Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
38e278ee3c8f102578061385314d5587f99ae0b4
breakpilot-compliance/ai-compliance-sdk/policies/obligations/v2/ai_act_v2.json
Benjamin Admin 38e278ee3c
All checks were successful
CI / go-lint (push) Has been skipped
Details
CI / python-lint (push) Has been skipped
Details
CI / nodejs-lint (push) Has been skipped
Details
CI / test-go-ai-compliance (push) Successful in 32s
Details
CI / test-python-backend-compliance (push) Successful in 29s
Details
CI / test-python-document-crawler (push) Successful in 20s
Details
CI / test-python-dsms-gateway (push) Successful in 18s
Details
feat(ucca): Pflichtendatenbank v2 (325 Obligations), Trigger-Engine, TOM-Control-Mapping 
- 9 Regulation-JSON-Dateien (DSGVO 80, AI Act 60, NIS2 40, BDSG 30, TTDSG 20, DSA 35, Data Act 25, EU-Maschinen 15, DORA 20)
- Condition-Tree-Engine fuer automatische Pflichtenselektion (all_of/any_of, 80+ Field-Paths)
- Generischer JSONRegulationModule-Loader mit YAML-Fallback
- Bidirektionales TOM-Control-Mapping (291 Obligation→Control, 92 Control→Obligation)
- Gap-Analyse-Engine (Compliance-%, Priority Actions, Domain Breakdown)
- ScopeDecision→UnifiedFacts Bridge fuer Auto-Profiling
- 4 neue API-Endpoints (assess-from-scope, tom-controls, gap-analysis, reverse-lookup)
- Frontend: Auto-Profiling Button, Regulation-Filter Chips, TOM-Panel, Gap-Analyse-View
- 18 Unit Tests (Condition Engine, v2 Loader, TOM Mapper)

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-03-05 14:51:44 +01:00

1935 lines
78 KiB
JSON
Raw Blame History

{
"regulation": "ai_act",
"name": "AI Act (EU KI-Verordnung)",
"description": "EU-Verordnung 2024/1689 zur Festlegung harmonisierter Vorschriften fuer kuenstliche Intelligenz",
"version": "2.0",
"effective_date": "2024-08-01",
"obligations": [
{
"id": "AIACT-OBL-001",
"title": "Verbotene KI-Praktiken vermeiden",
"description": "Sicherstellung, dass keine verbotenen KI-Praktiken eingesetzt werden: Social Scoring durch oeffentliche Stellen, Ausnutzung von Schwaechen (Alter, Behinderung), unterschwellige Manipulation, biometrische Echtzeit-Fernidentifizierung (mit Ausnahmen), Emotionserkennung am Arbeitsplatz/in Bildung, biometrische Kategorisierung nach sensitiven Merkmalen.",
"applies_when": "uses_ai",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.uses_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 5", "title": "Verbotene Praktiken im KI-Bereich"}
],
"sources": [
{"type": "article", "ref": "Art. 5 AI Act"}
],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "35 Mio. EUR oder 7% Jahresumsatz"},
"evidence": [
"KI-Inventar mit Risikobewertung",
"Dokumentierte Pruefung auf verbotene Praktiken"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-002",
"title": "Risikomanagementsystem fuer Hochrisiko-KI",
"description": "Einrichtung eines Risikomanagementsystems fuer Hochrisiko-KI-Systeme: Ermittlung und Analyse bekannter und vorhersehbarer Risiken, Schaetzung und Bewertung der Risiken, Risikominderungsmassnahmen, kontinuierliche Ueberwachung und Aktualisierung.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 9", "title": "Risikomanagementsystem"}
],
"sources": [
{"type": "article", "ref": "Art. 9 AI Act"}
],
"category": "Governance",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Risikomanagement-Dokumentation",
"Risikobewertungen pro KI-System",
"Massnahmenplan"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.03", "TOM.GOV.04"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-003",
"title": "Daten-Governance fuer Hochrisiko-KI",
"description": "Anforderungen an Trainings-, Validierungs- und Testdaten: Relevante Design-Entscheidungen, Datenerhebung und Datenherkunft, Vorverarbeitung (Annotation, Labelling, Bereinigung), Erkennung und Behebung von Verzerrungen (Bias), Identifizierung von Datenluecken.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 10", "title": "Daten und Daten-Governance"}
],
"sources": [
{"type": "article", "ref": "Art. 10 AI Act"}
],
"category": "Technisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Datensatzdokumentation",
"Bias-Analyse-Berichte",
"Datenqualitaetsnachweise"
],
"priority": "hoch",
"tom_control_ids": ["TOM.DATA.01", "TOM.DATA.02", "TOM.DATA.03"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-004",
"title": "Technische Dokumentation erstellen",
"description": "Erstellung umfassender technischer Dokumentation vor Inverkehrbringen: Allgemeine Beschreibung des KI-Systems, Design-Spezifikationen, Entwicklungsprozess, Leistungsmetriken, Risikomanagement-Dokumentation gemaess Anhang IV.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 11", "title": "Technische Dokumentation"},
{"norm": "AI Act", "article": "Anhang IV", "title": "Technische Dokumentation gemaess Art. 11"}
],
"sources": [
{"type": "article", "ref": "Art. 11 AI Act"},
{"type": "article", "ref": "Anhang IV AI Act"}
],
"category": "Dokumentation",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Technische Dokumentation nach Anhang IV",
"Systemarchitektur-Dokumentation",
"Algorithmus-Beschreibung"
],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.05", "TOM.SDLC.01"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-005",
"title": "Protokollierungsfunktion implementieren",
"description": "Hochrisiko-KI-Systeme muessen automatische Protokolle (Logs) erstellen: Nutzungszeitraum, Referenzdatenbank, Eingabedaten, Identitaet der verifizierenden Personen. Aufbewahrung mindestens 6 Monate.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 12", "title": "Aufzeichnungspflichten"}
],
"sources": [
{"type": "article", "ref": "Art. 12 AI Act"}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Log-System-Dokumentation",
"Beispiel-Logs",
"Aufbewahrungsrichtlinie"
],
"priority": "hoch",
"tom_control_ids": ["TOM.LOG.01", "TOM.LOG.02", "TOM.LOG.03"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-006",
"title": "Transparenz und Nutzerinformation",
"description": "Bereitstellung klarer Informationen fuer Betreiber (Deployer): Gebrauchsanweisungen, Eigenschaften und Grenzen des Systems, Leistungsniveau und Genauigkeit, vorhersehbare Fehlnutzungen.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 13", "title": "Transparenz und Information fuer Betreiber"}
],
"sources": [
{"type": "article", "ref": "Art. 13 AI Act"}
],
"category": "Organisatorisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Gebrauchsanweisung",
"Leistungsdokumentation",
"Warnhinweise"
],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.06", "TOM.OPS.01"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-007",
"title": "Menschliche Aufsicht sicherstellen",
"description": "Hochrisiko-KI muss menschliche Aufsicht ermoeglichen: Faehigkeiten und Grenzen verstehen, Ueberwachung des Betriebs, Interpretation der Ausgaben, Eingreifen oder Abbrechen koennen (Human-in-the-Loop / Human-on-the-Loop).",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 14", "title": "Menschliche Aufsicht"}
],
"sources": [
{"type": "article", "ref": "Art. 14 AI Act"}
],
"category": "Organisatorisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Aufsichtskonzept",
"Schulungsnachweise fuer Bediener",
"Notfall-Abschaltprozedur"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.07", "TOM.HR.01", "TOM.OPS.02"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-008",
"title": "Genauigkeit, Robustheit und Cybersicherheit",
"description": "Hochrisiko-KI muss waehrend des gesamten Lebenszyklus angemessene Genauigkeit aufweisen, robust gegen Fehler und Inkonsistenzen sein und Cyberangriffe verhindern koennen (Adversarial Attacks, Data Poisoning, Model Manipulation).",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 15", "title": "Genauigkeit, Robustheit und Cybersicherheit"}
],
"sources": [
{"type": "article", "ref": "Art. 15 AI Act"}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Genauigkeits-Metriken und Tests",
"Robustheitstests",
"Security-Assessment",
"Penetrationstest-Bericht"
],
"priority": "hoch",
"tom_control_ids": ["TOM.SDLC.02", "TOM.NET.01", "TOM.CRYPTO.01"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-009",
"title": "Betreiberpflichten fuer Hochrisiko-KI",
"description": "Betreiber (Deployer) von Hochrisiko-KI muessen: Geeignete technische und organisatorische Massnahmen treffen, Eingabedaten auf Relevanz pruefen, Betrieb ueberwachen, Protokolle aufbewahren, betroffene Personen informieren.",
"applies_when": "high_risk_deployer",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_deployer", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 26", "title": "Pflichten der Betreiber"}
],
"sources": [
{"type": "article", "ref": "Art. 26 AI Act"}
],
"category": "Organisatorisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Betriebskonzept",
"Eingabedaten-Pruefung",
"Monitoring-Dokumentation"
],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.03", "TOM.OPS.04", "TOM.LOG.04"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-010",
"title": "Grundrechte-Folgenabschaetzung",
"description": "Betreiber von Hochrisiko-KI in sensiblen Bereichen muessen vor Einsatz eine Grundrechte-Folgenabschaetzung durchfuehren (FRIA - Fundamental Rights Impact Assessment). Dies gilt fuer oeffentliche Stellen und private Betreiber in kritischen Bereichen.",
"applies_when": "high_risk_deployer_fria",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_deployer", "operator": "EQUALS", "value": true},
{"field": "organization.is_public_authority", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 27", "title": "Grundrechte-Folgenabschaetzung fuer Hochrisiko-KI-Systeme"}
],
"sources": [
{"type": "article", "ref": "Art. 27 AI Act"}
],
"category": "Governance",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"FRIA-Dokumentation",
"Risikobewertung Grundrechte",
"Abhilfemassnahmen"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.08", "TOM.GOV.09"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-011",
"title": "Transparenzpflichten fuer KI-Interaktionen",
"description": "Bei KI-Systemen, die mit natuerlichen Personen interagieren: Kennzeichnung der KI-Interaktion, Information dass Inhalte KI-generiert sind, Kennzeichnung von Deep Fakes.",
"applies_when": "limited_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.limited_risk_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 50", "title": "Transparenzpflichten fuer bestimmte KI-Systeme"}
],
"sources": [
{"type": "article", "ref": "Art. 50 AI Act"}
],
"category": "Organisatorisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Kennzeichnungskonzept",
"Nutzerhinweise",
"Deep-Fake-Kennzeichnung"
],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.10", "TOM.OPS.05"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-012",
"title": "GPAI-Modell Dokumentation",
"description": "Anbieter von GPAI-Modellen (General Purpose AI) muessen: Technische Dokumentation erstellen und aktualisieren, Informationen fuer nachgelagerte Anbieter bereitstellen, Urheberrechtsrichtlinie einhalten, Trainingsdaten-Zusammenfassung veroeffentlichen.",
"applies_when": "gpai_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.is_gpai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 53", "title": "Pflichten der Anbieter von KI-Modellen mit allgemeinem Verwendungszweck"}
],
"sources": [
{"type": "article", "ref": "Art. 53 AI Act"}
],
"category": "Dokumentation",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"GPAI-Dokumentation",
"Trainingsdaten-Summary",
"Urheberrechts-Policy"
],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.11", "TOM.DATA.04"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-013",
"title": "GPAI mit systemischem Risiko",
"description": "GPAI-Modelle mit systemischem Risiko (>10^25 FLOP Training) haben zusaetzliche Pflichten: Modellbewertung nach Protokollen, Bewertung und Minderung systemischer Risiken, Dokumentation von Vorfaellen, angemessene Cybersicherheit.",
"applies_when": "gpai_systemic_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.is_gpai_provider", "operator": "EQUALS", "value": true},
{"field": "ai_usage.gpai_systemic_risk", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 55", "title": "Pflichten der Anbieter von KI-Modellen mit allgemeinem Verwendungszweck mit systemischem Risiko"}
],
"sources": [
{"type": "article", "ref": "Art. 55 AI Act"}
],
"category": "Technisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "35 Mio. EUR oder 7% Jahresumsatz"},
"evidence": [
"Systemische Risikobewertung",
"Red-Teaming-Berichte",
"Incident-Dokumentation"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.12", "TOM.NET.02", "TOM.SDLC.03"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-014",
"title": "EU-Datenbank-Registrierung",
"description": "Registrierung in der EU-Datenbank fuer Hochrisiko-KI-Systeme: Anbieter vor Inverkehrbringen, Betreiber vor Inbetriebnahme bei bestimmten Kategorien (Annex III).",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 49", "title": "Registrierung"},
{"norm": "AI Act", "article": "Art. 60", "title": "EU-Datenbank fuer Hochrisiko-KI-Systeme"}
],
"sources": [
{"type": "article", "ref": "Art. 49 AI Act"},
{"type": "article", "ref": "Art. 60 AI Act"}
],
"category": "Meldepflicht",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Registrierungsbestaetigung",
"EU-Datenbank-Eintrag"
],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.13"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-015",
"title": "KI-Kompetenz sicherstellen",
"description": "Anbieter und Betreiber muessen sicherstellen, dass Personal mit ausreichender KI-Kompetenz ausgestattet ist. Dies umfasst Schulungen und Sensibilisierung fuer Risiken und ethische Aspekte der KI-Nutzung.",
"applies_when": "uses_ai",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.uses_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 4", "title": "KI-Kompetenz"}
],
"sources": [
{"type": "article", "ref": "Art. 4 AI Act"}
],
"category": "Schulung",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "7,5 Mio. EUR oder 1% Jahresumsatz"},
"evidence": [
"Schulungsnachweise",
"Kompetenzmatrix",
"Awareness-Programm"
],
"priority": "mittel",
"tom_control_ids": ["TOM.HR.02", "TOM.HR.03"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-016",
"title": "Klassifizierung als Hochrisiko-KI-System",
"description": "Pruefung ob ein KI-System als Hochrisiko einzustufen ist anhand der Kriterien in Art. 6 und Anhang III. Systeme die in mindestens eine der 8 Hochrisiko-Kategorien fallen, unterliegen den erweiterten Pflichten.",
"applies_when": "uses_ai",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.uses_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 6", "title": "Klassifizierungsregeln fuer Hochrisiko-KI-Systeme"},
{"norm": "AI Act", "article": "Anhang III", "title": "Hochrisiko-KI-Systeme gemaess Art. 6 Abs. 2"}
],
"sources": [
{"type": "article", "ref": "Art. 6 AI Act"},
{"type": "article", "ref": "Anhang III AI Act"}
],
"category": "Governance",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Klassifizierungsbericht je KI-System",
"Anhang-III-Pruefung dokumentiert",
"Entscheidungsmatrix Risikoeinstufung"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.03"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-017",
"title": "Aenderungen der Hochrisiko-Liste ueberwachen",
"description": "Kontinuierliche Ueberwachung von Aenderungen an Anhang III durch delegierte Rechtsakte der EU-Kommission. Neue Hochrisiko-Kategorien koennen hinzugefuegt werden, bestehende Systeme muessen ggf. neu klassifiziert werden.",
"applies_when": "uses_ai",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.uses_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 7", "title": "Aenderungen des Anhangs III"}
],
"sources": [
{"type": "article", "ref": "Art. 7 AI Act"}
],
"category": "Governance",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Monitoring-Prozess fuer regulatorische Aenderungen",
"Re-Klassifizierungsprotokolle"
],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-018",
"title": "Einhaltung der Anforderungen Kapitel III Abschnitt 2",
"description": "Hochrisiko-KI-Systeme muessen die Anforderungen aus Art. 8-15 vollstaendig erfuellen. Anbieter muessen ein System einrichten, das die Einhaltung aller Anforderungen sicherstellt und dokumentiert.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 8", "title": "Einhaltung der Anforderungen"}
],
"sources": [
{"type": "article", "ref": "Art. 8 AI Act"}
],
"category": "Compliance",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Compliance-Checkliste Art. 8-15",
"Nachweis der Anforderungserfuellung",
"Gap-Analyse"
],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.04", "TOM.GOV.05"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-019",
"title": "Allgemeine Anbieterpflichten Hochrisiko-KI",
"description": "Anbieter von Hochrisiko-KI-Systemen muessen: Compliance mit Anforderungen sicherstellen, Kontaktdaten angeben, QMS einrichten, Dokumentation aufbewahren, Konformitaetsbewertung durchfuehren, CE-Kennzeichnung anbringen, Registrierungspflicht erfuellen.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 16", "title": "Pflichten der Anbieter von Hochrisiko-KI-Systemen"}
],
"sources": [
{"type": "article", "ref": "Art. 16 AI Act"}
],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Anbieter-Compliance-Nachweis",
"QMS-Dokumentation",
"Konformitaetserklaerung"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.05", "TOM.GOV.14"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-020",
"title": "Qualitaetsmanagementsystem einrichten",
"description": "Anbieter von Hochrisiko-KI muessen ein QMS einrichten und dokumentieren: Compliance-Strategie, Design- und Entwicklungskontrolle, Qualitaetssicherung, Datenmanagement, Risikomanagement-Integration, Post-Market-Monitoring, Vorfallmeldung, Kommunikation mit Behoerden.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 17", "title": "Qualitaetsmanagementsystem"}
],
"sources": [
{"type": "article", "ref": "Art. 17 AI Act"}
],
"category": "Governance",
"responsible": "Qualitaetsmanagement",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"QMS-Handbuch",
"Prozessbeschreibungen",
"Audit-Berichte QMS",
"Management-Review-Protokolle"
],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.14", "TOM.GOV.15", "TOM.SDLC.04"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-021",
"title": "Dokumentationsaufbewahrung",
"description": "Technische Dokumentation, QMS-Dokumentation, Konformitaetsbewertung und EU-Konformitaetserklaerung muessen mindestens 10 Jahre nach Inverkehrbringen aufbewahrt werden. Auf Anfrage den Behoerden zugaenglich machen.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 18", "title": "Dokumentationspflichten"}
],
"sources": [
{"type": "article", "ref": "Art. 18 AI Act"}
],
"category": "Dokumentation",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Aufbewahrungsrichtlinie",
"Archivierungssystem-Nachweis",
"Zugangsprotokoll fuer Behoerden"
],
"priority": "hoch",
"tom_control_ids": ["TOM.DATA.05", "TOM.DATA.06"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-022",
"title": "Konformitaetsbewertung durchfuehren",
"description": "Vor Inverkehrbringen oder Inbetriebnahme eines Hochrisiko-KI-Systems muss eine Konformitaetsbewertung gemaess Art. 43 durchgefuehrt werden. Bei biometrischen Systemen ist eine Drittbewertung durch notifizierte Stelle erforderlich.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 19", "title": "Konformitaetsbewertung"},
{"norm": "AI Act", "article": "Art. 43", "title": "Konformitaetsbewertungsverfahren"}
],
"sources": [
{"type": "article", "ref": "Art. 19 AI Act"},
{"type": "article", "ref": "Art. 43 AI Act"}
],
"category": "Audit",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Konformitaetsbewertungsbericht",
"Zertifikat notifizierte Stelle (falls zutreffend)",
"Interne Audit-Dokumentation"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.04", "TOM.GOV.14"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-023",
"title": "Automatisch generierte Logs bereitstellen",
"description": "Anbieter von Hochrisiko-KI-Systemen muessen sicherstellen, dass automatisch generierte Logs gespeichert und auf Anfrage den Betreibern und Behoerden bereitgestellt werden koennen. Logs muessen die Rueckverfolgbarkeit des Systemverhaltens ermoeglichen.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 20", "title": "Automatisch generierte Protokolle"}
],
"sources": [
{"type": "article", "ref": "Art. 20 AI Act"}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Log-Export-Funktion",
"Protokoll-Zugriffskonzept",
"Behoerden-Schnittstelle"
],
"priority": "hoch",
"tom_control_ids": ["TOM.LOG.01", "TOM.LOG.05", "TOM.LOG.06"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-024",
"title": "Korrekturmassnahmen ergreifen",
"description": "Anbieter muessen bei Nicht-Konformitaet unverzueglich Korrekturmassnahmen ergreifen: System in Konformitaet bringen, vom Markt nehmen oder zurueckrufen. Behoerden und ggf. Betreiber sind zu informieren.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 21", "title": "Korrekturmassnahmen und Informationspflicht"}
],
"sources": [
{"type": "article", "ref": "Art. 21 AI Act"}
],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Korrekturmassnahmen-Prozess",
"Rueckruf-Verfahren",
"Behoerden-Meldungen"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.OPS.06", "TOM.BCP.01"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-025",
"title": "Informationspflichten gegenueber Behoerden",
"description": "Auf begruendetes Verlangen der Marktaufsichtsbehoerde muessen Anbieter alle erforderlichen Informationen und Dokumentation bereitstellen, einschliesslich Zugang zu automatisch generierten Logs. Zusammenarbeit in der Landessprache.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 22", "title": "Informationspflichten"},
{"norm": "AI Act", "article": "Art. 23", "title": "Zusammenarbeit mit Behoerden"}
],
"sources": [
{"type": "article", "ref": "Art. 22 AI Act"},
{"type": "article", "ref": "Art. 23 AI Act"}
],
"category": "Meldepflicht",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Behoerden-Kommunikationsprotokoll",
"Informationsbereitstellungs-Prozess",
"Ansprechpartner-Benennung"
],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.06", "TOM.GOV.13"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-026",
"title": "Bevollmaechtigten benennen",
"description": "Anbieter mit Sitz ausserhalb der EU muessen vor Inverkehrbringen einen Bevollmaechtigten in der EU benennen. Der Bevollmaechtigte muss ueber ausreichende Befugnisse verfuegen und die Konformitaetsdokumentation vorhalten.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 24", "title": "Pflichten der Bevollmaechtigten"}
],
"sources": [
{"type": "article", "ref": "Art. 24 AI Act"}
],
"category": "Organisatorisch",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Bevollmaechtigten-Vertrag",
"Vollmacht-Dokumentation",
"Kontaktdaten EU-Bevollmaechtigter"
],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.VENDOR.01"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-027",
"title": "Importeur-Pflichten einhalten",
"description": "Importeure von Hochrisiko-KI-Systemen muessen sicherstellen: Konformitaetsbewertung durchgefuehrt, technische Dokumentation vorhanden, CE-Kennzeichnung angebracht, Gebrauchsanweisung beigefuegt. Namen und Kontaktdaten auf dem System oder Verpackung anbringen.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 25", "title": "Pflichten der Einführer"}
],
"sources": [
{"type": "article", "ref": "Art. 25 AI Act"}
],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Importeur-Pruefprotokoll",
"Konformitaetserklaerung des Anbieters",
"CE-Kennzeichnungsnachweis"
],
"priority": "hoch",
"tom_control_ids": ["TOM.VENDOR.02", "TOM.VENDOR.03"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-028",
"title": "Deployer-Pflicht: Eingabedaten-Kontrolle",
"description": "Betreiber von Hochrisiko-KI muessen sicherstellen, dass Eingabedaten relevant und hinreichend repraesentativ fuer den Verwendungszweck sind. Regelmaessige Pruefung der Datenqualitaet.",
"applies_when": "high_risk_deployer",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_deployer", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 26 Abs. 4", "title": "Eingabedatenkontrolle durch Betreiber"}
],
"sources": [
{"type": "article", "ref": "Art. 26 Abs. 4 AI Act"}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Eingabedaten-Qualitaetspruefung",
"Datenvalidierungsprotokolle",
"Repraesentativitaets-Analyse"
],
"priority": "hoch",
"tom_control_ids": ["TOM.DATA.07", "TOM.DATA.08"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-029",
"title": "Deployer-Pflicht: Monitoring und Protokollaufbewahrung",
"description": "Betreiber muessen den Betrieb von Hochrisiko-KI ueberwachen und automatisch generierte Protokolle mindestens 6 Monate aufbewahren. Bei Risiken oder schwerwiegenden Vorfaellen unverzueglich den Anbieter und die Behoerden informieren.",
"applies_when": "high_risk_deployer",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_deployer", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 26 Abs. 5", "title": "Monitoring-Pflicht der Betreiber"}
],
"sources": [
{"type": "article", "ref": "Art. 26 Abs. 5 AI Act"}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Monitoring-Dashboard",
"Log-Aufbewahrungsnachweis",
"Eskalationsprozess-Dokumentation"
],
"priority": "hoch",
"tom_control_ids": ["TOM.LOG.04", "TOM.LOG.07", "TOM.OPS.07"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-030",
"title": "Deployer-Pflicht: Information betroffener Personen",
"description": "Betreiber von Hochrisiko-KI muessen natuerliche Personen informieren, dass sie einer Entscheidung unterliegen, die auf dem Einsatz eines Hochrisiko-KI-Systems beruht. Dies gilt insbesondere in den Bereichen Beschaeftigung, Bildung und oeffentliche Dienstleistungen.",
"applies_when": "high_risk_deployer",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_deployer", "operator": "EQUALS", "value": true},
{"field": "ai_usage.ai_makes_decisions", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 26 Abs. 7", "title": "Informationspflicht gegenueber betroffenen Personen"}
],
"sources": [
{"type": "article", "ref": "Art. 26 Abs. 7 AI Act"}
],
"category": "Organisatorisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Informationsschreiben-Vorlagen",
"Nachweis der Benachrichtigung",
"Datenschutzerklaerung mit KI-Hinweis"
],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.10", "TOM.OPS.05"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-031",
"title": "Deployer-Pflicht: DSFA bei Hochrisiko-KI",
"description": "Betreiber muessen vor Einsatz von Hochrisiko-KI eine Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO durchfuehren, soweit personenbezogene Daten verarbeitet werden. Die FRIA nach Art. 27 AI Act kann dabei beruecksichtigt werden.",
"applies_when": "high_risk_deployer",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_deployer", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 26 Abs. 9", "title": "DSFA-Pflicht fuer Betreiber"},
{"norm": "DSGVO", "article": "Art. 35", "title": "Datenschutz-Folgenabschaetzung"}
],
"sources": [
{"type": "article", "ref": "Art. 26 Abs. 9 AI Act"},
{"type": "article", "ref": "Art. 35 DSGVO"}
],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"DSFA-Bericht",
"FRIA-Integration",
"Massnahmenplan"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.08", "TOM.GOV.09"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-032",
"title": "Deployer wird zum Anbieter",
"description": "Ein Betreiber wird zum Anbieter, wenn er: seinen Namen/Marke auf ein Hochrisiko-KI-System setzt, wesentliche Aenderungen vornimmt oder den Verwendungszweck aendert. In diesem Fall gelten alle Anbieterpflichten.",
"applies_when": "high_risk_deployer",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_deployer", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 26 Abs. 10", "title": "Betreiber als Anbieter"}
],
"sources": [
{"type": "article", "ref": "Art. 26 Abs. 10 AI Act"}
],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Pruefung Anbieter-Status",
"Aenderungsprotokoll KI-System",
"Umklassifizierungsentscheidung"
],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.03"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-033",
"title": "Haendlerpflichten einhalten",
"description": "Haendler von Hochrisiko-KI-Systemen muessen vor Bereitstellung pruefen: CE-Kennzeichnung, Konformitaetserklaerung, Gebrauchsanweisung, Konformitaet mit Art. 16. Bei Risiken unverzueglich Anbieter und Marktaufsicht informieren.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 28", "title": "Pflichten der Haendler"}
],
"sources": [
{"type": "article", "ref": "Art. 28 AI Act"}
],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Haendler-Checkliste",
"Eingangs-Pruefprotokoll",
"Lieferanten-Dokumentation"
],
"priority": "mittel",
"tom_control_ids": ["TOM.VENDOR.04", "TOM.VENDOR.05"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-034",
"title": "Pflichten in der Wertschoepfungskette",
"description": "Dritte, die Werkzeuge, Dienste, Komponenten oder Prozesse fuer Hochrisiko-KI bereitstellen, muessen mit dem Anbieter zusammenarbeiten und alle relevanten Informationen bereitstellen. Schriftliche Vereinbarungen sind erforderlich.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 29", "title": "Pflichten von Dritten in der Wertschoepfungskette"}
],
"sources": [
{"type": "article", "ref": "Art. 29 AI Act"}
],
"category": "Organisatorisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Lieferantenvertraege",
"Informationsaustausch-Protokolle",
"Supply-Chain-Due-Diligence"
],
"priority": "mittel",
"tom_control_ids": ["TOM.VENDOR.06", "TOM.VENDOR.07"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-035",
"title": "Konformitaetsbewertungsstellen nutzen",
"description": "Fuer bestimmte Hochrisiko-KI-Systeme (insb. biometrische Identifizierung) muss die Konformitaetsbewertung durch eine notifizierte Stelle (Conformity Assessment Body) durchgefuehrt werden. Die Stelle muss unabhaengig und akkreditiert sein.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true},
{"field": "ai_usage.uses_biometric_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 43", "title": "Konformitaetsbewertungsstellen"}
],
"sources": [
{"type": "article", "ref": "Art. 43 AI Act"}
],
"category": "Audit",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Notifizierte-Stelle-Beauftragung",
"Akkreditierungsnachweis",
"Bewertungsbericht der notifizierten Stelle"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.14", "TOM.GOV.15"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-036",
"title": "EU-Konformitaetserklaerung ausstellen",
"description": "Anbieter muessen fuer jedes Hochrisiko-KI-System eine EU-Konformitaetserklaerung gemaess Anhang V ausstellen. Diese muss Name und Adresse des Anbieters, KI-System-Identifikation, angewandte harmonisierte Normen und Konformitaetsbewertungsergebnis enthalten.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 47", "title": "EU-Konformitaetserklaerung"},
{"norm": "AI Act", "article": "Anhang V", "title": "Inhalt der EU-Konformitaetserklaerung"}
],
"sources": [
{"type": "article", "ref": "Art. 47 AI Act"},
{"type": "article", "ref": "Anhang V AI Act"}
],
"category": "Dokumentation",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"EU-Konformitaetserklaerung nach Anhang V",
"Unterschriebene Erklaerung",
"Verzeichnis der KI-Systeme mit Erklaerungen"
],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.05", "TOM.GOV.14"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-037",
"title": "CE-Kennzeichnung anbringen",
"description": "Hochrisiko-KI-Systeme muessen mit der CE-Kennzeichnung versehen werden, bevor sie in Verkehr gebracht werden. Die Kennzeichnung muss sichtbar, lesbar und dauerhaft sein. Bei Software wird sie in der digitalen Schnittstelle angebracht.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 48", "title": "CE-Kennzeichnung"}
],
"sources": [
{"type": "article", "ref": "Art. 48 AI Act"}
],
"category": "Compliance",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"CE-Kennzeichnungsnachweis",
"Screenshot digitale Schnittstelle",
"Produktdokumentation"
],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.05"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-038",
"title": "Registrierungspflicht fuer Betreiber",
"description": "Betreiber von Hochrisiko-KI-Systemen in bestimmten Bereichen (Annex III Nr. 1-5, 8) muessen sich und das System in der EU-Datenbank registrieren, bevor sie das System in Betrieb nehmen.",
"applies_when": "high_risk_deployer",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_deployer", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 49 Abs. 3", "title": "Registrierungspflicht der Betreiber"}
],
"sources": [
{"type": "article", "ref": "Art. 49 Abs. 3 AI Act"}
],
"category": "Meldepflicht",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Betreiber-Registrierungsbestaetigung",
"EU-Datenbank-Eintrag"
],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.13"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-039",
"title": "Transparenz bei Emotionserkennung",
"description": "Betreiber von KI-Systemen zur Emotionserkennung muessen betroffene Personen ueber den Betrieb des Systems informieren. Gilt nicht fuer Systeme, die gesetzlich zur Aufdeckung von Straftaten zugelassen sind.",
"applies_when": "limited_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.uses_emotion_recognition", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 50 Abs. 3", "title": "Transparenz bei Emotionserkennung"}
],
"sources": [
{"type": "article", "ref": "Art. 50 Abs. 3 AI Act"}
],
"category": "Organisatorisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Informationshinweis Emotionserkennung",
"Einwilligungsnachweis",
"Aushang oder digitaler Hinweis"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.10", "TOM.OPS.05"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-040",
"title": "Kennzeichnung von Deep Fakes",
"description": "Anbieter und Betreiber muessen kuenstlich erzeugte oder manipulierte Bild-, Audio- oder Videoinhalte (Deep Fakes) als kuenstlich erzeugt oder manipuliert kennzeichnen. Die Kennzeichnung muss maschinenlesbar sein.",
"applies_when": "limited_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.uses_deepfakes", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 50 Abs. 4", "title": "Kennzeichnung von Deep Fakes"}
],
"sources": [
{"type": "article", "ref": "Art. 50 Abs. 4 AI Act"}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Deep-Fake-Kennzeichnungssystem",
"Maschinenlesbare Metadaten",
"Wasserzeichen-Implementation"
],
"priority": "hoch",
"tom_control_ids": ["TOM.SDLC.05", "TOM.OPS.08"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-041",
"title": "Kennzeichnung generierter Inhalte",
"description": "Anbieter von KI-Systemen, die synthetische Text-, Bild-, Audio- oder Videoinhalte erzeugen, muessen sicherstellen, dass die Ausgaben in maschinenlesbarem Format als kuenstlich erzeugt gekennzeichnet sind.",
"applies_when": "limited_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.uses_generative_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 50 Abs. 2", "title": "Kennzeichnung KI-generierter Inhalte"}
],
"sources": [
{"type": "article", "ref": "Art. 50 Abs. 2 AI Act"}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Content-Watermarking-System",
"Metadaten-Standard (C2PA o.ae.)",
"Kennzeichnungs-Testbericht"
],
"priority": "hoch",
"tom_control_ids": ["TOM.SDLC.05", "TOM.SDLC.06"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-042",
"title": "GPAI: Informationen fuer nachgelagerte Anbieter",
"description": "Anbieter von GPAI-Modellen muessen nachgelagerten Anbietern ausreichende Informationen bereitstellen, damit diese ihren Pflichten nachkommen koennen: Faehigkeiten, Grenzen, Risiken und Gebrauchsanweisungen.",
"applies_when": "gpai_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.is_gpai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 53 Abs. 1 lit. b", "title": "Informationspflicht GPAI-Anbieter"}
],
"sources": [
{"type": "article", "ref": "Art. 53 Abs. 1 lit. b AI Act"}
],
"category": "Dokumentation",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Downstream-Provider-Dokumentation",
"Modellkarte (Model Card)",
"API-Dokumentation mit Limitierungen"
],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.11", "TOM.SDLC.07"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-043",
"title": "GPAI: Urheberrechts-Policy",
"description": "Anbieter von GPAI-Modellen muessen eine Richtlinie zur Einhaltung des Urheberrechts aufstellen und oeffentlich zugaenglich machen, insbesondere hinsichtlich der Trainingsdaten. Opt-out-Mechanismen fuer Rechteinhaber muessen unterstuetzt werden.",
"applies_when": "gpai_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.is_gpai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 53 Abs. 1 lit. c", "title": "Urheberrechtspolitik GPAI"}
],
"sources": [
{"type": "article", "ref": "Art. 53 Abs. 1 lit. c AI Act"}
],
"category": "Governance",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Urheberrechts-Policy veroeffentlicht",
"Opt-out-Mechanismus dokumentiert",
"Trainingsdaten-Compliance-Bericht"
],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.11", "TOM.DATA.09"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-044",
"title": "GPAI: Trainingsdaten-Zusammenfassung",
"description": "Anbieter von GPAI-Modellen muessen eine hinreichend detaillierte Zusammenfassung der Trainingsdaten erstellen und oeffentlich zugaenglich machen. Das AI Office stellt ein Template hierfuer bereit.",
"applies_when": "gpai_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.is_gpai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 53 Abs. 1 lit. d", "title": "Trainingsdaten-Zusammenfassung"}
],
"sources": [
{"type": "article", "ref": "Art. 53 Abs. 1 lit. d AI Act"}
],
"category": "Dokumentation",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Trainingsdaten-Zusammenfassung (AI Office Template)",
"Veroeffentlichungsnachweis",
"Datenquellen-Verzeichnis"
],
"priority": "hoch",
"tom_control_ids": ["TOM.DATA.04", "TOM.DATA.10"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-045",
"title": "GPAI systemisch: Modellbewertung durchfuehren",
"description": "Anbieter von GPAI-Modellen mit systemischem Risiko muessen standardisierte Modellbewertungen nach dem aktuellen Stand der Technik durchfuehren, einschliesslich adversarialem Testing (Red Teaming).",
"applies_when": "gpai_systemic_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.is_gpai_provider", "operator": "EQUALS", "value": true},
{"field": "ai_usage.gpai_systemic_risk", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 55 Abs. 1 lit. a", "title": "Modellbewertung bei systemischem Risiko"}
],
"sources": [
{"type": "article", "ref": "Art. 55 Abs. 1 lit. a AI Act"}
],
"category": "Audit",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "35 Mio. EUR oder 7% Jahresumsatz"},
"evidence": [
"Modellbewertungsbericht",
"Red-Teaming-Protokolle",
"Benchmark-Ergebnisse"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.SDLC.08", "TOM.SDLC.09"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-046",
"title": "GPAI systemisch: Systemische Risiken bewerten und mindern",
"description": "Bewertung und Minderung moeglicher systemischer Risiken auf EU-Ebene, einschliesslich Risiken fuer oeffentliche Gesundheit, Sicherheit, Grundrechte und Gesellschaft. Dokumentation der Risikomassnahmen.",
"applies_when": "gpai_systemic_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.is_gpai_provider", "operator": "EQUALS", "value": true},
{"field": "ai_usage.gpai_systemic_risk", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 55 Abs. 1 lit. b", "title": "Bewertung systemischer Risiken"}
],
"sources": [
{"type": "article", "ref": "Art. 55 Abs. 1 lit. b AI Act"}
],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "35 Mio. EUR oder 7% Jahresumsatz"},
"evidence": [
"Systemische Risikobewertung",
"Minderungsmassnahmen-Plan",
"Impact-Assessment EU-Ebene"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.03", "TOM.GOV.12"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-047",
"title": "GPAI systemisch: Cybersicherheit gewaehrleisten",
"description": "Anbieter von GPAI-Modellen mit systemischem Risiko muessen ein angemessenes Niveau an Cybersicherheit fuer das Modell und die physische Infrastruktur gewaehrleisten.",
"applies_when": "gpai_systemic_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.is_gpai_provider", "operator": "EQUALS", "value": true},
{"field": "ai_usage.gpai_systemic_risk", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 55 Abs. 1 lit. d", "title": "Cybersicherheit GPAI"}
],
"sources": [
{"type": "article", "ref": "Art. 55 Abs. 1 lit. d AI Act"}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"sanctions": {"max_fine": "35 Mio. EUR oder 7% Jahresumsatz"},
"evidence": [
"Cybersicherheits-Assessment",
"Penetrationstest-Bericht",
"Infrastruktur-Security-Audit"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.NET.02", "TOM.NET.03", "TOM.CRYPTO.02"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-048",
"title": "GPAI systemisch: Vorfaelle an AI Office melden",
"description": "Anbieter von GPAI-Modellen mit systemischem Risiko muessen schwerwiegende Vorfaelle und Korrekturmassnahmen unverzueglich dem EU AI Office und den zustaendigen nationalen Behoerden melden.",
"applies_when": "gpai_systemic_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.is_gpai_provider", "operator": "EQUALS", "value": true},
{"field": "ai_usage.gpai_systemic_risk", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 55 Abs. 1 lit. c", "title": "Vorfallmeldung GPAI"}
],
"sources": [
{"type": "article", "ref": "Art. 55 Abs. 1 lit. c AI Act"}
],
"category": "Meldepflicht",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "35 Mio. EUR oder 7% Jahresumsatz"},
"evidence": [
"Incident-Response-Plan GPAI",
"Meldungen an AI Office",
"Korrekturmassnahmen-Dokumentation"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.BCP.02", "TOM.BCP.03"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-049",
"title": "AI Regulatory Sandbox Teilnahme",
"description": "Mitgliedstaaten richten KI-Reallabore (Regulatory Sandboxes) ein. Anbieter koennen in kontrollierter Umgebung innovative KI-Systeme testen. Teilnahme ist freiwillig, erfordert aber Einhaltung des Sandbox-Plans und Berichtspflichten.",
"applies_when": "uses_ai",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.uses_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 57", "title": "KI-Reallabore (Regulatory Sandboxes)"}
],
"sources": [
{"type": "article", "ref": "Art. 57 AI Act"}
],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "7,5 Mio. EUR oder 1% Jahresumsatz"},
"evidence": [
"Sandbox-Antrag (falls zutreffend)",
"Sandbox-Plan",
"Abschlussberichte"
],
"priority": "niedrig",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-050",
"title": "Post-Market-Monitoring einrichten",
"description": "Anbieter von Hochrisiko-KI muessen ein Post-Market-Monitoring-System einrichten, das systematisch und proaktiv relevante Daten ueber die Leistung des KI-Systems waehrend seiner gesamten Lebensdauer sammelt und analysiert.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 72", "title": "Post-Market-Monitoring durch Anbieter"}
],
"sources": [
{"type": "article", "ref": "Art. 72 AI Act"}
],
"category": "Technisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Post-Market-Monitoring-Plan",
"Monitoring-Berichte",
"Feedback-Erfassungssystem"
],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.09", "TOM.OPS.10"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-051",
"title": "Schwerwiegende Vorfaelle melden",
"description": "Anbieter und Betreiber von Hochrisiko-KI muessen schwerwiegende Vorfaelle unverzueglich der Marktaufsichtsbehoerde melden: Tod, schwere Gesundheitsschaeden, schwerwiegende Grundrechtsverletzungen, schwere Schaeden an Eigentum, Umwelt oder kritischer Infrastruktur.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 73", "title": "Meldung schwerwiegender Vorfaelle"}
],
"sources": [
{"type": "article", "ref": "Art. 73 AI Act"}
],
"category": "Meldepflicht",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Incident-Response-Plan",
"Meldeprozess dokumentiert",
"Behoerden-Kontaktliste",
"Meldeformulare vorbereitet"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.BCP.01", "TOM.BCP.02", "TOM.BCP.04"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-052",
"title": "Vertraulichkeit wahren",
"description": "Alle am AI-Act-Verfahren beteiligten Parteien muessen die Vertraulichkeit von Informationen und Daten wahren, die sie bei der Ausuebung ihrer Aufgaben erhalten. Geschaeftsgeheimnisse und vertrauliche Geschaeftsinformationen sind zu schuetzen.",
"applies_when": "uses_ai",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.uses_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 78", "title": "Vertraulichkeit"}
],
"sources": [
{"type": "article", "ref": "Art. 78 AI Act"}
],
"category": "Organisatorisch",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "7,5 Mio. EUR oder 1% Jahresumsatz"},
"evidence": [
"Vertraulichkeitsvereinbarungen (NDA)",
"Informationsklassifizierung",
"Zugriffskontrollen fuer KI-Dokumentation"
],
"priority": "mittel",
"tom_control_ids": ["TOM.AC.01", "TOM.IAM.01", "TOM.CRYPTO.03"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-053",
"title": "Uebergangsfristen einhalten",
"description": "Einhaltung der gestaffelten Uebergangsfristen: Verbotene Praktiken ab 02.02.2025, KI-Kompetenz ab 02.02.2025, GPAI ab 02.08.2025, Hochrisiko-KI ab 02.08.2026, bestimmte Annex-III-Systeme ab 02.08.2027.",
"applies_when": "uses_ai",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.uses_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 99", "title": "Inkrafttreten und Geltungsbeginn"}
],
"sources": [
{"type": "article", "ref": "Art. 99 AI Act"}
],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Umsetzungs-Roadmap",
"Meilensteinplan AI Act",
"Compliance-Fortschrittsbericht"
],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-054",
"title": "Harmonisierte Normen anwenden",
"description": "Hochrisiko-KI-Systeme, die harmonisierte Normen (Anhang I) oder gemeinsame Spezifikationen anwenden, profitieren von der Konformitaetsvermutung. Anbieter sollten einschlaegige harmonisierte Normen identifizieren und anwenden.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.is_ai_provider", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Art. 40", "title": "Harmonisierte Normen"},
{"norm": "AI Act", "article": "Anhang I", "title": "Harmonisierte Rechtsvorschriften der Union"}
],
"sources": [
{"type": "article", "ref": "Art. 40 AI Act"},
{"type": "article", "ref": "Anhang I AI Act"}
],
"category": "Compliance",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Normen-Anwendungsbericht",
"Gap-Analyse harmonisierte Normen",
"Konformitaetsvermutungs-Dokumentation"
],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.04", "TOM.GOV.14"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-055",
"title": "Hochrisiko-KI in Biometrie",
"description": "KI-Systeme zur biometrischen Fernidentifizierung, biometrischen Kategorisierung und Emotionserkennung unterliegen als Annex-III-Kategorie 1 den strengsten Hochrisiko-Anforderungen. Konformitaetsbewertung durch notifizierte Stelle erforderlich.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.uses_biometric_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Anhang III Nr. 1", "title": "Biometrie und biometriebasierte Systeme"}
],
"sources": [
{"type": "article", "ref": "Anhang III Nr. 1 AI Act"}
],
"category": "Compliance",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Biometrie-Einsatz-Dokumentation",
"Notifizierte-Stelle-Zertifikat",
"Datenschutz-Folgenabschaetzung Biometrie"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.08", "TOM.DATA.11", "TOM.IAM.02"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-056",
"title": "Hochrisiko-KI in kritischer Infrastruktur",
"description": "KI-Systeme als Sicherheitskomponente in kritischer Infrastruktur (Verkehr, Wasser, Gas, Strom, Heizung) sind Hochrisiko nach Annex III Nr. 2. Erhoehte Anforderungen an Robustheit und Zuverlaessigkeit.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.ai_in_critical_infrastructure", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Anhang III Nr. 2", "title": "Kritische Infrastruktur"}
],
"sources": [
{"type": "article", "ref": "Anhang III Nr. 2 AI Act"}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Kritische-Infrastruktur-Assessment",
"Redundanz-Nachweis",
"Ausfallsicherheits-Tests"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.BCP.05", "TOM.BCP.06", "TOM.NET.04"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-057",
"title": "Hochrisiko-KI in Bildung und Berufsausbildung",
"description": "KI-Systeme zur Bestimmung des Zugangs zu Bildung, Bewertung von Lernenden, Pruefungsauswertung und Ueberwachung von Pruefungen sind Hochrisiko nach Annex III Nr. 3. Besonderer Schutz fuer Minderjaehrige.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.ai_in_education", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Anhang III Nr. 3", "title": "Allgemeine und berufliche Bildung"}
],
"sources": [
{"type": "article", "ref": "Anhang III Nr. 3 AI Act"}
],
"category": "Compliance",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Bildungs-KI-Einsatzkonzept",
"Minderjaehrigenschutz-Nachweis",
"Fairness-Analyse Bildungszugang"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.08", "TOM.DATA.12", "TOM.HR.04"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-058",
"title": "Hochrisiko-KI in Beschaeftigung",
"description": "KI-Systeme fuer Personaleinstellung, Befoerderungsentscheidungen, Kuendigung, Aufgabenzuweisung und Ueberwachung von Arbeitnehmern sind Hochrisiko nach Annex III Nr. 4. Diskriminierungsfreiheit muss nachgewiesen werden.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.ai_in_employment", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Anhang III Nr. 4", "title": "Beschaeftigung, Personalmanagement"}
],
"sources": [
{"type": "article", "ref": "Anhang III Nr. 4 AI Act"}
],
"category": "Compliance",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Beschaeftigungs-KI-Assessment",
"Diskriminierungsfreiheits-Analyse",
"Betriebsrats-Beteiligung dokumentiert"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.08", "TOM.HR.05", "TOM.DATA.13"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-059",
"title": "Hochrisiko-KI in Strafverfolgung",
"description": "KI-Systeme in der Strafverfolgung (Risikobewertung, Luegendetektion, Beweismittelbewertung, Rueckfallprognose) sind Hochrisiko nach Annex III Nr. 6. Strenge Grundrechts-Pruefung erforderlich.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.ai_in_law_enforcement", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Anhang III Nr. 6", "title": "Strafverfolgung"}
],
"sources": [
{"type": "article", "ref": "Anhang III Nr. 6 AI Act"}
],
"category": "Compliance",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Grundrechts-Pruefung Strafverfolgung",
"Verhältnismaessigkeits-Analyse",
"Datenschutz-Richtlinie-Konformitaet"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.08", "TOM.GOV.09", "TOM.AC.02"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-060",
"title": "Hochrisiko-KI in Justiz und Demokratie",
"description": "KI-Systeme zur Unterstuetzung von Justizbehoerden bei Rechtsauslegung und Rechtsanwendung sind Hochrisiko nach Annex III Nr. 8. Menschliche Aufsicht und Transparenz sind besonders wichtig fuer das Vertrauen in die Justiz.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{"field": "ai_usage.high_risk_ai", "operator": "EQUALS", "value": true},
{"field": "ai_usage.ai_in_justice", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "AI Act", "article": "Anhang III Nr. 8", "title": "Rechtspflege und demokratische Prozesse"}
],
"sources": [
{"type": "article", "ref": "Anhang III Nr. 8 AI Act"}
],
"category": "Compliance",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"},
"evidence": [
"Justiz-KI-Einsatzkonzept",
"Human-Oversight-Nachweis",
"Transparenzbericht Justiz-KI"
],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.07", "TOM.GOV.08", "TOM.GOV.10"],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
}
],
"controls": [
{
"id": "AIACT-CTRL-001",
"name": "KI-Inventar",
"description": "Fuehrung eines vollstaendigen Inventars aller KI-Systeme",
"category": "Governance",
"what_to_do": "Erfassung aller KI-Systeme mit Risikoeinstufung, Zweck, Anbieter, Betreiber",
"iso27001_mapping": ["A.8.1"],
"priority": "kritisch"
},
{
"id": "AIACT-CTRL-002",
"name": "KI-Governance-Struktur",
"description": "Etablierung einer KI-Governance mit klaren Verantwortlichkeiten",
"category": "Governance",
"what_to_do": "Benennung eines KI-Verantwortlichen, Einrichtung eines KI-Boards",
"priority": "hoch"
},
{
"id": "AIACT-CTRL-003",
"name": "Bias-Testing und Fairness",
"description": "Regelmaessige Pruefung auf Verzerrungen und Diskriminierung",
"category": "Technisch",
"what_to_do": "Implementierung von Bias-Detection, Fairness-Metriken, Datensatz-Audits",
"priority": "hoch"
},
{
"id": "AIACT-CTRL-004",
"name": "Model Monitoring",
"description": "Kontinuierliche Ueberwachung der KI-Modellleistung",
"category": "Technisch",
"what_to_do": "Drift-Detection, Performance-Monitoring, Anomalie-Erkennung",
"priority": "hoch"
},
{
"id": "AIACT-CTRL-005",
"name": "KI-Risikobewertungs-Prozess",
"description": "Etablierung eines strukturierten Prozesses zur Risikobewertung",
"category": "Governance",
"what_to_do": "Pre-Deployment Assessment, regelmaessige Re-Evaluation, Eskalationsprozess",
"priority": "kritisch"
},
{
"id": "AIACT-CTRL-006",
"name": "Explainability-Framework",
"description": "Implementierung von Erklaerbarkeit fuer KI-Entscheidungen",
"category": "Technisch",
"what_to_do": "SHAP/LIME Integration, Entscheidungsprotokollierung, Nutzererklaerungen",
"priority": "mittel"
}
],
"incident_deadlines": [
{
"phase": "Schwerwiegender Vorfall melden",
"deadline": "unverzueglich",
"content": "Meldung schwerwiegender Vorfaelle bei Hochrisiko-KI-Systemen: Tod oder schwere Gesundheitsschaeden, schwerwiegende Grundrechtsverletzungen, schwere Schaeden an Eigentum oder Umwelt.",
"recipient": "Zustaendige Marktaufsichtsbehoerde",
"legal_basis": [
{"norm": "Art. 73 AI Act"}
]
},
{
"phase": "Fehlfunktion melden (Anbieter)",
"deadline": "15 Tage",
"content": "Anbieter von Hochrisiko-KI melden Fehlfunktionen, die einen schwerwiegenden Vorfall darstellen koennten.",
"recipient": "Marktaufsichtsbehoerde des Herkunftslandes",
"legal_basis": [
{"norm": "Art. 73 Abs. 1 AI Act"}
]
}
]
}
Reference in New Issue View Git Blame Copy Permalink