Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity
Files
ce3df9f080d1ff0696fdf2ab3d3c4c549098d19e
breakpilot-compliance/ai-compliance-sdk/policies/obligations/v2/ai_act_v2.json
Benjamin Admin ce3df9f080 feat: AI Act Obligations erweitert (60→81) + Decision Tree Q8 fix 
1. 21 neue AI Act Obligations:
   - Art. 9 Risk Management (5 granulare Regeln)
   - Art. 10 Data Governance (3: Bias, Qualitaet, Versionierung)
   - Art. 12 Logging (3: I/O-Logging, Manipulationsschutz, Aufbewahrung)
   - Art. 14 Human Oversight (3: Override, Schulung, Automation Bias)
   - Art. 15 Accuracy/Cybersecurity (3: Genauigkeit, Robustheit, Security)
   - Art. 51/52/54/56 GPAI Governance (4: Klassifizierung, Kennzeichnung, EU-Rep, CoP)
2. Decision Tree Q8 praezisiert:
   "Stellst du ein KI-Modell fuer Dritte bereit?" statt generische GPAI-Frage

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
2026-04-12 16:41:29 +02:00

3873 lines
110 KiB
JSON
Raw Blame History

{
"regulation": "ai_act",
"name": "AI Act (EU KI-Verordnung)",
"description": "EU-Verordnung 2024/1689 zur Festlegung harmonisierter Vorschriften fuer kuenstliche Intelligenz",
"version": "2.0",
"effective_date": "2024-08-01",
"obligations": [
{
"id": "AIACT-OBL-001",
"title": "Verbotene KI-Praktiken vermeiden",
"description": "Sicherstellung, dass keine verbotenen KI-Praktiken eingesetzt werden: Social Scoring durch oeffentliche Stellen, Ausnutzung von Schwaechen (Alter, Behinderung), unterschwellige Manipulation, biometrische Echtzeit-Fernidentifizierung (mit Ausnahmen), Emotionserkennung am Arbeitsplatz/in Bildung, biometrische Kategorisierung nach sensitiven Merkmalen.",
"applies_when": "uses_ai",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 5",
"title": "Verbotene Praktiken im KI-Bereich"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 5 AI Act"
}
],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {
"max_fine": "35 Mio. EUR oder 7% Jahresumsatz"
},
"evidence": [
"KI-Inventar mit Risikobewertung",
"Dokumentierte Pruefung auf verbotene Praktiken"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.02"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-002",
"title": "Risikomanagementsystem fuer Hochrisiko-KI",
"description": "Einrichtung eines Risikomanagementsystems fuer Hochrisiko-KI-Systeme: Ermittlung und Analyse bekannter und vorhersehbarer Risiken, Schaetzung und Bewertung der Risiken, Risikominderungsmassnahmen, kontinuierliche Ueberwachung und Aktualisierung.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 9",
"title": "Risikomanagementsystem"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 9 AI Act"
}
],
"category": "Governance",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Risikomanagement-Dokumentation",
"Risikobewertungen pro KI-System",
"Massnahmenplan"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.03",
"TOM.GOV.04"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-003",
"title": "Daten-Governance fuer Hochrisiko-KI",
"description": "Anforderungen an Trainings-, Validierungs- und Testdaten: Relevante Design-Entscheidungen, Datenerhebung und Datenherkunft, Vorverarbeitung (Annotation, Labelling, Bereinigung), Erkennung und Behebung von Verzerrungen (Bias), Identifizierung von Datenluecken.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 10",
"title": "Daten und Daten-Governance"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 10 AI Act"
}
],
"category": "Technisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Datensatzdokumentation",
"Bias-Analyse-Berichte",
"Datenqualitaetsnachweise"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.DATA.01",
"TOM.DATA.02",
"TOM.DATA.03"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-004",
"title": "Technische Dokumentation erstellen",
"description": "Erstellung umfassender technischer Dokumentation vor Inverkehrbringen: Allgemeine Beschreibung des KI-Systems, Design-Spezifikationen, Entwicklungsprozess, Leistungsmetriken, Risikomanagement-Dokumentation gemaess Anhang IV.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 11",
"title": "Technische Dokumentation"
},
{
"norm": "AI Act",
"article": "Anhang IV",
"title": "Technische Dokumentation gemaess Art. 11"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 11 AI Act"
},
{
"type": "article",
"ref": "Anhang IV AI Act"
}
],
"category": "Dokumentation",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Technische Dokumentation nach Anhang IV",
"Systemarchitektur-Dokumentation",
"Algorithmus-Beschreibung"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.05",
"TOM.SDLC.01"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-005",
"title": "Protokollierungsfunktion implementieren",
"description": "Hochrisiko-KI-Systeme muessen automatische Protokolle (Logs) erstellen: Nutzungszeitraum, Referenzdatenbank, Eingabedaten, Identitaet der verifizierenden Personen. Aufbewahrung mindestens 6 Monate.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 12",
"title": "Aufzeichnungspflichten"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 12 AI Act"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Log-System-Dokumentation",
"Beispiel-Logs",
"Aufbewahrungsrichtlinie"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.LOG.01",
"TOM.LOG.02",
"TOM.LOG.03"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-006",
"title": "Transparenz und Nutzerinformation",
"description": "Bereitstellung klarer Informationen fuer Betreiber (Deployer): Gebrauchsanweisungen, Eigenschaften und Grenzen des Systems, Leistungsniveau und Genauigkeit, vorhersehbare Fehlnutzungen.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 13",
"title": "Transparenz und Information fuer Betreiber"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 13 AI Act"
}
],
"category": "Organisatorisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Gebrauchsanweisung",
"Leistungsdokumentation",
"Warnhinweise"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.06",
"TOM.OPS.01"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-007",
"title": "Menschliche Aufsicht sicherstellen",
"description": "Hochrisiko-KI muss menschliche Aufsicht ermoeglichen: Faehigkeiten und Grenzen verstehen, Ueberwachung des Betriebs, Interpretation der Ausgaben, Eingreifen oder Abbrechen koennen (Human-in-the-Loop / Human-on-the-Loop).",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 14",
"title": "Menschliche Aufsicht"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 14 AI Act"
}
],
"category": "Organisatorisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Aufsichtskonzept",
"Schulungsnachweise fuer Bediener",
"Notfall-Abschaltprozedur"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.07",
"TOM.HR.01",
"TOM.OPS.02"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-008",
"title": "Genauigkeit, Robustheit und Cybersicherheit",
"description": "Hochrisiko-KI muss waehrend des gesamten Lebenszyklus angemessene Genauigkeit aufweisen, robust gegen Fehler und Inkonsistenzen sein und Cyberangriffe verhindern koennen (Adversarial Attacks, Data Poisoning, Model Manipulation).",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 15",
"title": "Genauigkeit, Robustheit und Cybersicherheit"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 15 AI Act"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Genauigkeits-Metriken und Tests",
"Robustheitstests",
"Security-Assessment",
"Penetrationstest-Bericht"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.SDLC.02",
"TOM.NET.01",
"TOM.CRYPTO.01"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-009",
"title": "Betreiberpflichten fuer Hochrisiko-KI",
"description": "Betreiber (Deployer) von Hochrisiko-KI muessen: Geeignete technische und organisatorische Massnahmen treffen, Eingabedaten auf Relevanz pruefen, Betrieb ueberwachen, Protokolle aufbewahren, betroffene Personen informieren.",
"applies_when": "high_risk_deployer",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_deployer",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 26",
"title": "Pflichten der Betreiber"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 26 AI Act"
}
],
"category": "Organisatorisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Betriebskonzept",
"Eingabedaten-Pruefung",
"Monitoring-Dokumentation"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.OPS.03",
"TOM.OPS.04",
"TOM.LOG.04"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-010",
"title": "Grundrechte-Folgenabschaetzung",
"description": "Betreiber von Hochrisiko-KI in sensiblen Bereichen muessen vor Einsatz eine Grundrechte-Folgenabschaetzung durchfuehren (FRIA - Fundamental Rights Impact Assessment). Dies gilt fuer oeffentliche Stellen und private Betreiber in kritischen Bereichen.",
"applies_when": "high_risk_deployer_fria",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_deployer",
"operator": "EQUALS",
"value": true
},
{
"field": "organization.is_public_authority",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 27",
"title": "Grundrechte-Folgenabschaetzung fuer Hochrisiko-KI-Systeme"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 27 AI Act"
}
],
"category": "Governance",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"FRIA-Dokumentation",
"Risikobewertung Grundrechte",
"Abhilfemassnahmen"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.08",
"TOM.GOV.09"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-011",
"title": "Transparenzpflichten fuer KI-Interaktionen",
"description": "Bei KI-Systemen, die mit natuerlichen Personen interagieren: Kennzeichnung der KI-Interaktion, Information dass Inhalte KI-generiert sind, Kennzeichnung von Deep Fakes.",
"applies_when": "limited_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.limited_risk_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 50",
"title": "Transparenzpflichten fuer bestimmte KI-Systeme"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 50 AI Act"
}
],
"category": "Organisatorisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Kennzeichnungskonzept",
"Nutzerhinweise",
"Deep-Fake-Kennzeichnung"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.10",
"TOM.OPS.05"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-012",
"title": "GPAI-Modell Dokumentation",
"description": "Anbieter von GPAI-Modellen (General Purpose AI) muessen: Technische Dokumentation erstellen und aktualisieren, Informationen fuer nachgelagerte Anbieter bereitstellen, Urheberrechtsrichtlinie einhalten, Trainingsdaten-Zusammenfassung veroeffentlichen.",
"applies_when": "gpai_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.is_gpai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 53",
"title": "Pflichten der Anbieter von KI-Modellen mit allgemeinem Verwendungszweck"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 53 AI Act"
}
],
"category": "Dokumentation",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"GPAI-Dokumentation",
"Trainingsdaten-Summary",
"Urheberrechts-Policy"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.11",
"TOM.DATA.04"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-013",
"title": "GPAI mit systemischem Risiko",
"description": "GPAI-Modelle mit systemischem Risiko (>10^25 FLOP Training) haben zusaetzliche Pflichten: Modellbewertung nach Protokollen, Bewertung und Minderung systemischer Risiken, Dokumentation von Vorfaellen, angemessene Cybersicherheit.",
"applies_when": "gpai_systemic_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.is_gpai_provider",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.gpai_systemic_risk",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 55",
"title": "Pflichten der Anbieter von KI-Modellen mit allgemeinem Verwendungszweck mit systemischem Risiko"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 55 AI Act"
}
],
"category": "Technisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "35 Mio. EUR oder 7% Jahresumsatz"
},
"evidence": [
"Systemische Risikobewertung",
"Red-Teaming-Berichte",
"Incident-Dokumentation"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.12",
"TOM.NET.02",
"TOM.SDLC.03"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-014",
"title": "EU-Datenbank-Registrierung",
"description": "Registrierung in der EU-Datenbank fuer Hochrisiko-KI-Systeme: Anbieter vor Inverkehrbringen, Betreiber vor Inbetriebnahme bei bestimmten Kategorien (Annex III).",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 49",
"title": "Registrierung"
},
{
"norm": "AI Act",
"article": "Art. 60",
"title": "EU-Datenbank fuer Hochrisiko-KI-Systeme"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 49 AI Act"
},
{
"type": "article",
"ref": "Art. 60 AI Act"
}
],
"category": "Meldepflicht",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Registrierungsbestaetigung",
"EU-Datenbank-Eintrag"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.13"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-015",
"title": "KI-Kompetenz sicherstellen",
"description": "Anbieter und Betreiber muessen sicherstellen, dass Personal mit ausreichender KI-Kompetenz ausgestattet ist. Dies umfasst Schulungen und Sensibilisierung fuer Risiken und ethische Aspekte der KI-Nutzung.",
"applies_when": "uses_ai",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 4",
"title": "KI-Kompetenz"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 4 AI Act"
}
],
"category": "Schulung",
"responsible": "Geschaeftsfuehrung",
"sanctions": {
"max_fine": "7,5 Mio. EUR oder 1% Jahresumsatz"
},
"evidence": [
"Schulungsnachweise",
"Kompetenzmatrix",
"Awareness-Programm"
],
"priority": "mittel",
"tom_control_ids": [
"TOM.HR.02",
"TOM.HR.03"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-016",
"title": "Klassifizierung als Hochrisiko-KI-System",
"description": "Pruefung ob ein KI-System als Hochrisiko einzustufen ist anhand der Kriterien in Art. 6 und Anhang III. Systeme die in mindestens eine der 8 Hochrisiko-Kategorien fallen, unterliegen den erweiterten Pflichten.",
"applies_when": "uses_ai",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 6",
"title": "Klassifizierungsregeln fuer Hochrisiko-KI-Systeme"
},
{
"norm": "AI Act",
"article": "Anhang III",
"title": "Hochrisiko-KI-Systeme gemaess Art. 6 Abs. 2"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 6 AI Act"
},
{
"type": "article",
"ref": "Anhang III AI Act"
}
],
"category": "Governance",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Klassifizierungsbericht je KI-System",
"Anhang-III-Pruefung dokumentiert",
"Entscheidungsmatrix Risikoeinstufung"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.03"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-017",
"title": "Aenderungen der Hochrisiko-Liste ueberwachen",
"description": "Kontinuierliche Ueberwachung von Aenderungen an Anhang III durch delegierte Rechtsakte der EU-Kommission. Neue Hochrisiko-Kategorien koennen hinzugefuegt werden, bestehende Systeme muessen ggf. neu klassifiziert werden.",
"applies_when": "uses_ai",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 7",
"title": "Aenderungen des Anhangs III"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 7 AI Act"
}
],
"category": "Governance",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Monitoring-Prozess fuer regulatorische Aenderungen",
"Re-Klassifizierungsprotokolle"
],
"priority": "mittel",
"tom_control_ids": [
"TOM.GOV.01"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-018",
"title": "Einhaltung der Anforderungen Kapitel III Abschnitt 2",
"description": "Hochrisiko-KI-Systeme muessen die Anforderungen aus Art. 8-15 vollstaendig erfuellen. Anbieter muessen ein System einrichten, das die Einhaltung aller Anforderungen sicherstellt und dokumentiert.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 8",
"title": "Einhaltung der Anforderungen"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 8 AI Act"
}
],
"category": "Compliance",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Compliance-Checkliste Art. 8-15",
"Nachweis der Anforderungserfuellung",
"Gap-Analyse"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.04",
"TOM.GOV.05"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-019",
"title": "Allgemeine Anbieterpflichten Hochrisiko-KI",
"description": "Anbieter von Hochrisiko-KI-Systemen muessen: Compliance mit Anforderungen sicherstellen, Kontaktdaten angeben, QMS einrichten, Dokumentation aufbewahren, Konformitaetsbewertung durchfuehren, CE-Kennzeichnung anbringen, Registrierungspflicht erfuellen.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 16",
"title": "Pflichten der Anbieter von Hochrisiko-KI-Systemen"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 16 AI Act"
}
],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Anbieter-Compliance-Nachweis",
"QMS-Dokumentation",
"Konformitaetserklaerung"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.05",
"TOM.GOV.14"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-020",
"title": "Qualitaetsmanagementsystem einrichten",
"description": "Anbieter von Hochrisiko-KI muessen ein QMS einrichten und dokumentieren: Compliance-Strategie, Design- und Entwicklungskontrolle, Qualitaetssicherung, Datenmanagement, Risikomanagement-Integration, Post-Market-Monitoring, Vorfallmeldung, Kommunikation mit Behoerden.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 17",
"title": "Qualitaetsmanagementsystem"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 17 AI Act"
}
],
"category": "Governance",
"responsible": "Qualitaetsmanagement",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"QMS-Handbuch",
"Prozessbeschreibungen",
"Audit-Berichte QMS",
"Management-Review-Protokolle"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.14",
"TOM.GOV.15",
"TOM.SDLC.04"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-021",
"title": "Dokumentationsaufbewahrung",
"description": "Technische Dokumentation, QMS-Dokumentation, Konformitaetsbewertung und EU-Konformitaetserklaerung muessen mindestens 10 Jahre nach Inverkehrbringen aufbewahrt werden. Auf Anfrage den Behoerden zugaenglich machen.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 18",
"title": "Dokumentationspflichten"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 18 AI Act"
}
],
"category": "Dokumentation",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Aufbewahrungsrichtlinie",
"Archivierungssystem-Nachweis",
"Zugangsprotokoll fuer Behoerden"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.DATA.05",
"TOM.DATA.06"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-022",
"title": "Konformitaetsbewertung durchfuehren",
"description": "Vor Inverkehrbringen oder Inbetriebnahme eines Hochrisiko-KI-Systems muss eine Konformitaetsbewertung gemaess Art. 43 durchgefuehrt werden. Bei biometrischen Systemen ist eine Drittbewertung durch notifizierte Stelle erforderlich.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 19",
"title": "Konformitaetsbewertung"
},
{
"norm": "AI Act",
"article": "Art. 43",
"title": "Konformitaetsbewertungsverfahren"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 19 AI Act"
},
{
"type": "article",
"ref": "Art. 43 AI Act"
}
],
"category": "Audit",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Konformitaetsbewertungsbericht",
"Zertifikat notifizierte Stelle (falls zutreffend)",
"Interne Audit-Dokumentation"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.04",
"TOM.GOV.14"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-023",
"title": "Automatisch generierte Logs bereitstellen",
"description": "Anbieter von Hochrisiko-KI-Systemen muessen sicherstellen, dass automatisch generierte Logs gespeichert und auf Anfrage den Betreibern und Behoerden bereitgestellt werden koennen. Logs muessen die Rueckverfolgbarkeit des Systemverhaltens ermoeglichen.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 20",
"title": "Automatisch generierte Protokolle"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 20 AI Act"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Log-Export-Funktion",
"Protokoll-Zugriffskonzept",
"Behoerden-Schnittstelle"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.LOG.01",
"TOM.LOG.05",
"TOM.LOG.06"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-024",
"title": "Korrekturmassnahmen ergreifen",
"description": "Anbieter muessen bei Nicht-Konformitaet unverzueglich Korrekturmassnahmen ergreifen: System in Konformitaet bringen, vom Markt nehmen oder zurueckrufen. Behoerden und ggf. Betreiber sind zu informieren.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 21",
"title": "Korrekturmassnahmen und Informationspflicht"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 21 AI Act"
}
],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Korrekturmassnahmen-Prozess",
"Rueckruf-Verfahren",
"Behoerden-Meldungen"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.OPS.06",
"TOM.BCP.01"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-025",
"title": "Informationspflichten gegenueber Behoerden",
"description": "Auf begruendetes Verlangen der Marktaufsichtsbehoerde muessen Anbieter alle erforderlichen Informationen und Dokumentation bereitstellen, einschliesslich Zugang zu automatisch generierten Logs. Zusammenarbeit in der Landessprache.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 22",
"title": "Informationspflichten"
},
{
"norm": "AI Act",
"article": "Art. 23",
"title": "Zusammenarbeit mit Behoerden"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 22 AI Act"
},
{
"type": "article",
"ref": "Art. 23 AI Act"
}
],
"category": "Meldepflicht",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Behoerden-Kommunikationsprotokoll",
"Informationsbereitstellungs-Prozess",
"Ansprechpartner-Benennung"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.06",
"TOM.GOV.13"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-026",
"title": "Bevollmaechtigten benennen",
"description": "Anbieter mit Sitz ausserhalb der EU muessen vor Inverkehrbringen einen Bevollmaechtigten in der EU benennen. Der Bevollmaechtigte muss ueber ausreichende Befugnisse verfuegen und die Konformitaetsdokumentation vorhalten.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 24",
"title": "Pflichten der Bevollmaechtigten"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 24 AI Act"
}
],
"category": "Organisatorisch",
"responsible": "Geschaeftsfuehrung",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Bevollmaechtigten-Vertrag",
"Vollmacht-Dokumentation",
"Kontaktdaten EU-Bevollmaechtigter"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.VENDOR.01"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-027",
"title": "Importeur-Pflichten einhalten",
"description": "Importeure von Hochrisiko-KI-Systemen muessen sicherstellen: Konformitaetsbewertung durchgefuehrt, technische Dokumentation vorhanden, CE-Kennzeichnung angebracht, Gebrauchsanweisung beigefuegt. Namen und Kontaktdaten auf dem System oder Verpackung anbringen.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 25",
"title": "Pflichten der Einführer"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 25 AI Act"
}
],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Importeur-Pruefprotokoll",
"Konformitaetserklaerung des Anbieters",
"CE-Kennzeichnungsnachweis"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.VENDOR.02",
"TOM.VENDOR.03"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-028",
"title": "Deployer-Pflicht: Eingabedaten-Kontrolle",
"description": "Betreiber von Hochrisiko-KI muessen sicherstellen, dass Eingabedaten relevant und hinreichend repraesentativ fuer den Verwendungszweck sind. Regelmaessige Pruefung der Datenqualitaet.",
"applies_when": "high_risk_deployer",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_deployer",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 26 Abs. 4",
"title": "Eingabedatenkontrolle durch Betreiber"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 26 Abs. 4 AI Act"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Eingabedaten-Qualitaetspruefung",
"Datenvalidierungsprotokolle",
"Repraesentativitaets-Analyse"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.DATA.07",
"TOM.DATA.08"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-029",
"title": "Deployer-Pflicht: Monitoring und Protokollaufbewahrung",
"description": "Betreiber muessen den Betrieb von Hochrisiko-KI ueberwachen und automatisch generierte Protokolle mindestens 6 Monate aufbewahren. Bei Risiken oder schwerwiegenden Vorfaellen unverzueglich den Anbieter und die Behoerden informieren.",
"applies_when": "high_risk_deployer",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_deployer",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 26 Abs. 5",
"title": "Monitoring-Pflicht der Betreiber"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 26 Abs. 5 AI Act"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Monitoring-Dashboard",
"Log-Aufbewahrungsnachweis",
"Eskalationsprozess-Dokumentation"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.LOG.04",
"TOM.LOG.07",
"TOM.OPS.07"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-030",
"title": "Deployer-Pflicht: Information betroffener Personen",
"description": "Betreiber von Hochrisiko-KI muessen natuerliche Personen informieren, dass sie einer Entscheidung unterliegen, die auf dem Einsatz eines Hochrisiko-KI-Systems beruht. Dies gilt insbesondere in den Bereichen Beschaeftigung, Bildung und oeffentliche Dienstleistungen.",
"applies_when": "high_risk_deployer",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_deployer",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.ai_makes_decisions",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 26 Abs. 7",
"title": "Informationspflicht gegenueber betroffenen Personen"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 26 Abs. 7 AI Act"
}
],
"category": "Organisatorisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Informationsschreiben-Vorlagen",
"Nachweis der Benachrichtigung",
"Datenschutzerklaerung mit KI-Hinweis"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.10",
"TOM.OPS.05"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-031",
"title": "Deployer-Pflicht: DSFA bei Hochrisiko-KI",
"description": "Betreiber muessen vor Einsatz von Hochrisiko-KI eine Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO durchfuehren, soweit personenbezogene Daten verarbeitet werden. Die FRIA nach Art. 27 AI Act kann dabei beruecksichtigt werden.",
"applies_when": "high_risk_deployer",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_deployer",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 26 Abs. 9",
"title": "DSFA-Pflicht fuer Betreiber"
},
{
"norm": "DSGVO",
"article": "Art. 35",
"title": "Datenschutz-Folgenabschaetzung"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 26 Abs. 9 AI Act"
},
{
"type": "article",
"ref": "Art. 35 DSGVO"
}
],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"DSFA-Bericht",
"FRIA-Integration",
"Massnahmenplan"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.08",
"TOM.GOV.09"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-032",
"title": "Deployer wird zum Anbieter",
"description": "Ein Betreiber wird zum Anbieter, wenn er: seinen Namen/Marke auf ein Hochrisiko-KI-System setzt, wesentliche Aenderungen vornimmt oder den Verwendungszweck aendert. In diesem Fall gelten alle Anbieterpflichten.",
"applies_when": "high_risk_deployer",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_deployer",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 26 Abs. 10",
"title": "Betreiber als Anbieter"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 26 Abs. 10 AI Act"
}
],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Pruefung Anbieter-Status",
"Aenderungsprotokoll KI-System",
"Umklassifizierungsentscheidung"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.03"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-033",
"title": "Haendlerpflichten einhalten",
"description": "Haendler von Hochrisiko-KI-Systemen muessen vor Bereitstellung pruefen: CE-Kennzeichnung, Konformitaetserklaerung, Gebrauchsanweisung, Konformitaet mit Art. 16. Bei Risiken unverzueglich Anbieter und Marktaufsicht informieren.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 28",
"title": "Pflichten der Haendler"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 28 AI Act"
}
],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Haendler-Checkliste",
"Eingangs-Pruefprotokoll",
"Lieferanten-Dokumentation"
],
"priority": "mittel",
"tom_control_ids": [
"TOM.VENDOR.04",
"TOM.VENDOR.05"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-034",
"title": "Pflichten in der Wertschoepfungskette",
"description": "Dritte, die Werkzeuge, Dienste, Komponenten oder Prozesse fuer Hochrisiko-KI bereitstellen, muessen mit dem Anbieter zusammenarbeiten und alle relevanten Informationen bereitstellen. Schriftliche Vereinbarungen sind erforderlich.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 29",
"title": "Pflichten von Dritten in der Wertschoepfungskette"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 29 AI Act"
}
],
"category": "Organisatorisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Lieferantenvertraege",
"Informationsaustausch-Protokolle",
"Supply-Chain-Due-Diligence"
],
"priority": "mittel",
"tom_control_ids": [
"TOM.VENDOR.06",
"TOM.VENDOR.07"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-035",
"title": "Konformitaetsbewertungsstellen nutzen",
"description": "Fuer bestimmte Hochrisiko-KI-Systeme (insb. biometrische Identifizierung) muss die Konformitaetsbewertung durch eine notifizierte Stelle (Conformity Assessment Body) durchgefuehrt werden. Die Stelle muss unabhaengig und akkreditiert sein.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_provider",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.uses_biometric_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 43",
"title": "Konformitaetsbewertungsstellen"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 43 AI Act"
}
],
"category": "Audit",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Notifizierte-Stelle-Beauftragung",
"Akkreditierungsnachweis",
"Bewertungsbericht der notifizierten Stelle"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.14",
"TOM.GOV.15"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-036",
"title": "EU-Konformitaetserklaerung ausstellen",
"description": "Anbieter muessen fuer jedes Hochrisiko-KI-System eine EU-Konformitaetserklaerung gemaess Anhang V ausstellen. Diese muss Name und Adresse des Anbieters, KI-System-Identifikation, angewandte harmonisierte Normen und Konformitaetsbewertungsergebnis enthalten.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 47",
"title": "EU-Konformitaetserklaerung"
},
{
"norm": "AI Act",
"article": "Anhang V",
"title": "Inhalt der EU-Konformitaetserklaerung"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 47 AI Act"
},
{
"type": "article",
"ref": "Anhang V AI Act"
}
],
"category": "Dokumentation",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"EU-Konformitaetserklaerung nach Anhang V",
"Unterschriebene Erklaerung",
"Verzeichnis der KI-Systeme mit Erklaerungen"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.05",
"TOM.GOV.14"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-037",
"title": "CE-Kennzeichnung anbringen",
"description": "Hochrisiko-KI-Systeme muessen mit der CE-Kennzeichnung versehen werden, bevor sie in Verkehr gebracht werden. Die Kennzeichnung muss sichtbar, lesbar und dauerhaft sein. Bei Software wird sie in der digitalen Schnittstelle angebracht.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 48",
"title": "CE-Kennzeichnung"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 48 AI Act"
}
],
"category": "Compliance",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"CE-Kennzeichnungsnachweis",
"Screenshot digitale Schnittstelle",
"Produktdokumentation"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.05"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-038",
"title": "Registrierungspflicht fuer Betreiber",
"description": "Betreiber von Hochrisiko-KI-Systemen in bestimmten Bereichen (Annex III Nr. 1-5, 8) muessen sich und das System in der EU-Datenbank registrieren, bevor sie das System in Betrieb nehmen.",
"applies_when": "high_risk_deployer",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_deployer",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 49 Abs. 3",
"title": "Registrierungspflicht der Betreiber"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 49 Abs. 3 AI Act"
}
],
"category": "Meldepflicht",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Betreiber-Registrierungsbestaetigung",
"EU-Datenbank-Eintrag"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.13"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-039",
"title": "Transparenz bei Emotionserkennung",
"description": "Betreiber von KI-Systemen zur Emotionserkennung muessen betroffene Personen ueber den Betrieb des Systems informieren. Gilt nicht fuer Systeme, die gesetzlich zur Aufdeckung von Straftaten zugelassen sind.",
"applies_when": "limited_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_emotion_recognition",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 50 Abs. 3",
"title": "Transparenz bei Emotionserkennung"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 50 Abs. 3 AI Act"
}
],
"category": "Organisatorisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Informationshinweis Emotionserkennung",
"Einwilligungsnachweis",
"Aushang oder digitaler Hinweis"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.10",
"TOM.OPS.05"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-040",
"title": "Kennzeichnung von Deep Fakes",
"description": "Anbieter und Betreiber muessen kuenstlich erzeugte oder manipulierte Bild-, Audio- oder Videoinhalte (Deep Fakes) als kuenstlich erzeugt oder manipuliert kennzeichnen. Die Kennzeichnung muss maschinenlesbar sein.",
"applies_when": "limited_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_deepfakes",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 50 Abs. 4",
"title": "Kennzeichnung von Deep Fakes"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 50 Abs. 4 AI Act"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Deep-Fake-Kennzeichnungssystem",
"Maschinenlesbare Metadaten",
"Wasserzeichen-Implementation"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.SDLC.05",
"TOM.OPS.08"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-041",
"title": "Kennzeichnung generierter Inhalte",
"description": "Anbieter von KI-Systemen, die synthetische Text-, Bild-, Audio- oder Videoinhalte erzeugen, muessen sicherstellen, dass die Ausgaben in maschinenlesbarem Format als kuenstlich erzeugt gekennzeichnet sind.",
"applies_when": "limited_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_generative_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 50 Abs. 2",
"title": "Kennzeichnung KI-generierter Inhalte"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 50 Abs. 2 AI Act"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Content-Watermarking-System",
"Metadaten-Standard (C2PA o.ae.)",
"Kennzeichnungs-Testbericht"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.SDLC.05",
"TOM.SDLC.06"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-042",
"title": "GPAI: Informationen fuer nachgelagerte Anbieter",
"description": "Anbieter von GPAI-Modellen muessen nachgelagerten Anbietern ausreichende Informationen bereitstellen, damit diese ihren Pflichten nachkommen koennen: Faehigkeiten, Grenzen, Risiken und Gebrauchsanweisungen.",
"applies_when": "gpai_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.is_gpai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 53 Abs. 1 lit. b",
"title": "Informationspflicht GPAI-Anbieter"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 53 Abs. 1 lit. b AI Act"
}
],
"category": "Dokumentation",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Downstream-Provider-Dokumentation",
"Modellkarte (Model Card)",
"API-Dokumentation mit Limitierungen"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.11",
"TOM.SDLC.07"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-043",
"title": "GPAI: Urheberrechts-Policy",
"description": "Anbieter von GPAI-Modellen muessen eine Richtlinie zur Einhaltung des Urheberrechts aufstellen und oeffentlich zugaenglich machen, insbesondere hinsichtlich der Trainingsdaten. Opt-out-Mechanismen fuer Rechteinhaber muessen unterstuetzt werden.",
"applies_when": "gpai_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.is_gpai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 53 Abs. 1 lit. c",
"title": "Urheberrechtspolitik GPAI"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 53 Abs. 1 lit. c AI Act"
}
],
"category": "Governance",
"responsible": "Rechtsabteilung",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Urheberrechts-Policy veroeffentlicht",
"Opt-out-Mechanismus dokumentiert",
"Trainingsdaten-Compliance-Bericht"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.11",
"TOM.DATA.09"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-044",
"title": "GPAI: Trainingsdaten-Zusammenfassung",
"description": "Anbieter von GPAI-Modellen muessen eine hinreichend detaillierte Zusammenfassung der Trainingsdaten erstellen und oeffentlich zugaenglich machen. Das AI Office stellt ein Template hierfuer bereit.",
"applies_when": "gpai_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.is_gpai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 53 Abs. 1 lit. d",
"title": "Trainingsdaten-Zusammenfassung"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 53 Abs. 1 lit. d AI Act"
}
],
"category": "Dokumentation",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Trainingsdaten-Zusammenfassung (AI Office Template)",
"Veroeffentlichungsnachweis",
"Datenquellen-Verzeichnis"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.DATA.04",
"TOM.DATA.10"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-045",
"title": "GPAI systemisch: Modellbewertung durchfuehren",
"description": "Anbieter von GPAI-Modellen mit systemischem Risiko muessen standardisierte Modellbewertungen nach dem aktuellen Stand der Technik durchfuehren, einschliesslich adversarialem Testing (Red Teaming).",
"applies_when": "gpai_systemic_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.is_gpai_provider",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.gpai_systemic_risk",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 55 Abs. 1 lit. a",
"title": "Modellbewertung bei systemischem Risiko"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 55 Abs. 1 lit. a AI Act"
}
],
"category": "Audit",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "35 Mio. EUR oder 7% Jahresumsatz"
},
"evidence": [
"Modellbewertungsbericht",
"Red-Teaming-Protokolle",
"Benchmark-Ergebnisse"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.SDLC.08",
"TOM.SDLC.09"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-046",
"title": "GPAI systemisch: Systemische Risiken bewerten und mindern",
"description": "Bewertung und Minderung moeglicher systemischer Risiken auf EU-Ebene, einschliesslich Risiken fuer oeffentliche Gesundheit, Sicherheit, Grundrechte und Gesellschaft. Dokumentation der Risikomassnahmen.",
"applies_when": "gpai_systemic_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.is_gpai_provider",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.gpai_systemic_risk",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 55 Abs. 1 lit. b",
"title": "Bewertung systemischer Risiken"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 55 Abs. 1 lit. b AI Act"
}
],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {
"max_fine": "35 Mio. EUR oder 7% Jahresumsatz"
},
"evidence": [
"Systemische Risikobewertung",
"Minderungsmassnahmen-Plan",
"Impact-Assessment EU-Ebene"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.03",
"TOM.GOV.12"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-047",
"title": "GPAI systemisch: Cybersicherheit gewaehrleisten",
"description": "Anbieter von GPAI-Modellen mit systemischem Risiko muessen ein angemessenes Niveau an Cybersicherheit fuer das Modell und die physische Infrastruktur gewaehrleisten.",
"applies_when": "gpai_systemic_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.is_gpai_provider",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.gpai_systemic_risk",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 55 Abs. 1 lit. d",
"title": "Cybersicherheit GPAI"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 55 Abs. 1 lit. d AI Act"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"sanctions": {
"max_fine": "35 Mio. EUR oder 7% Jahresumsatz"
},
"evidence": [
"Cybersicherheits-Assessment",
"Penetrationstest-Bericht",
"Infrastruktur-Security-Audit"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.NET.02",
"TOM.NET.03",
"TOM.CRYPTO.02"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-048",
"title": "GPAI systemisch: Vorfaelle an AI Office melden",
"description": "Anbieter von GPAI-Modellen mit systemischem Risiko muessen schwerwiegende Vorfaelle und Korrekturmassnahmen unverzueglich dem EU AI Office und den zustaendigen nationalen Behoerden melden.",
"applies_when": "gpai_systemic_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.is_gpai_provider",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.gpai_systemic_risk",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 55 Abs. 1 lit. c",
"title": "Vorfallmeldung GPAI"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 55 Abs. 1 lit. c AI Act"
}
],
"category": "Meldepflicht",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "35 Mio. EUR oder 7% Jahresumsatz"
},
"evidence": [
"Incident-Response-Plan GPAI",
"Meldungen an AI Office",
"Korrekturmassnahmen-Dokumentation"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.BCP.02",
"TOM.BCP.03"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-049",
"title": "AI Regulatory Sandbox Teilnahme",
"description": "Mitgliedstaaten richten KI-Reallabore (Regulatory Sandboxes) ein. Anbieter koennen in kontrollierter Umgebung innovative KI-Systeme testen. Teilnahme ist freiwillig, erfordert aber Einhaltung des Sandbox-Plans und Berichtspflichten.",
"applies_when": "uses_ai",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 57",
"title": "KI-Reallabore (Regulatory Sandboxes)"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 57 AI Act"
}
],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {
"max_fine": "7,5 Mio. EUR oder 1% Jahresumsatz"
},
"evidence": [
"Sandbox-Antrag (falls zutreffend)",
"Sandbox-Plan",
"Abschlussberichte"
],
"priority": "niedrig",
"tom_control_ids": [
"TOM.GOV.01"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-050",
"title": "Post-Market-Monitoring einrichten",
"description": "Anbieter von Hochrisiko-KI muessen ein Post-Market-Monitoring-System einrichten, das systematisch und proaktiv relevante Daten ueber die Leistung des KI-Systems waehrend seiner gesamten Lebensdauer sammelt und analysiert.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 72",
"title": "Post-Market-Monitoring durch Anbieter"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 72 AI Act"
}
],
"category": "Technisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Post-Market-Monitoring-Plan",
"Monitoring-Berichte",
"Feedback-Erfassungssystem"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.OPS.09",
"TOM.OPS.10"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-051",
"title": "Schwerwiegende Vorfaelle melden",
"description": "Anbieter und Betreiber von Hochrisiko-KI muessen schwerwiegende Vorfaelle unverzueglich der Marktaufsichtsbehoerde melden: Tod, schwere Gesundheitsschaeden, schwerwiegende Grundrechtsverletzungen, schwere Schaeden an Eigentum, Umwelt oder kritischer Infrastruktur.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 73",
"title": "Meldung schwerwiegender Vorfaelle"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 73 AI Act"
}
],
"category": "Meldepflicht",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Incident-Response-Plan",
"Meldeprozess dokumentiert",
"Behoerden-Kontaktliste",
"Meldeformulare vorbereitet"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.BCP.01",
"TOM.BCP.02",
"TOM.BCP.04"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-052",
"title": "Vertraulichkeit wahren",
"description": "Alle am AI-Act-Verfahren beteiligten Parteien muessen die Vertraulichkeit von Informationen und Daten wahren, die sie bei der Ausuebung ihrer Aufgaben erhalten. Geschaeftsgeheimnisse und vertrauliche Geschaeftsinformationen sind zu schuetzen.",
"applies_when": "uses_ai",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 78",
"title": "Vertraulichkeit"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 78 AI Act"
}
],
"category": "Organisatorisch",
"responsible": "Geschaeftsfuehrung",
"sanctions": {
"max_fine": "7,5 Mio. EUR oder 1% Jahresumsatz"
},
"evidence": [
"Vertraulichkeitsvereinbarungen (NDA)",
"Informationsklassifizierung",
"Zugriffskontrollen fuer KI-Dokumentation"
],
"priority": "mittel",
"tom_control_ids": [
"TOM.AC.01",
"TOM.IAM.01",
"TOM.CRYPTO.03"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-053",
"title": "Uebergangsfristen einhalten",
"description": "Einhaltung der gestaffelten Uebergangsfristen: Verbotene Praktiken ab 02.02.2025, KI-Kompetenz ab 02.02.2025, GPAI ab 02.08.2025, Hochrisiko-KI ab 02.08.2026, bestimmte Annex-III-Systeme ab 02.08.2027.",
"applies_when": "uses_ai",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 99",
"title": "Inkrafttreten und Geltungsbeginn"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 99 AI Act"
}
],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Umsetzungs-Roadmap",
"Meilensteinplan AI Act",
"Compliance-Fortschrittsbericht"
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.02"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-054",
"title": "Harmonisierte Normen anwenden",
"description": "Hochrisiko-KI-Systeme, die harmonisierte Normen (Anhang I) oder gemeinsame Spezifikationen anwenden, profitieren von der Konformitaetsvermutung. Anbieter sollten einschlaegige harmonisierte Normen identifizieren und anwenden.",
"applies_when": "high_risk_provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.is_ai_provider",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 40",
"title": "Harmonisierte Normen"
},
{
"norm": "AI Act",
"article": "Anhang I",
"title": "Harmonisierte Rechtsvorschriften der Union"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 40 AI Act"
},
{
"type": "article",
"ref": "Anhang I AI Act"
}
],
"category": "Compliance",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Normen-Anwendungsbericht",
"Gap-Analyse harmonisierte Normen",
"Konformitaetsvermutungs-Dokumentation"
],
"priority": "mittel",
"tom_control_ids": [
"TOM.GOV.04",
"TOM.GOV.14"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-055",
"title": "Hochrisiko-KI in Biometrie",
"description": "KI-Systeme zur biometrischen Fernidentifizierung, biometrischen Kategorisierung und Emotionserkennung unterliegen als Annex-III-Kategorie 1 den strengsten Hochrisiko-Anforderungen. Konformitaetsbewertung durch notifizierte Stelle erforderlich.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.uses_biometric_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Anhang III Nr. 1",
"title": "Biometrie und biometriebasierte Systeme"
}
],
"sources": [
{
"type": "article",
"ref": "Anhang III Nr. 1 AI Act"
}
],
"category": "Compliance",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Biometrie-Einsatz-Dokumentation",
"Notifizierte-Stelle-Zertifikat",
"Datenschutz-Folgenabschaetzung Biometrie"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.08",
"TOM.DATA.11",
"TOM.IAM.02"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-056",
"title": "Hochrisiko-KI in kritischer Infrastruktur",
"description": "KI-Systeme als Sicherheitskomponente in kritischer Infrastruktur (Verkehr, Wasser, Gas, Strom, Heizung) sind Hochrisiko nach Annex III Nr. 2. Erhoehte Anforderungen an Robustheit und Zuverlaessigkeit.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.ai_in_critical_infrastructure",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Anhang III Nr. 2",
"title": "Kritische Infrastruktur"
}
],
"sources": [
{
"type": "article",
"ref": "Anhang III Nr. 2 AI Act"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Kritische-Infrastruktur-Assessment",
"Redundanz-Nachweis",
"Ausfallsicherheits-Tests"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.BCP.05",
"TOM.BCP.06",
"TOM.NET.04"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-057",
"title": "Hochrisiko-KI in Bildung und Berufsausbildung",
"description": "KI-Systeme zur Bestimmung des Zugangs zu Bildung, Bewertung von Lernenden, Pruefungsauswertung und Ueberwachung von Pruefungen sind Hochrisiko nach Annex III Nr. 3. Besonderer Schutz fuer Minderjaehrige.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.ai_in_education",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Anhang III Nr. 3",
"title": "Allgemeine und berufliche Bildung"
}
],
"sources": [
{
"type": "article",
"ref": "Anhang III Nr. 3 AI Act"
}
],
"category": "Compliance",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Bildungs-KI-Einsatzkonzept",
"Minderjaehrigenschutz-Nachweis",
"Fairness-Analyse Bildungszugang"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.08",
"TOM.DATA.12",
"TOM.HR.04"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-058",
"title": "Hochrisiko-KI in Beschaeftigung",
"description": "KI-Systeme fuer Personaleinstellung, Befoerderungsentscheidungen, Kuendigung, Aufgabenzuweisung und Ueberwachung von Arbeitnehmern sind Hochrisiko nach Annex III Nr. 4. Diskriminierungsfreiheit muss nachgewiesen werden.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.ai_in_employment",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Anhang III Nr. 4",
"title": "Beschaeftigung, Personalmanagement"
}
],
"sources": [
{
"type": "article",
"ref": "Anhang III Nr. 4 AI Act"
}
],
"category": "Compliance",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Beschaeftigungs-KI-Assessment",
"Diskriminierungsfreiheits-Analyse",
"Betriebsrats-Beteiligung dokumentiert"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.08",
"TOM.HR.05",
"TOM.DATA.13"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-059",
"title": "Hochrisiko-KI in Strafverfolgung",
"description": "KI-Systeme in der Strafverfolgung (Risikobewertung, Luegendetektion, Beweismittelbewertung, Rueckfallprognose) sind Hochrisiko nach Annex III Nr. 6. Strenge Grundrechts-Pruefung erforderlich.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.ai_in_law_enforcement",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Anhang III Nr. 6",
"title": "Strafverfolgung"
}
],
"sources": [
{
"type": "article",
"ref": "Anhang III Nr. 6 AI Act"
}
],
"category": "Compliance",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Grundrechts-Pruefung Strafverfolgung",
"Verhältnismaessigkeits-Analyse",
"Datenschutz-Richtlinie-Konformitaet"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.08",
"TOM.GOV.09",
"TOM.AC.02"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-060",
"title": "Hochrisiko-KI in Justiz und Demokratie",
"description": "KI-Systeme zur Unterstuetzung von Justizbehoerden bei Rechtsauslegung und Rechtsanwendung sind Hochrisiko nach Annex III Nr. 8. Menschliche Aufsicht und Transparenz sind besonders wichtig fuer das Vertrauen in die Justiz.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.high_risk_ai",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.ai_in_justice",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Anhang III Nr. 8",
"title": "Rechtspflege und demokratische Prozesse"
}
],
"sources": [
{
"type": "article",
"ref": "Anhang III Nr. 8 AI Act"
}
],
"category": "Compliance",
"responsible": "KI-Verantwortlicher",
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
"Justiz-KI-Einsatzkonzept",
"Human-Oversight-Nachweis",
"Transparenzbericht Justiz-KI"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.07",
"TOM.GOV.08",
"TOM.GOV.10"
],
"valid_from": "2024-08-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "AIACT-OBL-061",
"title": "Risikomanagementsystem etablieren und dokumentieren",
"description": "Ein Risikomanagementsystem ist einzurichten, umzusetzen, zu dokumentieren und aufrechtzuerhalten. Es muss den gesamten Lebenszyklus des KI-Systems abdecken.",
"applies_when": "high-risk AI system",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 9 Abs. 1"
}
],
"sources": [
{
"type": "regulation",
"ref": "Art. 9 Abs. 1 AI Act"
}
],
"category": "Governance",
"responsible": "KI-Verantwortlicher",
"priority": "kritisch",
"deadline": {
"type": "on_event",
"event": "Vor Inverkehrbringen"
},
"sanctions": {
"max_fine": "15 Mio. EUR oder 3% Jahresumsatz"
},
"evidence": [
{
"name": "RMS-Dokumentation",
"required": true
}
],
"tom_control_ids": [
"TOM.GOV.01"
],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-062",
"title": "Bekannte und vorhersehbare Risiken identifizieren und analysieren",
"description": "Identifikation und Analyse bekannter und vernuenftigerweise vorhersehbarer Risiken fuer Gesundheit, Sicherheit und Grundrechte.",
"applies_when": "high-risk AI system",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 9 Abs. 2 lit. a"
}
],
"sources": [
{
"type": "regulation",
"ref": "Art. 9 Abs. 2 AI Act"
}
],
"category": "Governance",
"responsible": "KI-Verantwortlicher",
"priority": "kritisch",
"evidence": [
{
"name": "Risikoregister",
"required": true
}
],
"tom_control_ids": [],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-063",
"title": "Vorhersehbare Fehlanwendungen beruecksichtigen",
"description": "Risiken durch vernuenftigerweise vorhersehbare Fehlanwendungen (reasonably foreseeable misuse) muessen im RMS beruecksichtigt werden.",
"applies_when": "high-risk AI system",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 9 Abs. 2 lit. b"
}
],
"sources": [
{
"type": "regulation",
"ref": "Art. 9 Abs. 2 AI Act"
}
],
"category": "Governance",
"responsible": "KI-Verantwortlicher",
"priority": "hoch",
"evidence": [
{
"name": "Misuse-Analyse-Dokument",
"required": true
}
],
"tom_control_ids": [],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-064",
"title": "Restrisiko bewerten und dokumentieren",
"description": "Nach Umsetzung von Risikominderungsmassnahmen ist das verbleibende Restrisiko zu bewerten und zu dokumentieren. Es muss akzeptabel sein.",
"applies_when": "high-risk AI system",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 9 Abs. 4"
}
],
"sources": [
{
"type": "regulation",
"ref": "Art. 9 Abs. 4 AI Act"
}
],
"category": "Governance",
"responsible": "KI-Verantwortlicher",
"priority": "hoch",
"evidence": [
{
"name": "Restrisiko-Bewertung",
"required": true
}
],
"tom_control_ids": [],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-065",
"title": "Risikomanagement bei System-Updates wiederholen",
"description": "Bei wesentlichen Aenderungen des KI-Systems muss die Risikoanalyse erneut durchgefuehrt werden.",
"applies_when": "system update",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 9 Abs. 1"
}
],
"category": "Governance",
"responsible": "KI-Verantwortlicher",
"priority": "hoch",
"evidence": [
{
"name": "Update-Risikoanalyse",
"required": true
}
],
"tom_control_ids": [],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-066",
"title": "Trainingsdaten auf Bias pruefen",
"description": "Trainings-, Validierungs- und Testdatensaetze muessen auf moegliche Verzerrungen (Bias) geprueft werden, die zu Diskriminierung fuehren koennten.",
"applies_when": "AI system uses training data",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 10 Abs. 2 lit. f"
}
],
"category": "Technisch",
"responsible": "Data Science Team",
"priority": "kritisch",
"evidence": [
{
"name": "Bias-Analyse-Bericht",
"required": true
}
],
"tom_control_ids": [
"TOM.FAIR.01"
],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-067",
"title": "Datenqualitaetskriterien definieren und einhalten",
"description": "Datensaetze muessen relevant, hinreichend repraesentativ, fehlerfrei und vollstaendig sein.",
"applies_when": "AI system uses training data",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 10 Abs. 3"
}
],
"category": "Technisch",
"responsible": "Data Science Team",
"priority": "hoch",
"evidence": [
{
"name": "Datenqualitaets-Dokumentation",
"required": true
}
],
"tom_control_ids": [],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-068",
"title": "Datenversionierung und Rueckverfolgbarkeit",
"description": "Trainings-, Validierungs- und Testdatensaetze muessen versioniert und rueckverfolgbar sein.",
"applies_when": "AI system uses training data",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 10 Abs. 4"
}
],
"category": "Technisch",
"responsible": "Data Engineering",
"priority": "hoch",
"evidence": [
{
"name": "Daten-Versionierungskonzept",
"required": true
}
],
"tom_control_ids": [],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-069",
"title": "Automatische Protokollierung von Eingaben und Ausgaben",
"description": "Hochrisiko-KI-Systeme muessen Eingaben, Ausgaben und Entscheidungen automatisch protokollieren, soweit technisch moeglich.",
"applies_when": "high-risk AI system",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 12 Abs. 1"
}
],
"category": "Technisch",
"responsible": "Entwicklung",
"priority": "kritisch",
"evidence": [
{
"name": "Logging-Architektur-Dokumentation",
"required": true
}
],
"tom_control_ids": [
"TOM.LOG.01"
],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-070",
"title": "Logs manipulationssicher speichern",
"description": "Protokolldaten muessen gegen Manipulation geschuetzt und fuer die vorgeschriebene Dauer aufbewahrt werden.",
"applies_when": "high-risk AI system",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 12 Abs. 2"
}
],
"category": "Technisch",
"responsible": "IT-Sicherheit",
"priority": "hoch",
"evidence": [
{
"name": "Log-Integritaets-Konzept",
"required": true
}
],
"tom_control_ids": [
"TOM.LOG.01",
"TOM.CRY.01"
],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-071",
"title": "Log-Aufbewahrungsfristen definieren",
"description": "Aufbewahrungsfristen fuer Protokolldaten muessen definiert und eingehalten werden. Mindestens 6 Monate, sofern nicht anders vorgeschrieben.",
"applies_when": "high-risk AI system",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 12 Abs. 3"
}
],
"category": "Governance",
"responsible": "Compliance",
"priority": "hoch",
"evidence": [
{
"name": "Aufbewahrungsrichtlinie",
"required": true
}
],
"tom_control_ids": [],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-072",
"title": "Override-Funktion fuer menschliche Uebersteuering",
"description": "Das System muss eine Funktion bereitstellen, mit der ein Mensch die KI-Entscheidung jederzeit uebersteuern oder das System stoppen kann.",
"applies_when": "high-risk AI system",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 14 Abs. 4 lit. d"
}
],
"category": "Technisch",
"responsible": "Entwicklung",
"priority": "kritisch",
"evidence": [
{
"name": "Override-Funktionsdokumentation",
"required": true
}
],
"tom_control_ids": [],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-073",
"title": "Schulung der Nutzer zu KI-Systemgrenzen",
"description": "Personen, die die menschliche Aufsicht ausueben, muessen ueber die Faehigkeiten und Grenzen des Systems geschult sein.",
"applies_when": "high-risk AI system",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 14 Abs. 4 lit. a"
}
],
"category": "Organisatorisch",
"responsible": "HR / Training",
"priority": "hoch",
"evidence": [
{
"name": "Schulungsnachweis KI-Nutzer",
"required": true
}
],
"tom_control_ids": [],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-074",
"title": "Automation Bias verhindern",
"description": "Massnahmen gegen uebermassiges Vertrauen in KI-Ausgaben (Automation Bias) muessen implementiert werden.",
"applies_when": "high-risk AI system",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 14 Abs. 4 lit. b"
}
],
"category": "Organisatorisch",
"responsible": "UX / Compliance",
"priority": "hoch",
"evidence": [
{
"name": "Automation-Bias-Praeventionskonzept",
"required": true
}
],
"tom_control_ids": [],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-075",
"title": "Genauigkeitsziele definieren und messen",
"description": "Fuer Hochrisiko-KI-Systeme muessen Genauigkeitsziele definiert, in der technischen Dokumentation angegeben und den Nutzern mitgeteilt werden.",
"applies_when": "high-risk AI system",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 15 Abs. 1"
}
],
"category": "Technisch",
"responsible": "Data Science Team",
"priority": "hoch",
"evidence": [
{
"name": "Genauigkeits-Metriken-Dokumentation",
"required": true
}
],
"tom_control_ids": [],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-076",
"title": "Robustheit gegen Fehler und Angriffe sicherstellen",
"description": "Das System muss robust sein gegen Fehler, Stoerungen und Versuche unbefugter Dritter, die Leistung zu manipulieren.",
"applies_when": "high-risk AI system",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 15 Abs. 4"
}
],
"category": "Technisch",
"responsible": "IT-Sicherheit",
"priority": "kritisch",
"evidence": [
{
"name": "Adversarial-Test-Ergebnisse",
"required": true
}
],
"tom_control_ids": [
"TOM.SEC.01"
],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-077",
"title": "Cybersecurity-Massnahmen nach Stand der Technik",
"description": "Angemessene Cybersecurity-Massnahmen muessen implementiert werden, einschliesslich Schutz vor Data Poisoning und Adversarial Attacks.",
"applies_when": "high-risk AI system",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 15 Abs. 5"
}
],
"category": "Technisch",
"responsible": "IT-Sicherheit",
"priority": "kritisch",
"evidence": [
{
"name": "AI-Cybersecurity-Konzept",
"required": true
}
],
"tom_control_ids": [
"TOM.SEC.01",
"TOM.CRY.01"
],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-078",
"title": "GPAI-Modell klassifizieren (normal vs. systemisch)",
"description": "Der Anbieter eines GPAI-Modells muss pruefen, ob das Modell als Modell mit systemischem Risiko einzustufen ist (>10^25 FLOP oder EU-Kommissions-Beschluss).",
"applies_when": "GPAI model provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.is_gpai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 51 Abs. 2"
}
],
"category": "Governance",
"responsible": "KI-Verantwortlicher",
"priority": "kritisch",
"evidence": [
{
"name": "GPAI-Klassifizierungsdokument",
"required": true
}
],
"tom_control_ids": [],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-079",
"title": "KI-generierte Inhalte als solche kennzeichnen (GPAI Transparency)",
"description": "Anbieter von GPAI-Modellen, die synthetische Inhalte erzeugen koennen, muessen sicherstellen, dass Ausgaben maschinenlesbar als KI-generiert gekennzeichnet werden.",
"applies_when": "GPAI model generates content",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.is_gpai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 50 Abs. 2"
},
{
"norm": "AI Act",
"article": "Art. 52"
}
],
"category": "Technisch",
"responsible": "Entwicklung",
"priority": "hoch",
"evidence": [
{
"name": "Content-Marking-Implementierung",
"required": true
}
],
"tom_control_ids": [],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-080",
"title": "EU-Repraesentant benennen (Non-EU Anbieter)",
"description": "GPAI-Modell-Anbieter mit Sitz ausserhalb der EU muessen einen bevollmaechtigten Vertreter in der EU benennen.",
"applies_when": "GPAI provider outside EU",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.is_gpai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 54"
}
],
"category": "Governance",
"responsible": "Legal",
"priority": "hoch",
"evidence": [
{
"name": "Bevollmaechtigungsvertrag EU-Repraesentant",
"required": false
}
],
"tom_control_ids": [],
"valid_from": "2025-08-02",
"version": "1.0"
},
{
"id": "AIACT-OBL-081",
"title": "Codes of Practice einhalten oder alternative Massnahmen dokumentieren",
"description": "GPAI-Anbieter sollen sich an Codes of Practice halten. Wenn sie dies nicht tun, muessen sie alternative angemessene Massnahmen dokumentieren.",
"applies_when": "GPAI model provider",
"applies_when_condition": {
"all_of": [
{
"field": "ai_usage.is_gpai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "AI Act",
"article": "Art. 56"
}
],
"category": "Governance",
"responsible": "Compliance",
"priority": "mittel",
"evidence": [
{
"name": "CoP-Teilnahme oder Alternative-Dokumentation",
"required": true
}
],
"tom_control_ids": [],
"valid_from": "2025-08-02",
"version": "1.0"
}
],
"controls": [
{
"id": "AIACT-CTRL-001",
"name": "KI-Inventar",
"description": "Fuehrung eines vollstaendigen Inventars aller KI-Systeme",
"category": "Governance",
"what_to_do": "Erfassung aller KI-Systeme mit Risikoeinstufung, Zweck, Anbieter, Betreiber",
"iso27001_mapping": [
"A.8.1"
],
"priority": "kritisch"
},
{
"id": "AIACT-CTRL-002",
"name": "KI-Governance-Struktur",
"description": "Etablierung einer KI-Governance mit klaren Verantwortlichkeiten",
"category": "Governance",
"what_to_do": "Benennung eines KI-Verantwortlichen, Einrichtung eines KI-Boards",
"priority": "hoch"
},
{
"id": "AIACT-CTRL-003",
"name": "Bias-Testing und Fairness",
"description": "Regelmaessige Pruefung auf Verzerrungen und Diskriminierung",
"category": "Technisch",
"what_to_do": "Implementierung von Bias-Detection, Fairness-Metriken, Datensatz-Audits",
"priority": "hoch"
},
{
"id": "AIACT-CTRL-004",
"name": "Model Monitoring",
"description": "Kontinuierliche Ueberwachung der KI-Modellleistung",
"category": "Technisch",
"what_to_do": "Drift-Detection, Performance-Monitoring, Anomalie-Erkennung",
"priority": "hoch"
},
{
"id": "AIACT-CTRL-005",
"name": "KI-Risikobewertungs-Prozess",
"description": "Etablierung eines strukturierten Prozesses zur Risikobewertung",
"category": "Governance",
"what_to_do": "Pre-Deployment Assessment, regelmaessige Re-Evaluation, Eskalationsprozess",
"priority": "kritisch"
},
{
"id": "AIACT-CTRL-006",
"name": "Explainability-Framework",
"description": "Implementierung von Erklaerbarkeit fuer KI-Entscheidungen",
"category": "Technisch",
"what_to_do": "SHAP/LIME Integration, Entscheidungsprotokollierung, Nutzererklaerungen",
"priority": "mittel"
}
],
"incident_deadlines": [
{
"phase": "Schwerwiegender Vorfall melden",
"deadline": "unverzueglich",
"content": "Meldung schwerwiegender Vorfaelle bei Hochrisiko-KI-Systemen: Tod oder schwere Gesundheitsschaeden, schwerwiegende Grundrechtsverletzungen, schwere Schaeden an Eigentum oder Umwelt.",
"recipient": "Zustaendige Marktaufsichtsbehoerde",
"legal_basis": [
{
"norm": "Art. 73 AI Act"
}
]
},
{
"phase": "Fehlfunktion melden (Anbieter)",
"deadline": "15 Tage",
"content": "Anbieter von Hochrisiko-KI melden Fehlfunktionen, die einen schwerwiegenden Vorfall darstellen koennten.",
"recipient": "Marktaufsichtsbehoerde des Herkunftslandes",
"legal_basis": [
{
"norm": "Art. 73 Abs. 1 AI Act"
}
]
}
]
}
Reference in New Issue View Git Blame Copy Permalink