Was Brüssel tatsächlich auf den Tisch gelegt hat
Am 7. Juli 2026 hat die Europäische Kommission ihren Aktionsplan zu Cybersicherheit und Künstlicher Intelligenz vorgestellt, und der für Betreiber entscheidende Teil ist leise, aber grundlegend. Der AI Act verlangt bereits, dass fortgeschrittene KI-Modelle bewertet und ihre Risiken beurteilt werden, bevor sie auf den EU-Markt kommen. Die Kommission kündigt nun an, eine EU-eigene Bewertungskapazität mit aufzubauen, um die unabhängige Prüfung durch Dritte zu stärken - direkt zur Unterstützung des AI Office, jener Stelle, deren Durchsetzungsbefugnisse am 2. August 2026 greifen.
Daneben sollen die EU-Agentur für Cybersicherheit und die Gemeinsame Forschungsstelle der Kommission bis Ende 2026 eine sichere Plattform aufbauen, um KI in simulierten Umgebungen auf Cybersicherheit zu testen. Die Kommission will zudem einen europäischen Rahmen für den strukturierten Zugang zu fortgeschrittenen KI-Fähigkeiten im Verteidigungsbereich. Zusammengenommen sind das keine vagen Absichten - es ist die Mechanik einer Welt, in der ein Modell von öffentlichen Stellen geprüft wird, bevor und nachdem es die Unternehmen erreicht, die es betreiben.
Warum es kritische Sektoren zuerst trifft
Der Plan benennt sein erstes Publikum unverblümt: Finanzen, Energie, Gesundheit, Verkehr und öffentliche Verwaltung. Die sichere Testplattform ist genau für diese Betreiber gebaut, damit sie sehen, wie sich ein Modell im Cybersicherheitseinsatz verhält, bevor sie ihm im Produktivbetrieb vertrauen. Das ist echt nützlich - einen staatlichen Ort, um KI in einer simulierten Umgebung zu testen, könnte kein einzelner mittelständischer Betreiber allein schaffen. Doch eine Referenzplattform setzt auch einen Referenzmaßstab, und sobald einer existiert, wirkt der Einsatz von KI ohne diese Prüfung schnell wie eine Entscheidung, die man rechtfertigen muss.
Die Zugangsfrage ist noch schärfer. Ein Rahmen für den strukturierten Zugang zu fortgeschrittener KI entscheidet, wer die stärksten Modelle für die Verteidigung nutzen darf und zu welchen Bedingungen. Für einen europäischen Betreiber heißt das, dass die leistungsfähigsten Werkzeuge mit Auflagen kommen können - Prüfung, Dokumentation, Branchenregeln - statt mit einer schlichten Lizenz. Der Gewinn ist ein gemeinsamer Sicherheitsboden; der Preis ist, dass Ihre Modellwahl in einem kritischen Sektor nicht mehr nur eine Beschaffungsentscheidung ist. Das BSI und die nationale Aufsicht werden diesen Maßstab in die Praxis übersetzen.
Das Modell, auf das Sie bauen, braucht vielleicht zwei Behörden
Stellen Sie das neben das, was in Washington bereits geschieht. Die Vereinigten Staaten testen fortgeschrittene Modelle inzwischen selbst vor der Freigabe über eine eigene Bewertungsstelle, und Europa baut nun dieselbe Kapazität auf seiner Seite des Atlantiks auf. Ein Unternehmen, das sein Produkt auf ein führendes Modell stützt, könnte bald feststellen, dass dieses Modell in zwei Rechtsräumen Prüfer überzeugen muss, bevor es freigegeben ist - und dass eine Verzögerung oder Auflage in einem der beiden auf Ihrer Roadmap landet, nicht auf der des Anbieters.
Der praktische Schritt ist, nicht bis August zu warten. Kartieren Sie, welche Ihrer KI-Anwendungen die Hochrisiko- oder kritischen Kategorien des AI Act berühren, denn dort treffen Bewertung, Dokumentation und Zugangsbedingungen zuerst ein. Das BSI und die nationale Aufsicht werden genau hier ansetzen. Wissen Sie, ob die Modelle, auf die Sie sich verlassen, jene sind, die Aufseher prüfen werden, und halten Sie eine Alternative bereit. Wer seine Exponierung kennt, bevor das AI Office seine Befugnisse nutzt, passt sich im eigenen Takt an; wer annimmt, es ändere sich nichts, bis man es ihm sagt, passt sich im Takt eines anderen an.
Weiterlesen: Am 2. August werden die EU-KI-Bußgelder real | KI-Anbieter drohen ab 2. August EU-Bussgelder



