-Konformitaetserklaerung gemaess Anhang V ausstellen. Diese muss Name und Adresse des Anbieters, KI-System-Identifikation, angewandte harmonisierte Normen und Konformitaetsbewertungsergebnis enthalten.", "applies_when": "high_risk_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 47", "title": "EU-Konformitaetserklaerung"}, {"norm": "AI Act", "article": "Anhang V", "title": "Inhalt der EU-Konformitaetserklaerung"} ], "sources": [ {"type": "article", "ref": "Art. 47 AI Act"}, {"type": "article", "ref": "Anhang V AI Act"} ], "category": "Dokumentation", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "EU-Konformitaetserklaerung nach Anhang V", "Unterschriebene Erklaerung", "Verzeichnis der KI-Systeme mit Erklaerungen" ], "priority": "hoch", "tom_control_ids": ["TOM.GOV.05", "TOM.GOV.14"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-037", "title": "CE-Kennzeichnung anbringen", "description": "Hochrisiko-KI-Systeme muessen mit der CE-Kennzeichnung versehen werden, bevor sie in Verkehr gebracht werden. Die Kennzeichnung muss sichtbar, lesbar und dauerhaft sein. Bei Software wird sie in der digitalen Schnittstelle angebracht.", "applies_when": "high_risk_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 48", "title": "CE-Kennzeichnung"} ], "sources": [ {"type": "article", "ref": "Art. 48 AI Act"} ], "category": "Compliance", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "CE-Kennzeichnungsnachweis", "Screenshot digitale Schnittstelle", "Produktdokumentation" ], "priority": "hoch", "tom_control_ids": ["TOM.GOV.05"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-038", "title": "Registrierungspflicht fuer Betreiber", "description": "Betreiber von Hochrisiko-KI-Systemen in bestimmten Bereichen (Annex III Nr. 1-5, 8) muessen sich und das System in der EU-Datenbank registrieren, bevor sie das System in Betrieb nehmen.", "applies_when": "high_risk_deployer", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_deployer", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 49 Abs. 3", "title": "Registrierungspflicht der Betreiber"} ], "sources": [ {"type": "article", "ref": "Art. 49 Abs. 3 AI Act"} ], "category": "Meldepflicht", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Betreiber-Registrierungsbestaetigung", "EU-Datenbank-Eintrag" ], "priority": "hoch", "tom_control_ids": ["TOM.GOV.13"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-039", "title": "Transparenz bei Emotionserkennung", "description": "Betreiber von KI-Systemen zur Emotionserkennung muessen betroffene Personen ueber den Betrieb des Systems informieren. Gilt nicht fuer Systeme, die gesetzlich zur Aufdeckung von Straftaten zugelassen sind.", "applies_when": "limited_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.uses_emotion_recognition", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 50 Abs. 3", "title": "Transparenz bei Emotionserkennung"} ], "sources": [ {"type": "article", "ref": "Art. 50 Abs. 3 AI Act"} ], "category": "Organisatorisch", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Informationshinweis Emotionserkennung", "Einwilligungsnachweis", "Aushang oder digitaler Hinweis" ], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.10", "TOM.OPS.05"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-040", "title": "Kennzeichnung von Deep Fakes", "description": "Anbieter und Betreiber muessen kuenstlich erzeugte oder manipulierte Bild-, Audio- oder Videoinhalte (Deep Fakes) als kuenstlich erzeugt oder manipuliert kennzeichnen. Die Kennzeichnung muss maschinenlesbar sein.", "applies_when": "limited_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.uses_deepfakes", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 50 Abs. 4", "title": "Kennzeichnung von Deep Fakes"} ], "sources": [ {"type": "article", "ref": "Art. 50 Abs. 4 AI Act"} ], "category": "Technisch", "responsible": "IT-Leitung", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Deep-Fake-Kennzeichnungssystem", "Maschinenlesbare Metadaten", "Wasserzeichen-Implementation" ], "priority": "hoch", "tom_control_ids": ["TOM.SDLC.05", "TOM.OPS.08"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-041", "title": "Kennzeichnung generierter Inhalte", "description": "Anbieter von KI-Systemen, die synthetische Text-, Bild-, Audio- oder Videoinhalte erzeugen, muessen sicherstellen, dass die Ausgaben in maschinenlesbarem Format als kuenstlich erzeugt gekennzeichnet sind.", "applies_when": "limited_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.uses_generative_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 50 Abs. 2", "title": "Kennzeichnung KI-generierter Inhalte"} ], "sources": [ {"type": "article", "ref": "Art. 50 Abs. 2 AI Act"} ], "category": "Technisch", "responsible": "IT-Leitung", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Content-Watermarking-System", "Metadaten-Standard (C2PA o.ae.)", "Kennzeichnungs-Testbericht" ], "priority": "hoch", "tom_control_ids": ["TOM.SDLC.05", "TOM.SDLC.06"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-042", "title": "GPAI: Informationen fuer nachgelagerte Anbieter", "description": "Anbieter von GPAI-Modellen muessen nachgelagerten Anbietern ausreichende Informationen bereitstellen, damit diese ihren Pflichten nachkommen koennen: Faehigkeiten, Grenzen, Risiken und Gebrauchsanweisungen.", "applies_when": "gpai_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.is_gpai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 53 Abs. 1 lit. b", "title": "Informationspflicht GPAI-Anbieter"} ], "sources": [ {"type": "article", "ref": "Art. 53 Abs. 1 lit. b AI Act"} ], "category": "Dokumentation", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Downstream-Provider-Dokumentation", "Modellkarte (Model Card)", "API-Dokumentation mit Limitierungen" ], "priority": "hoch", "tom_control_ids": ["TOM.GOV.11", "TOM.SDLC.07"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-043", "title": "GPAI: Urheberrechts-Policy", "description": "Anbieter von GPAI-Modellen muessen eine Richtlinie zur Einhaltung des Urheberrechts aufstellen und oeffentlich zugaenglich machen, insbesondere hinsichtlich der Trainingsdaten. Opt-out-Mechanismen fuer Rechteinhaber muessen unterstuetzt werden.", "applies_when": "gpai_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.is_gpai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 53 Abs. 1 lit. c", "title": "Urheberrechtspolitik GPAI"} ], "sources": [ {"type": "article", "ref": "Art. 53 Abs. 1 lit. c AI Act"} ], "category": "Governance", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Urheberrechts-Policy veroeffentlicht", "Opt-out-Mechanismus dokumentiert", "Trainingsdaten-Compliance-Bericht" ], "priority": "hoch", "tom_control_ids": ["TOM.GOV.11", "TOM.DATA.09"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-044", "title": "GPAI: Trainingsdaten-Zusammenfassung", "description": "Anbieter von GPAI-Modellen muessen eine hinreichend detaillierte Zusammenfassung der Trainingsdaten erstellen und oeffentlich zugaenglich machen. Das AI Office stellt ein Template hierfuer bereit.", "applies_when": "gpai_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.is_gpai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 53 Abs. 1 lit. d", "title": "Trainingsdaten-Zusammenfassung"} ], "sources": [ {"type": "article", "ref": "Art. 53 Abs. 1 lit. d AI Act"} ], "category": "Dokumentation", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Trainingsdaten-Zusammenfassung (AI Office Template)", "Veroeffentlichungsnachweis", "Datenquellen-Verzeichnis" ], "priority": "hoch", "tom_control_ids": ["TOM.DATA.04", "TOM.DATA.10"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-045", "title": "GPAI systemisch: Modellbewertung durchfuehren", "description": "Anbieter von GPAI-Modellen mit systemischem Risiko muessen standardisierte Modellbewertungen nach dem aktuellen Stand der Technik durchfuehren, einschliesslich adversarialem Testing (Red Teaming).", "applies_when": "gpai_systemic_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.is_gpai_provider", "operator": "EQUALS", "value": true}, {"field": "ai_usage.gpai_systemic_risk", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 55 Abs. 1 lit. a", "title": "Modellbewertung bei systemischem Risiko"} ], "sources": [ {"type": "article", "ref": "Art. 55 Abs. 1 lit. a AI Act"} ], "category": "Audit", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "35 Mio. EUR oder 7% Jahresumsatz"}, "evidence": [ "Modellbewertungsbericht", "Red-Teaming-Protokolle", "Benchmark-Ergebnisse" ], "priority": "kritisch", "tom_control_ids": ["TOM.SDLC.08", "TOM.SDLC.09"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-046", "title": "GPAI systemisch: Systemische Risiken bewerten und mindern", "description": "Bewertung und Minderung moeglicher systemischer Risiken auf EU-Ebene, einschliesslich Risiken fuer oeffentliche Gesundheit, Sicherheit, Grundrechte und Gesellschaft. Dokumentation der Risikomassnahmen.", "applies_when": "gpai_systemic_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.is_gpai_provider", "operator": "EQUALS", "value": true}, {"field": "ai_usage.gpai_systemic_risk", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 55 Abs. 1 lit. b", "title": "Bewertung systemischer Risiken"} ], "sources": [ {"type": "article", "ref": "Art. 55 Abs. 1 lit. b AI Act"} ], "category": "Governance", "responsible": "Geschaeftsfuehrung", "sanctions": {"max_fine": "35 Mio. EUR oder 7% Jahresumsatz"}, "evidence": [ "Systemische Risikobewertung", "Minderungsmassnahmen-Plan", "Impact-Assessment EU-Ebene" ], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.03", "TOM.GOV.12"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-047", "title": "GPAI systemisch: Cybersicherheit gewaehrleisten", "description": "Anbieter von GPAI-Modellen mit systemischem Risiko muessen ein angemessenes Niveau an Cybersicherheit fuer das Modell und die physische Infrastruktur gewaehrleisten.", "applies_when": "gpai_systemic_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.is_gpai_provider", "operator": "EQUALS", "value": true}, {"field": "ai_usage.gpai_systemic_risk", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 55 Abs. 1 lit. d", "title": "Cybersicherheit GPAI"} ], "sources": [ {"type": "article", "ref": "Art. 55 Abs. 1 lit. d AI Act"} ], "category": "Technisch", "responsible": "IT-Leitung", "sanctions": {"max_fine": "35 Mio. EUR oder 7% Jahresumsatz"}, "evidence": [ "Cybersicherheits-Assessment", "Penetrationstest-Bericht", "Infrastruktur-Security-Audit" ], "priority": "kritisch", "tom_control_ids": ["TOM.NET.02", "TOM.NET.03", "TOM.CRYPTO.02"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-048", "title": "GPAI systemisch: Vorfaelle an AI Office melden", "description": "Anbieter von GPAI-Modellen mit systemischem Risiko muessen schwerwiegende Vorfaelle und Korrekturmassnahmen unverzueglich dem EU AI Office und den zustaendigen nationalen Behoerden melden.", "applies_when": "gpai_systemic_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.is_gpai_provider", "operator": "EQUALS", "value": true}, {"field": "ai_usage.gpai_systemic_risk", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 55 Abs. 1 lit. c", "title": "Vorfallmeldung GPAI"} ], "sources": [ {"type": "article", "ref": "Art. 55 Abs. 1 lit. c AI Act"} ], "category": "Meldepflicht", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "35 Mio. EUR oder 7% Jahresumsatz"}, "evidence": [ "Incident-Response-Plan GPAI", "Meldungen an AI Office", "Korrekturmassnahmen-Dokumentation" ], "priority": "kritisch", "tom_control_ids": ["TOM.BCP.02", "TOM.BCP.03"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-049", "title": "AI Regulatory Sandbox Teilnahme", "description": "Mitgliedstaaten richten KI-Reallabore (Regulatory Sandboxes) ein. Anbieter koennen in kontrollierter Umgebung innovative KI-Systeme testen. Teilnahme ist freiwillig, erfordert aber Einhaltung des Sandbox-Plans und Berichtspflichten.", "applies_when": "uses_ai", "applies_when_condition": { "all_of": [ {"field": "ai_usage.uses_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 57", "title": "KI-Reallabore (Regulatory Sandboxes)"} ], "sources": [ {"type": "article", "ref": "Art. 57 AI Act"} ], "category": "Governance", "responsible": "Geschaeftsfuehrung", "sanctions": {"max_fine": "7,5 Mio. EUR oder 1% Jahresumsatz"}, "evidence": [ "Sandbox-Antrag (falls zutreffend)", "Sandbox-Plan", "Abschlussberichte" ], "priority": "niedrig", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-050", "title": "Post-Market-Monitoring einrichten", "description": "Anbieter von Hochrisiko-KI muessen ein Post-Market-Monitoring-System einrichten, das systematisch und proaktiv relevante Daten ueber die Leistung des KI-Systems waehrend seiner gesamten Lebensdauer sammelt und analysiert.", "applies_when": "high_risk_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 72", "title": "Post-Market-Monitoring durch Anbieter"} ], "sources": [ {"type": "article", "ref": "Art. 72 AI Act"} ], "category": "Technisch", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Post-Market-Monitoring-Plan", "Monitoring-Berichte", "Feedback-Erfassungssystem" ], "priority": "hoch", "tom_control_ids": ["TOM.OPS.09", "TOM.OPS.10"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-051", "title": "Schwerwiegende Vorfaelle melden", "description": "Anbieter und Betreiber von Hochrisiko-KI muessen schwerwiegende Vorfaelle unverzueglich der Marktaufsichtsbehoerde melden: Tod, schwere Gesundheitsschaeden, schwerwiegende Grundrechtsverletzungen, schwere Schaeden an Eigentum, Umwelt oder kritischer Infrastruktur.", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 73", "title": "Meldung schwerwiegender Vorfaelle"} ], "sources": [ {"type": "article", "ref": "Art. 73 AI Act"} ], "category": "Meldepflicht", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Incident-Response-Plan", "Meldeprozess dokumentiert", "Behoerden-Kontaktliste", "Meldeformulare vorbereitet" ], "priority": "kritisch", "tom_control_ids": ["TOM.BCP.01", "TOM.BCP.02", "TOM.BCP.04"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-052", "title": "Vertraulichkeit wahren", "description": "Alle am AI-Act-Verfahren beteiligten Parteien muessen die Vertraulichkeit von Informationen und Daten wahren, die sie bei der Ausuebung ihrer Aufgaben erhalten. Geschaeftsgeheimnisse und vertrauliche Geschaeftsinformationen sind zu schuetzen.", "applies_when": "uses_ai", "applies_when_condition": { "all_of": [ {"field": "ai_usage.uses_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 78", "title": "Vertraulichkeit"} ], "sources": [ {"type": "article", "ref": "Art. 78 AI Act"} ], "category": "Organisatorisch", "responsible": "Geschaeftsfuehrung", "sanctions": {"max_fine": "7,5 Mio. EUR oder 1% Jahresumsatz"}, "evidence": [ "Vertraulichkeitsvereinbarungen (NDA)", "Informationsklassifizierung", "Zugriffskontrollen fuer KI-Dokumentation" ], "priority": "mittel", "tom_control_ids": ["TOM.AC.01", "TOM.IAM.01", "TOM.CRYPTO.03"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-053", "title": "Uebergangsfristen einhalten", "description": "Einhaltung der gestaffelten Uebergangsfristen: Verbotene Praktiken ab 02.02.2025, KI-Kompetenz ab 02.02.2025, GPAI ab 02.08.2025, Hochrisiko-KI ab 02.08.2026, bestimmte Annex-III-Systeme ab 02.08.2027.", "applies_when": "uses_ai", "applies_when_condition": { "all_of": [ {"field": "ai_usage.uses_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 99", "title": "Inkrafttreten und Geltungsbeginn"} ], "sources": [ {"type": "article", "ref": "Art. 99 AI Act"} ], "category": "Compliance", "responsible": "Geschaeftsfuehrung", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Umsetzungs-Roadmap", "Meilensteinplan AI Act", "Compliance-Fortschrittsbericht" ], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-054", "title": "Harmonisierte Normen anwenden", "description": "Hochrisiko-KI-Systeme, die harmonisierte Normen (Anhang I) oder gemeinsame Spezifikationen anwenden, profitieren von der Konformitaetsvermutung. Anbieter sollten einschlaegige harmonisierte Normen identifizieren und anwenden.", "applies_when": "high_risk_provider", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Art. 40", "title": "Harmonisierte Normen"}, {"norm": "AI Act", "article": "Anhang I", "title": "Harmonisierte Rechtsvorschriften der Union"} ], "sources": [ {"type": "article", "ref": "Art. 40 AI Act"}, {"type": "article", "ref": "Anhang I AI Act"} ], "category": "Compliance", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Normen-Anwendungsbericht", "Gap-Analyse harmonisierte Normen", "Konformitaetsvermutungs-Dokumentation" ], "priority": "mittel", "tom_control_ids": ["TOM.GOV.04", "TOM.GOV.14"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-055", "title": "Hochrisiko-KI in Biometrie", "description": "KI-Systeme zur biometrischen Fernidentifizierung, biometrischen Kategorisierung und Emotionserkennung unterliegen als Annex-III-Kategorie 1 den strengsten Hochrisiko-Anforderungen. Konformitaetsbewertung durch notifizierte Stelle erforderlich.", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.uses_biometric_ai", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Anhang III Nr. 1", "title": "Biometrie und biometriebasierte Systeme"} ], "sources": [ {"type": "article", "ref": "Anhang III Nr. 1 AI Act"} ], "category": "Compliance", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Biometrie-Einsatz-Dokumentation", "Notifizierte-Stelle-Zertifikat", "Datenschutz-Folgenabschaetzung Biometrie" ], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.08", "TOM.DATA.11", "TOM.IAM.02"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-056", "title": "Hochrisiko-KI in kritischer Infrastruktur", "description": "KI-Systeme als Sicherheitskomponente in kritischer Infrastruktur (Verkehr, Wasser, Gas, Strom, Heizung) sind Hochrisiko nach Annex III Nr. 2. Erhoehte Anforderungen an Robustheit und Zuverlaessigkeit.", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.ai_in_critical_infrastructure", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Anhang III Nr. 2", "title": "Kritische Infrastruktur"} ], "sources": [ {"type": "article", "ref": "Anhang III Nr. 2 AI Act"} ], "category": "Technisch", "responsible": "IT-Leitung", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Kritische-Infrastruktur-Assessment", "Redundanz-Nachweis", "Ausfallsicherheits-Tests" ], "priority": "kritisch", "tom_control_ids": ["TOM.BCP.05", "TOM.BCP.06", "TOM.NET.04"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-057", "title": "Hochrisiko-KI in Bildung und Berufsausbildung", "description": "KI-Systeme zur Bestimmung des Zugangs zu Bildung, Bewertung von Lernenden, Pruefungsauswertung und Ueberwachung von Pruefungen sind Hochrisiko nach Annex III Nr. 3. Besonderer Schutz fuer Minderjaehrige.", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.ai_in_education", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Anhang III Nr. 3", "title": "Allgemeine und berufliche Bildung"} ], "sources": [ {"type": "article", "ref": "Anhang III Nr. 3 AI Act"} ], "category": "Compliance", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Bildungs-KI-Einsatzkonzept", "Minderjaehrigenschutz-Nachweis", "Fairness-Analyse Bildungszugang" ], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.08", "TOM.DATA.12", "TOM.HR.04"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-058", "title": "Hochrisiko-KI in Beschaeftigung", "description": "KI-Systeme fuer Personaleinstellung, Befoerderungsentscheidungen, Kuendigung, Aufgabenzuweisung und Ueberwachung von Arbeitnehmern sind Hochrisiko nach Annex III Nr. 4. Diskriminierungsfreiheit muss nachgewiesen werden.", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.ai_in_employment", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Anhang III Nr. 4", "title": "Beschaeftigung, Personalmanagement"} ], "sources": [ {"type": "article", "ref": "Anhang III Nr. 4 AI Act"} ], "category": "Compliance", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Beschaeftigungs-KI-Assessment", "Diskriminierungsfreiheits-Analyse", "Betriebsrats-Beteiligung dokumentiert" ], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.08", "TOM.HR.05", "TOM.DATA.13"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-059", "title": "Hochrisiko-KI in Strafverfolgung", "description": "KI-Systeme in der Strafverfolgung (Risikobewertung, Luegendetektion, Beweismittelbewertung, Rueckfallprognose) sind Hochrisiko nach Annex III Nr. 6. Strenge Grundrechts-Pruefung erforderlich.", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.ai_in_law_enforcement", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Anhang III Nr. 6", "title": "Strafverfolgung"} ], "sources": [ {"type": "article", "ref": "Anhang III Nr. 6 AI Act"} ], "category": "Compliance", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Grundrechts-Pruefung Strafverfolgung", "Verhältnismaessigkeits-Analyse", "Datenschutz-Richtlinie-Konformitaet" ], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.08", "TOM.GOV.09", "TOM.AC.02"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" }, { "id": "AIACT-OBL-060", "title": "Hochrisiko-KI in Justiz und Demokratie", "description": "KI-Systeme zur Unterstuetzung von Justizbehoerden bei Rechtsauslegung und Rechtsanwendung sind Hochrisiko nach Annex III Nr. 8. Menschliche Aufsicht und Transparenz sind besonders wichtig fuer das Vertrauen in die Justiz.", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ {"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}, {"field": "ai_usage.ai_in_justice", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "AI Act", "article": "Anhang III Nr. 8", "title": "Rechtspflege und demokratische Prozesse"} ], "sources": [ {"type": "article", "ref": "Anhang III Nr. 8 AI Act"} ], "category": "Compliance", "responsible": "KI-Verantwortlicher", "sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"}, "evidence": [ "Justiz-KI-Einsatzkonzept", "Human-Oversight-Nachweis", "Transparenzbericht Justiz-KI" ], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.07", "TOM.GOV.08", "TOM.GOV.10"], "valid_from": "2024-08-01", "valid_until": null, "version": "1.0" } ], "controls": [ { "id": "AIACT-CTRL-001", "name": "KI-Inventar", "description": "Fuehrung eines vollstaendigen Inventars aller KI-Systeme", "category": "Governance", "what_to_do": "Erfassung aller KI-Systeme mit Risikoeinstufung, Zweck, Anbieter, Betreiber", "iso27001_mapping": ["A.8.1"], "priority": "kritisch" }, { "id": "AIACT-CTRL-002", "name": "KI-Governance-Struktur", "description": "Etablierung einer KI-Governance mit klaren Verantwortlichkeiten", "category": "Governance", "what_to_do": "Benennung eines KI-Verantwortlichen, Einrichtung eines KI-Boards", "priority": "hoch" }, { "id": "AIACT-CTRL-003", "name": "Bias-Testing und Fairness", "description": "Regelmaessige Pruefung auf Verzerrungen und Diskriminierung", "category": "Technisch", "what_to_do": "Implementierung von Bias-Detection, Fairness-Metriken, Datensatz-Audits", "priority": "hoch" }, { "id": "AIACT-CTRL-004", "name": "Model Monitoring", "description": "Kontinuierliche Ueberwachung der KI-Modellleistung", "category": "Technisch", "what_to_do": "Drift-Detection, Performance-Monitoring, Anomalie-Erkennung", "priority": "hoch" }, { "id": "AIACT-CTRL-005", "name": "KI-Risikobewertungs-Prozess", "description": "Etablierung eines strukturierten Prozesses zur Risikobewertung", "category": "Governance", "what_to_do": "Pre-Deployment Assessment, regelmaessige Re-Evaluation, Eskalationsprozess", "priority": "kritisch" }, { "id": "AIACT-CTRL-006", "name": "Explainability-Framework", "description": "Implementierung von Erklaerbarkeit fuer KI-Entscheidungen", "category": "Technisch", "what_to_do": "SHAP/LIME Integration, Entscheidungsprotokollierung, Nutzererklaerungen", "priority": "mittel" } ], "incident_deadlines": [ { "phase": "Schwerwiegender Vorfall melden", "deadline": "unverzueglich", "content": "Meldung schwerwiegender Vorfaelle bei Hochrisiko-KI-Systemen: Tod oder schwere Gesundheitsschaeden, schwerwiegende Grundrechtsverletzungen, schwere Schaeden an Eigentum oder Umwelt.", "recipient": "Zustaendige Marktaufsichtsbehoerde", "legal_basis": [ {"norm": "Art. 73 AI Act"} ] }, { "phase": "Fehlfunktion melden (Anbieter)", "deadline": "15 Tage", "content": "Anbieter von Hochrisiko-KI melden Fehlfunktionen, die einen schwerwiegenden Vorfall darstellen koennten.", "recipient": "Marktaufsichtsbehoerde des Herkunftslandes", "legal_basis": [ {"norm": "Art. 73 Abs. 1 AI Act"} ] } ] }