KI-Modelle nach den Vorgaben des AI Acts entwerfen

Inhaltsverzeichnis

Mit dem 2. August 2025 trat die erste Umsetzungsstufe des EU AI Acts in Kraft, die insbesondere Anbieter von GPAI-Modellen betrifft. Als GPAI (General Purpose AI) definiert die EU jedes Modell, das mit mehr als 10²³ FLOPS (Gleitkommaoperationen pro Sekunde) trainiert wurde und in der Lage ist, Sprach- (Text oder Audio), Text-zu-Bild- oder Text-zu-Video-Ausgaben zu erzeugen. Auf die Anbieter solcher Modelle kommen umfangreiche Verpflichtungen zu, die sich über den gesamten Lebenszyklus erstrecken: also von Modelltraining, Systementwicklung und Veröffentlichung bis zu laufenden Updates neuer Versionen.

Die Vorgaben umfassen einen ganzen Katalog an Kriterien. Dazu gehört beispielsweise, dass Anbieter die Umsetzung des AI Acts per Dokumentation bei den nationalen Aufsichtsbehörden nachweisen können, dass eine Zusammenfassung der verwendeten Trainingsdaten existiert und dass die Regeln zum Urheberrecht im Modell beachtet wurden. Bei besonders trainingsintensiven Modellen, die mit mehr als 10²⁵ FLOPS trainiert werden, wird das Modell als GPAI mit systemischem Risiko eingestuft, womit sich zusätzliche Verpflichtungen für den Anbieter ergeben. Das bedeutet unter anderem, dass er eine umfassende und laufende Risikobewertung für das GPAI-Modell über den gesamten Lebenszyklus durchführen und neben technischen auch ethische und soziale Risiken betrachten muss.

iX-tract

• Die erste Stufe der AI-Act-Umsetzung betrifft Anbieter von General-Purpose-AI-Modellen (GPAI-Modellen). Diese unterliegen künftig zahlreichen Regulierungen und Risikoabwägungen.
• Die Umsetzung in die Praxis wirft viele Fragen auf, insbesondere was die sichere Entwicklung und den sicheren Betrieb der Modelle betrifft. Das Multilayer Framework for Good Cybersecurity Practices der europäischen Sicherheitsbehörde ENISA, kurz FAICP, unterstützt dabei.
• Das Absichern von GPAI-Modellen umfasst allgemeine Cybersicherheitsmaßnahmen, aber auch KI- und sektorspezifische Maßnahmen.
• Die komplexe KI-Regulierung der EU enthält jedoch einige Bestimmungen, für die auch das Framework der ENISA keine Lösungen bereithält.

Mehr zu Softwareentwicklung

• KI-Modelle nach den Vorgaben des AI Acts entwerfen
• Lokales Vibe Coding mit Crush und LM Studio
• Data-Science-Kombi für R, Python und Jupyter
• Architektur ist Organisationsdesign
• Nach Ende von Nova Launcher: Fünf alternative Android-Launcher im Vergleich
• Produktiver entwickeln mit Dev Containers
• Developer-Plattform: mehr als DevOps
• KYAML: Kubernetes 1.34 bekommt neues Datenformat
• Kratix, kubriX und OpenChoreo: Developer-Plattformen für Kubernetes im Vergleich
• Entwicklerportal: Backstage in der Praxis

Mirko Ross

Mirko Ross ist CEO der asvin.io. Er ist Experte und Forscher im Bereich Cybersicherheitsrisiken und Cybersicherheit in komplexen IT- und OT-Anwendungen.

Zudem müssen Anbieter Cybersicherheitsmaßnahmen über den Lebenszyklus umsetzen, beispielsweise Cybersicherheitsvorfälle bewerten und Schwachstellen beheben. Schwerwiegende Cybersicherheitsvorfälle müssen sie an die zuständigen nationalen Behörden melden.

Das war die Leseprobe unseres heise-Plus-Artikels "KI-Modelle nach den Vorgaben des AI Acts entwerfen". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.