NIS2 Directive und der AI Act: Wesentliche Inhalte, Parallelen und Differenzen
Im mehr Branchen bieten oder integrieren digitale Dienstleistungen. Daher sind folgende Regelwerke für ihr operatives Geschäft maßgeblich:
NIS2 Directive (Network and Information Security Directive)
Die NIS2 Directive ist eine überarbeitete Version der ursprünglichen NIS-Richtlinie (2016/1148/EU) und zielt darauf ab, die Cybersicherheit in der EU zu stärken. Die wichtigsten Punkte sind:
- Erweiterter Anwendungsbereich: Die NIS2 Directive erweitert den Anwendungsbereich und umfasst nun mehr Sektoren und Organisationen, darunter Anbieter von digitalen Diensten, öffentliche Verwaltungen und Gesundheitssektor.
- Strengere Sicherheitsanforderungen: Unternehmen müssen striktere Sicherheitsmaßnahmen implementieren, wie z.B. Risikomanagement, technische und organisatorische Maßnahmen zur Vermeidung von Cyberangriffen und regelmäßige Sicherheitsüberprüfungen.
- Meldepflichten: Unternehmen sind verpflichtet, schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden nach deren Entdeckung zu melden. Dies soll eine schnellere Reaktion und Koordination bei Cyberangriffen ermöglichen.
- Durchsetzung und Sanktionen: Es werden strengere Durchsetzungsmechanismen eingeführt, einschließlich hoher Bußgelder für die Nichteinhaltung der Sicherheitsanforderungen.
- Koordination und Zusammenarbeit: Die Richtlinie fördert eine stärkere Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten sowie zwischen dem öffentlichen und privaten Sektor.
AI Act (Artificial Intelligence Act)
Der AI Act ist ein Legislativvorschlag der EU, der darauf abzielt, die Entwicklung und Nutzung von Künstlicher Intelligenz (KI) innerhalb der Union zu regulieren. Die wichtigsten Punkte sind:
- Risikobasierter Ansatz: Der AI Act kategorisiert KI-Systeme basierend auf dem Risiko, das sie für die Sicherheit und Grundrechte der Menschen darstellen (unvertretbares Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko).
- Regulierung von Hochrisiko-KI-Systemen: Systeme, die als hochriskant eingestuft werden, unterliegen strengen Anforderungen, wie z.B. strenge Datensätze für Training und Testen, Dokumentations- und Protokollierungsanforderungen, Transparenz und Erklärbarkeit, sowie menschliche Aufsicht.
- Verbotene Praktiken: Einige KI-Praktiken werden als unvertretbares Risiko eingestuft und verboten, z.B. KI-Systeme, die Menschen manipulieren oder diskriminieren.
- Transparenzanforderungen: KI-Systeme, die mit Menschen interagieren, müssen bestimmte Transparenzanforderungen erfüllen, wie z.B. die Offenlegung, dass sie KI-basierte Systeme sind.
- Konformitätsbewertung: Hersteller von KI-Systemen müssen Konformitätsbewertungsverfahren durchlaufen, um sicherzustellen, dass ihre Systeme die Anforderungen erfüllen.
- Governance und Durchsetzung: Der AI Act sieht die Einrichtung von nationalen Überwachungsbehörden und eines Europäischen Ausschusses für Künstliche Intelligenz vor, um die Einhaltung der Vorschriften zu überwachen und durchzusetzen.
Parallelen zwischen NIS2 Directive und AI Act
- Zielsetzung der Sicherheit: Beide Rechtsakte zielen darauf ab, die Sicherheit zu erhöhen, sei es im Bereich der Netz- und Informationssicherheit oder bei der Nutzung von KI-Systemen.
- Regulatorischer Rahmen: Beide Richtlinien schaffen einen umfassenden regulatorischen Rahmen, der spezifische Anforderungen an Unternehmen stellt, um Risiken zu minimieren.
- Meldepflichten: Sowohl die NIS2 Directive als auch der AI Act enthalten Meldepflichten für Sicherheitsvorfälle oder Verstöße, um eine schnelle Reaktion zu ermöglichen.
- Durchsetzungsmechanismen: Beide Richtlinien sehen strenge Durchsetzungsmechanismen und Sanktionen vor, um die Einhaltung der Vorschriften zu gewährleisten.
Differenzen zwischen NIS2 Directive und AI Act
- Anwendungsbereich: Die NIS2 Directive konzentriert sich auf die Cybersicherheit von Netzwerken und Informationssystemen, während der AI Act spezifisch auf die Regulierung von KI-Systemen abzielt.
- Risikomanagement: Der AI Act verwendet einen risikobasierten Ansatz zur Klassifizierung und Regulierung von KI-Systemen, während die NIS2 Directive hauptsächlich allgemeine Sicherheitsanforderungen an Netzwerke und Informationssysteme stellt.
- Technologische Fokussierung: Während die NIS2 Directive eine breite Palette von Technologien und Sektoren abdeckt, konzentriert sich der AI Act ausschließlich auf KI-Technologien und deren spezifische Risiken.
- Transparenzanforderungen: Der AI Act legt besonderen Wert auf Transparenz und die Erklärbarkeit von KI-Systemen, was in der NIS2 Directive weniger prominent ist.
- Governance-Strukturen: Der AI Act sieht spezielle Governance-Strukturen für die Überwachung und Durchsetzung von KI-Vorschriften vor, während die NIS2 Directive auf bestehende nationale und europäische Cybersicherheitsbehörden setzt.
Diese Unterschiede und Parallelen zeigen, wie beide Rechtsakte komplementär arbeiten, um ein sicheres digitales Umfeld in der EU zu gewährleisten, wobei jeder auf unterschiedliche, aber oft zusammenhängende Bedrohungen und Technologien abzielt.