KI und Cybersicherheit: Ein Leitfaden zur Einhaltung der EU-Verordnung über künstliche Intelligenz

Der Vorschlag der Europäischen Kommission für eine Verordnung über künstliche Intelligenz (KI-Gesetz) ist ein entscheidender Moment in der Regulierung von künstlicher Intelligenz, um einen horizontalen Rahmen für zuverlässige KI zu schaffen und Risiken im Zusammenhang mit Gesundheit, Sicherheit und Grundrechten, die mit neuen KI-Technologien verbunden sind, zu mindern. Daher müssen Anbieter von KI-Systemen die erforderlichen technischen und organisatorischen Maßnahmen umsetzen, bevor sie ein KI-System mit hohem Risiko auf dem EU-Markt platzieren, um die Anforderungen des Gesetzes zu erfüllen. Ziel ist es, Vertrauen in künstliche Intelligenz aufzubauen, während innovative Technologien eingeführt werden, um einen positiven gesellschaftlichen Einfluss zu gewährleisten.

Die Standardisierung von Cybersicherheitsstandards wird eine Schlüsselrolle bei der Erreichung der Compliance spielen. Spezifische Werkzeuge, die die Cybersicherheit für KI-Systeme mit hohem Risiko gewährleisten, sind noch nicht ausreichend erforscht und fehlen. Solche Forschungen stehen gerade erst am Anfang und zielen darauf ab, Wissen und Ansätze aus verschiedenen Bereichen wie KI-Forschung, adversarial machine learning und allgemeiner Cybersicherheit zu sammeln und zu kombinieren.

Richtlinien für Interessengruppen

Dieser Text soll die praktischen Auswirkungen der Cybersicherheit, die durch das Gesetz vorgeschrieben sind, hervorheben und wichtige Richtlinien zur Erreichung der Compliance bereitstellen, wie sie vom Gemeinsamen Forschungszentrum veröffentlicht wurden, das als wissenschaftliches Zentrum der Europäischen Kommission unabhängige, evidenzbasierte Kenntnisse und wissenschaftliche Forschung bereitstellt.

Die bereitgestellten Richtlinien bieten entscheidende Einblicke für alle Interessengruppen, die sich durch die Cybersicherheitsanforderungen des Gesetzes navigieren. Angesichts der potenziellen Auswirkungen, die KI haben kann (sowohl positiv als auch negativ), können wir sagen, dass es eine breite Palette von Interessengruppen gibt, die die Cybersicherheitsanforderungen berücksichtigen müssen. Wir können sie in drei Gruppen kategorisieren: (1) individuelle Interessengruppen, (2) organisatorische Interessengruppen und (3) nationale oder internationale Interessengruppen, die an der Ausarbeitung von Gesetzen und anderen Vorschriften beteiligt sind.

Schlüsselelemente

Artikel 15 des KI-Gesetzes legt fest, dass KI-Systeme mit hohem Risiko ein bestimmtes Maß an Genauigkeit, Robustheit und Cybersicherheit erreichen müssen. Erwägungsgrund 51 des Gesetzes erläutert weiter die Cybersicherheit.

Die Cybersicherheitsanforderungen sollten die folgenden Schlüsselelemente umfassen: Widerstandsfähigkeit gegen böswillige Veränderungen, Anwendung technischer und organisatorischer Lösungen, Cybersicherheitsrisikobewertung und angemessene risikobasierte technische Lösungen.

Laut dem Gesetz müssen KI-Systeme mit hohem Risiko eine Konformitätsbewertung durchlaufen, um die Cybersicherheitsanforderung zu erfüllen, bevor sie auf dem EU-Markt verwendet werden. Erwägungsgrund 51 des Gesetzes besagt: ‚Hochriskante künstliche Intelligenz sollte während des gesamten Lebenszyklus des Produkts oder, falls keine Abhängigkeit von einem bestimmten Produkt besteht, während eines vom Hersteller festgelegten Zeitraums von Sicherheitslösungen und Patches begleitet werden.‘ Das bedeutet, dass Anbieter von KI-Systemen die Cybersicherheit und deren Updates während des gesamten Lebenszyklus des KI-Systems garantieren müssen.

Standardisierte Standards

Es gibt zwei Optionen zur Gewährleistung der Compliance. Die erste Option ist die Anwendung der in Kapitel 5 des Gesetzes genannten standardisierten Standards. Erwägungsgrund 61 des Gesetzes besagt: ‚Die Standardisierung sollte eine Schlüsselrolle bei der Bereitstellung technischer Lösungen für Anbieter spielen, um die Einhaltung dieser Verordnung sicherzustellen.‘ Die erste Anforderung an die KI-Standardisierung, die von der Europäischen Kommission im Mai 2023 veröffentlicht wurde, bezieht sich offiziell auf die Entwicklung der erforderlichen Standards zur Erleichterung der bevorstehenden Vorschriften über künstliche Intelligenz. Da die Anwendung standardisierter Standards freiwillig ist, besteht die zweite Option darin, dass Anbieter von KI-Systemen die Einhaltung des Gesetzes unabhängig von ihnen nachweisen.

Durch die Integration etablierter Cybersicherheitspraktiken mit KI-spezifischen Maßnahmen können KI-Systeme mit hohem Risiko effektiv Cybersicherheitsrisiken mindern und auf die Compliance hinarbeiten. Die Einhaltung des KI-Gesetzes spielt eine entscheidende Rolle bei der Entwicklung des KI-Ökosystems, wobei technologische Fortschritte in der Cybersicherheit der nächste Schritt zu größerer Sicherheit für die Nutzer von KI-Systemen sind.