Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → Audit Begleitung as a Service GAP-Analyse Implementierung
ISMS
Übersicht → Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht → Externer KI-Beauftragter EU AI Act ISO 42001 Thema Schatten-KI
BCMS
Übersicht → Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht → Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht → Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht → Insights KI-Security Briefing
Über uns
Übersicht → Presse
+49 40-298 4553-0 [email protected]
EU AI Act Beratung: KI-Compliance für Unternehmen | SECURAM
AIMS · EU AI Act

EU AI Act Beratung für Unternehmen

Die EU-KI-Verordnung (VO 2024/1689) reguliert den Einsatz künstlicher Intelligenz in Europa nach einem risikobasierten Ansatz. Die Pflicht zur AI Literacy nach Art. 4 gilt bereits seit Februar 2025. Ab August 2026 greifen die Anforderungen für Hochrisiko-KI-Systeme. Bußgelder erreichen bis zu 35 Millionen Euro.

Erstgespräch vereinbaren Leistungsumfang ↓
AI Act EU-Verordnung
ISMS AIMS BCMS RMS

Ausgangslage

Warum der EU AI Act jedes Unternehmen betrifft

Kein Grund zur Panik, aber Grund zum Handeln. Die erste KI-Verordnung weltweit verlangt nachweisbare Compliance von jedem, der KI einsetzt.

Die EU-KI-Verordnung (VO 2024/1689) ist seit August 2024 in Kraft und entfaltet ihre Wirkung in gestaffelten Fristen. Art. 5 (verbotene KI-Praktiken) und Art. 4 (AI Literacy) gelten bereits seit Februar 2025. Ab August 2026 folgen die Anforderungen für Hochrisiko-KI-Systeme nach Art. 6, einschließlich Konformitätsbewertung, menschlicher Aufsicht und Transparenzpflichten. Die Verordnung gilt für Anbieter und Betreiber gleichermaßen: Auch wer KI nur einsetzt, ohne sie selbst zu entwickeln, unterliegt konkreten Pflichten nach Art. 26.

Für mittelständische Unternehmen bedeutet das: Jeder KI-Einsatz muss dokumentiert, klassifiziert und überwacht werden. Schatten-KI — der unkontrollierte Einsatz von ChatGPT, Copilot oder anderen Tools durch Beschäftigte — wird zum Compliance-Risiko, wenn kein KI-Inventar existiert. Die Grundrechte-Folgenabschätzung nach Art. 27 betrifft jeden Betreiber von Hochrisiko-KI im öffentlichen Bereich.

In unseren Projekten verbinden wir die EU-AI-Act-Umsetzung mit dem Aufbau eines AI Management Systems nach ISO 42001. Das schafft die Governance-Struktur, die der EU AI Act fordert, ohne ein isoliertes KI-Compliance-Programm neben dem bestehenden ISMS aufbauen zu müssen. Die GPAI-Durchführungsverordnung der EU-Kommission vom März 2026 konkretisiert die Anforderungen an General-Purpose-AI-Modelle weiter.

Leistungsumfang

EU AI Act: Von der Inventarisierung bis zur laufenden Governance

Wir begleiten Unternehmen durch den gesamten KI-Compliance-Prozess: strukturiert, normkonform und integriert in bestehende Managementsysteme.

01

KI-Inventarisierung

Erfassung aller KI-Systeme in der Organisation, einschließlich Shadow-AI. Klassifizierung nach Einsatzzweck, Anbieter, Nutzerkreis und Datenflüssen.

02

Risikoklassifizierung

Einstufung der KI-Systeme in die vier Risikostufen des EU AI Act: verboten, Hochrisiko, begrenzt, minimal. Bewertung nach Art. 6 und Anhang III.

03

AI Literacy Programm

Umsetzung der Art. 4-Pflicht: Nachweisbare KI-Kompetenz für alle Personen, die KI-Systeme einsetzen, überwachen oder darüber entscheiden.

04

Betreiberpflichten

Implementierung der Pflichten nach Art. 26: menschliche Aufsicht (Art. 14), Anbieter-Anweisungen befolgen, Vorfallsberichterstattung und Dokumentation.

05

Konformitätsdokumentation

Aufbau der technischen Dokumentation für Hochrisiko-KI: Systemarchitektur, Trainingsdaten, Leistungskennzahlen und Risikoanalysen.

06

Grundrechte-Folgenabschätzung

Durchführung der Folgenabschätzung nach Art. 27 für Betreiber von Hochrisiko-KI im öffentlichen Bereich und in sensiblen Sektoren.

07

AIMS-Integration

Einbettung der EU-AI-Act-Anforderungen in ein AI Management System nach ISO 42001. Verzahnung mit bestehendem ISMS.

08

Monitoring und Reporting

Aufbau eines kontinuierlichen KI-Überwachungssystems: Performance-Monitoring, Bias-Erkennung, Vorfallsmeldung und Audit-Trail.

Ablauf

Von der Inventarisierung zur KI-Governance in 6 Phasen

KI-Inventarisierung und Shadow-AI-Discovery

Woche 1–3

Erfassung aller KI-Systeme in der Organisation, von offiziell beschafften Lösungen bis zu eigenständig genutzten Tools. Jedes System wird nach Einsatzzweck, Datenfluss und Nutzerkreis dokumentiert.

Ergebnis: KI-Inventar mit vollständiger Systemlandkarte

Risikoklassifizierung nach Art. 6

Woche 3–4

Bewertung jedes KI-Systems gegen die vier Risikostufen des EU AI Act und die Kriterien aus Anhang III. Identifikation von Hochrisiko-Systemen und verbotenen Praktiken.

Ergebnis: Risikobewertungsbericht mit Klassifizierungsmatrix

AI Literacy Programm (Art. 4)

Woche 4–7

Konzeption und Durchführung eines nachweisbaren Schulungsprogramms für alle KI-beteiligten Beschäftigten. Differenzierung nach Rollen: Entscheider, Anwender, Entwickler, Datenschutzbeauftragte.

Ergebnis: AI Literacy Nachweis je Rolle

Betreiberpflichten umsetzen (Art. 26/27)

Woche 6–11

Implementierung der Betreiberpflichten: menschliche Aufsichtsverfahren (Art. 14), Prozesse für die Einhaltung der Anbieter-Anweisungen, Vorfallsberichterstattung und Grundrechte-Folgenabschätzung.

Ergebnis: Verfahrensanweisungen und Aufsichtsprozesse

Konformitätsdokumentation und Monitoring

Woche 10–13

Aufbau der technischen Dokumentation und Einrichtung des laufenden KI-Monitorings. Integration in bestehende Audit- und Berichtsprozesse des ISMS.

Ergebnis: Konformitätsdossier und Monitoring-Dashboard

Laufende KI-Governance mit AIGaaS

Fortlaufend

Übergang in den laufenden Betrieb: regelmäßige Überprüfung des KI-Inventars, Aktualisierung der Risikoklassifizierung, Nachschulung und Audit-Vorbereitung. SECURAM übernimmt als externer KI-Governance-Beauftragter die kontinuierliche Betreuung.

Ergebnis: Quartalsberichte und jährliches KI-Governance-Review

Zeitangaben beziehen sich auf ein Erstprojekt im Mittelstand (100–500 Beschäftigte). Bei bestehenden Managementsystemen oder erfahrenen Organisationen verkürzen sich die Phasen entsprechend.

Erfahrung und Qualifikation

Worauf SECURAM aufbaut

SECURAM Consulting wurde in Hamburg gegründet und berät seit mehr als 20 Jahren mittelständische Unternehmen in der DACH-Region. Die Kombination aus ISMS, BCMS, KI-Governance und Risikomanagement unter einem Dach unterscheidet SECURAM von spezialisierten Einzelnorm-Beratungen, weil Überschneidungen zwischen Standards systematisch genutzt werden.

30+
Implementierte Managementsysteme
50+
Durchgeführte interne Audits
15+
Betreute Organisationen (aaS)
20+
Jahre Beratungserfahrung

Skalierung

Einmal aufbauen, mehrfach absichern

KI-Governance und ISMS-Compliance ergänzen sich. Ein integrierter Aufbau spart 20–40 % des Aufwands gegenüber isolierten Einzelprojekten.

Der EU AI Act definiert die Pflichten, ISO 42001 liefert das Governance-System zur Umsetzung. Wer beide kombiniert, erfüllt die regulatorischen Anforderungen mit einer einzigen Managementstruktur.

Relevante Standards anderer Säulen
ISO 27001 NIS-2 CRA

Laufender Betrieb

AIGaaS — Externer KI-Governance-Beauftragter

Mit dem AIGaaS-Modell übernimmt SECURAM die Rolle des externen KI-Governance-Beauftragten. Das umfasst die laufende Pflege des KI-Inventars, die Aktualisierung der Risikoklassifizierung, Monitoring der Betreiberpflichten und die regelmäßige Berichterstattung an die Geschäftsleitung, ohne eigenes Vollzeit-Personal binden zu müssen.

Für Unternehmen, die den EU AI Act umsetzen, ist der AIGaaS besonders relevant: Die Verordnung verlangt eine fortlaufende Überwachung aller KI-Systeme, regelmäßige Nachschulungen und die zeitnahe Meldung von Vorfällen. Der AIGaaS stellt sicher, dass diese Pflichten dauerhaft und nachweisbar erfüllt werden.

  • Fortlaufende Pflege des KI-Inventars und Shadow-AI-Monitoring
  • Regelmäßige Aktualisierung der Risikoklassifizierung
  • AI Literacy Nachschulungen und Onboarding neuer Beschäftigter
  • Quartalsberichte und Vorbereitung auf Aufsichtsbehörden-Anfragen

SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

Häufige Fragen

FAQ — EU AI Act

Der EU AI Act (Verordnung (EU) 2024/1689) ist die erste übergreifende KI-Regulierung weltweit. Die Verordnung reguliert den Einsatz künstlicher Intelligenz in der Europäischen Union nach einem risikobasierten Ansatz mit vier Stufen: verbotene Praktiken, Hochrisiko-KI, begrenzte und minimale Risiken. Sie gilt seit August 2024 und entfaltet ihre Wirkung in gestaffelten Fristen bis 2027.
Die Verordnung ist seit August 2024 in Kraft. Die Umsetzung erfolgt gestaffelt: Art. 5 (verbotene KI-Praktiken) und Art. 4 (AI Literacy) gelten bereits seit Februar 2025. Die Anforderungen für Hochrisiko-KI-Systeme nach Art. 6 greifen ab August 2026. Betreiber sollten die Zeit bis dahin für die Inventarisierung, Risikoklassifizierung und den Aufbau der Governance-Strukturen nutzen.
Der Aufwand hängt von der Anzahl der eingesetzten KI-Systeme, deren Risikostufe und dem Reifegrad bestehender Governance-Strukturen ab. SECURAM kalkuliert auf Personentag-Basis. Ein typischer Einstieg ist die KI-Inventarisierung mit Shadow-AI-Discovery, die einen vollständigen Überblick über alle KI-Systeme in der Organisation liefert und die Grundlage für alle weiteren Schritte bildet.
SECURAM verbindet die EU-AI-Act-Umsetzung mit dem Aufbau eines AI Management Systems nach ISO 42001 und der Integration in bestehende ISMS-Strukturen. Dazu kommt der AIGaaS — ein Modell für den laufenden Betrieb der KI-Governance durch einen externen KI-Beauftragten. Die Shadow-AI-Discovery deckt zudem KI-Nutzung auf, die in offiziellen IT-Inventaren nicht erfasst ist.
Ja, wenn Ihr Unternehmen KI-Systeme einsetzt oder bereitstellt. Die Verordnung gilt nach Art. 2 für Anbieter und Betreiber von KI-Systemen in der EU — unabhängig davon, ob die KI selbst entwickelt oder als Dienstleistung eingekauft wird. Auch der Einsatz von ChatGPT, Copilot oder anderen generativen KI-Tools fällt unter die Betreiberpflichten, sobald er betrieblich genutzt wird.
Art. 4 verpflichtet alle Anbieter und Betreiber von KI-Systemen, ausreichende KI-Kompetenz bei ihren Beschäftigten sicherzustellen. Das betrifft jeden, der KI-Systeme einsetzt, überwacht oder darüber entscheidet. Die Pflicht gilt bereits seit Februar 2025. Nachweisbare Schulungen, angepasst an den jeweiligen Einsatzkontext und die Risikostufe der KI-Systeme, sind der gängige Weg zur Erfüllung.
Das Sanktionsregime nach Art. 99 stuft Verstöße in drei Kategorien: Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes für verbotene KI-Praktiken. Bis zu 15 Millionen Euro oder 3 Prozent für Verstöße gegen Betreiberpflichten. Bis zu 7,5 Millionen Euro oder 1,5 Prozent für falsche Angaben gegenüber Behörden. Für KMU gelten reduzierte Obergrenzen.
Betreiber von Hochrisiko-KI müssen menschliche Aufsicht sicherstellen (Art. 14), die Anweisungen des Anbieters befolgen, Eingabedaten auf Relevanz prüfen, die Nutzung dokumentieren und schwerwiegende Vorfälle melden. Zusätzlich verlangt Art. 27 von bestimmten Betreibern eine Grundrechte-Folgenabschätzung, bevor ein Hochrisiko-KI-System in Betrieb genommen wird.
Der EU AI Act definiert die gesetzlichen Pflichten, ISO 42001 liefert das Managementsystem zur Umsetzung. ISO 42001 ist ein freiwilliger Standard für KI-Governance — wer ihn implementiert, schafft die Strukturen (Risikomanagement, Dokumentation, Auditprozesse), die der EU AI Act fordert. Die Kombination aus Verordnung und Standard vermeidet doppelte Governance-Strukturen und ist die bewährte Umsetzungsstrategie.
Schatten-KI bezeichnet den unkontrollierten Einsatz von KI-Tools durch Beschäftigte ohne Wissen oder Freigabe der IT-Abteilung. Typische Beispiele sind die betriebliche Nutzung von ChatGPT, Bildgeneratoren oder KI-gestützten Übersetzungstools über private Accounts. Unter dem EU AI Act wird Schatten-KI zum Compliance-Risiko, weil Betreiberpflichten auch für nicht-inventarisierte KI-Systeme gelten. SECURAM identifiziert Schatten-KI durch die Shadow-AI-Discovery als ersten Schritt der Inventarisierung.

KI-Compliance beginnt mit Transparenz

Wissen Sie, welche KI-Systeme in Ihrer Organisation im Einsatz sind? Vereinbaren Sie ein unverbindliches Erstgespräch zur KI-Inventarisierung.

Erstgespräch vereinbaren →

Nächster Schritt

Ihr Einstieg in die KI-Compliance

GAP-Analyse

EU AI Act GAP-Analyse

Wo steht Ihre KI-Governance heute? Die GAP-Analyse zeigt den Abstand zwischen Ist-Zustand und den Anforderungen der EU-KI-Verordnung, mit konkretem Maßnahmenplan.

GAP-Analyse anfragen →
Internes Audit

KI-Governance Audit

Sind Ihre KI-Prozesse nachweisbar konform? Das interne Audit prüft Inventar, Klassifizierung, Schulungsnachweise und Betreiberpflichten gegen die Verordnung.

Audit anfragen →
Implementierung

EU AI Act umsetzen

Von der Inventarisierung bis zum laufenden Monitoring: SECURAM begleitet die Umsetzung aller Pflichten aus der EU-KI-Verordnung.

Implementierung anfragen →

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen
Verwandte Themen

Schatten-KI: Das unsichtbare Risiko in Ihrem Unternehmen

KI-Governance beginnt dort, wo Kontrolle aufhört. Diese zwei Seiten zeigen, warum Schatten-KI jedes AIMS-Projekt betrifft.

Hub-Seite

Schatten-KI

80 % der Beschäftigten nutzen KI-Tools ohne Genehmigung. Die Hub-Seite liefert den Überblick: Risiken, Erkennungsmethoden und ein praxisnahes Governance-Framework für den kontrollierten Umgang mit nicht genehmigten KI-Anwendungen.

80 % ungenehmigt
Aug 2026 EU AI Act Deadline
Zur Übersicht Schatten-KI Fallstudie

Was ist OpenClaw?

Ein österreichischer Entwickler baut in einer Stunde einen KI-Agenten. Vier Monate später ist OpenClaw das meistgesternde Projekt auf GitHub, mit 135.000 exponierten Instanzen im offenen Internet. Die Fallstudie zum größten Schatten-KI-Vorfall 2026.

265K GitHub Stars
135K+ exponiert
CVSS 8.8 CVE-Schwere
Zur Fallstudie OpenClaw