Blog
KI-Wissen

Wenn KI Nein sagen muss – Teil 2: Wie sich die Vorgaben für KI bis 2027 verdichten.

Dr. Alexander Engels
May 7, 2026
03:30
Lesezeit

Bis Anfang bzw. Mitte 2027 verdichten sich unter anderem vier EU-Verordnungen zu einem neuen Rahmen für KI im operativen B2B-Einsatz: Der EU AI Act, die neue EU-Produkthaftungsrichtlinie und der Cyber Resilience Act treffen praktisch jeden Anbieter, die neue Maschinenverordnung trifft insbesondere den Maschinenbau zusätzlich. Wer technisch sauber baut, erfüllt einen Großteil der Anforderungen automatisch. Sauber bauen verlangt allerdings aktive Entscheidungen. Dieser Beitrag ordnet die Stichtage und Auswirkungen, zeigt die Verzahnung und benennt wichtige Hebel im neu definierten KI-Lieferanten-Innenverhältnis.

Drei Daten, eine Richtung

Drei Stichtage greifen in Kürze branchenübergreifend, ein vierter gilt für den Maschinenbau:

  • 2. August 2026. Die Hochrisiko-Pflichten des EU AI Act nach Anhang III treten in Kraft, unter anderem für KI als Sicherheitskomponente in der Versorgung mit Wasser, Gas, Wärme oder Elektrizität.
  • 9. Dezember 2026. Stichtag für die nationale Umsetzung der neuen EU-Produkthaftungsrichtlinie (PLD). Software und KI-Systeme werden ab dann explizit als Produkt eingestuft.
  • 2. August 2027.  Die Pflichten nach dem EU AI Act greifen für KI als Sicherheitsbauteil in Maschinen, die einer Drittprüfung unterliegen. Das ist bspw. der Regelfall im Maschinenbau.
  • Januar 2027. Anwendung der neuen Maschinenverordnung. Für Maschinen mit KI-Komponente wird das CE-Verfahren um KI-Aspekte erweitert.

Parallel dazu greifen Meldepflichten des Cyber Resilience Act (CRA) ab dem 11. September 2026 sowie dessen Hauptpflichten inklusive CE-Konformität ab dem 11. Dezember 2027. 

Vier parallele Verordnungen

Die vier gelisteten Regelwerke decken unterschiedliche Risikoklassen ab und ergänzen sich:

  • EU AI Act verlangt für Hochrisiko-KI ein dokumentiertes Risikomanagement, technische Dokumentation, menschliche Aufsicht, Datenqualitätsnachweise, Transparenzmaßnahmen und Audit-Logs. Verstöße sind nach Art. 99 Abs. 4 mit bis zu 15 Mio. Euro oder 3% des weltweiten Jahresumsatzes belegt (im Falle verbotener Praktiken sogar bis zu 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes).
  • Produkthaftungsrichtlinie (PLD) stuft Software und KI-Systeme explizit als Produkt ein. Im Außenverhältnis gegenüber Geschädigten haften Maschinenhersteller und KI-Komponentenhersteller (KI-Lieferanten) gesamtschuldnerisch. Bei nachgewiesenen AI-Act-Verstößen greift eine Beweislastumkehr zugunsten des Geschädigten.
  • Cyber Resilience Act (CRA) fordert insbesondere Secure-by-Design, systematisches Schwachstellenmanagement, Sicherheits-Updates über den gesamten Produktlebenszyklus, koordinierte Schwachstellen-Offenlegung und eine Software-Stückliste (SBOM).
  • Neue Maschinenverordnung behandelt KI-Komponenten in Sicherheitsfunktionen explizit. Risikobeurteilung, technische Dokumentation und Cyberresilienz werden zur Pflicht.

Die vier Verordnungen gelten parallel, nicht alternativ. Für eine moderne Maschine mit KI-Anteil, Kommunikationsschnittstellen und Update-Fähigkeit bedeutet das drei parallele CE-Wege mit teilweise übereinstimmender, aber nicht deckungsgleicher Dokumentation. Eine vollständig gebündelte Konformitätsbewertung ist Stand 2026 noch nicht möglich.

Die unterschätzte Wende: Produkthaftung und Lieferkette

Die Produkthaftungsrichtlinie ist der unauffälligste der vier Punkte und gleichzeitig der mit den größten Konsequenzen für die Lieferantenarchitektur. Drei Effekte sind zu beachten:

  1. Software und KI werden zum Produkt. Damit fallen sie unter dasselbe Haftungsregime wie ein mechanischer Fehler.
  2. Gesamtschuldnerische Außenhaftung. Maschinenhersteller und KI-Komponentenhersteller haften gegenüber dem Geschädigten gemeinsam, unabhängig davon, wer den Fehler verursacht hat.
  3. Beweislastumkehr. Wer einen AI-Act-Verstoß nachweisen kann, muss den Kausalzusammenhang zwischen Verstoß und Schaden nicht mehr eigenständig führen.

Reine Vermögensschäden wie Produktionsausfälle oder Vertragsstrafen bleiben außerhalb der PLD und sind weiterhin vertraglich zu regeln.

Im Innenverhältnis zwischen Maschinenbauer und KI-Lieferant ist die Haftungsverteilung Vertragssache. Drei vertragliche Hebel werden damit zur Pflichtübung: Audit-Rechte für KI-Komponenten, Regress-Klauseln bei AI-Act-Verstößen und Update-Verpflichtungen über den Maschinen-Lebenszyklus hinweg.

Compliance als Nebenprodukt sauberer Architektur

An dieser Stelle schließt sich der Kreis zu Teil 1 dieser Serie (Bau und Betrieb verlässlicher KI-Agenten in der Industrie): Audit-Logs, Policy-Schicht, systematische Evals und maschinenlesbare Trace-Events sorgen für die erforderlichen Compliance-Nachweise. Wer KI-Agenten sauber baut und betreibt, erfüllt viele dieser Anforderungen ohne zusätzlichen Aufwand.

Die meisten Pflichten werden sich nicht durch eine generische KI-Subscription erfüllen lassen. Dokumentations-, Abnahme- und Nachvollziehbarkeitspflichten verlangen architektonische, prozessuale und vertragliche Antworten. Wer in Teil 1 noch geneigt war, Tool Registry, Continuous Integration und maschinenlesbare Audit-Events als Engineering-Komfort zu lesen, findet sie hier in ihrer regulatorischen Bedeutung eingeordnet.

Hilfen für KMU

Angesichts der KI-Verordnungswelle, die auf Unternehmen aller Größen zurollt, arbeitet die EU-Kommission an Erleichterungen für kleine und mittlere Unternehmen: Vereinfachte Vorlagen für die technische Dokumentation, Muster-Checklisten für das Qualitätsmanagement und gesicherte Umgebungen, in denen neue KI-Anwendungen unter behördlicher Aufsicht erprobt werden dürfen, bevor sie in den Markt gehen. Es bleibt allerdings abzuwarten, was davon wann tatsächlich zur Verfügung steht. 

Take-away

Der Aufwand, den ein Unternehmen heute in den sauberen Bau und Betrieb seiner KI-Agenten investiert, wird spätestens ab 2027 zum Wettbewerbsvorteil. Wer in den kommenden 18 Monaten beginnt, technisch sauber zu arbeiten, erfüllt den Großteil der regulatorischen Anforderungen als Nebenprodukt. Wer wartet, baut diese Anforderungen unter Zeitdruck nachträglich ein. Beides ist möglich, der frühzeitige Start ist günstiger.

Wer es noch genauer wissen möchte, findet in unserem Whitepaper “Wenn KI-Agenten Nein sagen müssen” weitere Details sowie praktische Empfehlungen für den Maschinen- und Anlagenbau.

Whitepaper herunterladen

Beitrag teilen
Dr. Alexander Engels

Weitere Artikel

Alle Artikel
KI-Wissen
03:30
Lesezeit

Wenn KI Nein sagen muss - Teil 1: Bau und Betrieb verlässlicher KI-Agenten in der Industrie.

Der Artikel „Wenn KI Nein sagen muss – Teil 1: Bau und Betrieb verlässlicher KI-Agenten in der Industrie“ behandelt die Herausforderung, die Eigenständigkeit von KI-Agenten im industriellen Einsatz so zu steuern, dass sie keine unerwünschten Aktionen ausführen.
KI-Wissen
11 Min
Lesezeit

Multi-User MCP Servers Need a Different Architecture

Everyone is deploying remote MCP servers the same way. For multi-user cloud apps, that's a mistake — and there's a better pattern.
KI-Wissen
3 Min
Lesezeit

KI für Zeitreihen: Modelltypen (Teil 2)

Rekurrente neuronale Netze sind Deep-Learning-Modelle, erkennen Zusammenhänge in sequenziellen Daten, treffen Vorhersagen auf Basis zurückliegender Werte.
View all