Was kostet EU AI Act Beratung?

Der Aufwand richtet sich nach dem Umfang der eingesetzten KI-Systeme, ihrer Risikoklassifizierung nach Art. 6 der Verordnung (EU) 2024/1689 und dem bestehenden Governance-Reifegrad. In einem kostenfreien Erstgespraech klaeren wir Umfang und Aufwand individuell.

Gilt der EU AI Act bereits fuer mein Unternehmen?

Ja, partiell seit dem 2. Februar 2025. Die KI-Kompetenzpflicht nach Art. 4 und die Verbote nach Art. 5 der Verordnung (EU) 2024/1689 gelten seit diesem Datum. Die vollstaendigen Hochrisiko-Pflichten nach Art. 6-49 greifen ab dem 2. August 2026.

Welche Pflichten haben Betreiber nach der EU AI Act Beratung?

Betreiber von Hochrisiko-KI-Systemen unterliegen nach Art. 26 eigenen Pflichten: menschliche Aufsicht nach Art. 14, Befolgung der Anbieter-Anweisungen und Meldung von Vorkommnissen. Art. 27 verlangt zusätzlich eine Grundrechte-Folgenabschaetzung (FRIA) vor dem Betriebsstart.

Wie haengt EU AI Act Beratung mit ISO 42001 zusammen?

ISO/IEC 42001 ist ein freiwilliger Standard fuer KI-Managementsysteme. Er liefert die Struktur, die der EU AI Act voraussetzt: Risikoregister, KI-Policy, Rollen. Wer ISO 42001 implementiert, deckt viele Anforderungen der Verordnung strukturell ab, darunter Art. 9 (Risikomanagementsystem).

Wie unterscheidet sich EU AI Act Beratung von einem einmaligen Audit?

Ein Audit prueft den Ist-Zustand an einem Stichtag. EU AI Act Compliance ist ein laufender Prozess: Neue KI-Systeme müssen bewertet werden, Post-Market-Surveillance-Daten sind nach Art. 72 auszuwerten, und delegierte Rechtsakte können bestehende Pflichten praezisieren.

EU AI Act 2025: Strategien für Sicherheit, Compliance ?

Abschnitt 01

Warum EU AI Act Beratung heute nicht warten sollte

Die Verordnung (EU) 2024/1689 ist am 1. August 2024 in Kraft getreten. Seit dem 2. Februar 2025 gelten die Verbote nach Art. 5 und die KI-Kompetenzverpflichtung nach Art. 4 für alle Unternehmen, die KI-Systeme einsetzen oder bereitstellen. Wer diesen Stichtag verpasst hat, operiert bereits außerhalb des gesetzlichen Rahmens.

Das eigentliche Problem vieler Organisationen liegt jedoch tiefer. Wer nicht weiß, welche KI-Systeme im Unternehmen laufen, kann weder klassifizieren noch nachweisen. Schatten-KI — also unkontrolliert genutzte KI-Tools in Fachabteilungen — taucht in keinem Register auf, durchläuft keinen Freigabeprozess und erzeugt gleichwohl Haftung beim Betreiber.

Art. 26 der Verordnung definiert klare Pflichten für Deployer: Sie müssen sicherstellen, dass Anweisungen des Anbieters befolgt werden, eine menschliche Aufsicht gewährleistet ist und grundrechtliche Auswirkungen vorab bewertet werden.

Die Bußgelder sind konkret: Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes drohen bei Verstößen gegen Art. 5 (Art. 99 Abs. 3). Für den Mittelstand ist das keine abstrakte Größe. Gleichwohl besteht kein Grund zur Panik — wohl aber zum gezielten Handeln.

SECURAM begleitet Unternehmen von der ersten Bestandsaufnahme bis zur laufenden Compliance. Die EU AI Act Beratung baut auf dem AIMS-Rahmen nach ISO 42001 auf und ist eng mit der ISO-42001-Beratung verzahnt — beide Themen lassen sich ohne Doppelaufwand kombinieren.

Abschnitt 02

EU AI Act Pflichten für Betreiber nach Art. 26 und 27

Die Verordnung (EU) 2024/1689 gilt unmittelbar in allen EU-Mitgliedstaaten — einer nationalen Umsetzung bedarf es nicht. Für Schweizer Unternehmen, die KI-Systeme in der EU anbieten oder betreiben, gelten die Anforderungen über den Marktgeltungsbereich nach Art. 2 Abs. 1 ebenfalls. Der risikobasierte Ansatz der Verordnung ist bekanntlich nicht auf Großkonzerne zugeschnitten.

Viele Unternehmen unterschätzen, dass die Betreiberpflichten nach Art. 26 und 27 auch dann greifen, wenn das KI-System zugekauft und nicht selbst entwickelt wurde. Wer einen KI-gesteuerten Bewerbungsfilter oder ein automatisiertes Kreditscoring einsetzt, gilt als Deployer — und ist für menschliche Aufsicht, Vorfallsberichterstattung und gegebenenfalls die Grundrechte-Folgenabschätzung verantwortlich. Diese Pflichten sind von der ISMS-Governance methodisch nicht zu trennen; Risikoanalysen und Dokumentationsstrukturen lassen sich zusammenführen.

Betreiberpflichten

Menschliche Aufsicht (Art. 14)
Anbieter-Anweisungen befolgen (Art. 26)
Vorfallsberichterstattung
Grundrechte-Folgenabschätzung (Art. 27)
ISMS-Integration

Abschnitt 03

Schatten-KI und das KI-Inventar als Compliance-Grundlage

Der EU AI Act setzt ein vollständiges Inventar voraus. Wer Schatten-KI — also ohne IT-Freigabe genutzte KI-Anwendungen — nicht erfasst, kann dieses Inventar nicht lückenlos erstellen. SECURAM verbindet EU AI Act Beratung mit Discovery-Methoden, die auch nicht genehmigte Nutzung sichtbar machen.

Wer Schatten-KI nicht erfasst, kann das KI-Inventar nicht lückenlos erstellen. Die Risikoklassifizierung nach Art. 6 ergibt nur dann ein verlässliches Bild, wenn alle eingesetzten Systeme bekannt sind.

Abschnitt 04

Von der einmaligen Beratung zur laufenden KI-Governance

Neue KI-Systeme werden eingesetzt, Modelle werden aktualisiert, Leitlinien der europäischen KI-Behörde präzisieren bestehende Pflichten. Die Verbindung von Erstberatung und laufendem Betrieb durch einen Externen KI-Beauftragten ist das Modell, das im DACH-Mittelstand nachhaltig funktioniert. Einen Überblick über alle SECURAM-Leistungen bietet die Leistungsübersicht.

EU AI Act Betroffenheit prüfen

SECURAM klärt den Status quo Ihrer KI-Nutzung und die relevanten Risikoklassen. Sprechen Sie mit Florian Priegnitz.

Erstgespräch buchen

Was die EU AI Act Beratung umfasst

Von der KI-Inventarisierung bis zum laufenden Monitoring, strukturiert nach den Anforderungen der Verordnung (EU) 2024/1689.

—

KI-Inventarisierung (AI Register)

Systematische Erfassung aller im Unternehmen genutzten KI-Systeme, einschließlich nicht genehmigter Schatten-KI-Anwendungen. Das Register ist Voraussetzung für jede weitere Compliance-Maßnahme und bildet die Nachweisgrundlage gegenüber Aufsichtsbehörden.
—

Risikoklassifizierung nach Art. 6

Einstufung jedes erfassten Systems in die Risikokategorien der Verordnung: verboten, Hochrisiko (Annex III), Transparenzpflichten, minimales Risiko. Die Klassifizierung bestimmt den gesamten Compliance-Aufwand. Fehler hier erzeugen entweder Überfüllung oder blinde Flecken.
—

Konformitätsbewertung (Art. 43)

Für Hochrisiko-KI-Systeme muss die Konformitätsbewertung vor Inverkehrbringen oder Inbetriebnahme abgeschlossen sein. SECURAM begleitet das interne Bewertungsverfahren und bereitet auf externe Kontrollen vor, einschließlich der EU-Konformitätserklärung nach Art. 47.
—

FRIA — Grundrechte-Folgenabschätzung (Art. 27)

Öffentliche Einrichtungen und private Betreiber bestimmter Hochrisiko-Systeme müssen vor dem Einsatz eine Fundamental Rights Impact Assessment durchführen. SECURAM unterstützt bei der Methodik, der Dokumentation und der Einbindung relevanter Stakeholder.
—

Technische Dokumentation (Annex IV)

Hochrisiko-KI verlangt umfangreiche Dokumentationspflichten: technisches Dossier nach Annex IV, Protokollierung und Aufzeichnungs-Logging nach Art. 12 sowie Qualitätsmanagementsystem. SECURAM erstellt die Dokumente und sichert Nachweisfestigkeit.
—

Risikomanagementsystem nach Art. 9

Aufbau eines iterativen Risikomanagementsystems für den gesamten Lebenszyklus eines Hochrisiko-Systems, von der Entwicklung über den Betrieb bis zur Außerdienststellung. Methodisch verzahnt mit dem AIMS nach ISO 42001.
—

AI Literacy Schulungen (Art. 4)

Die Kompetenzpflicht gilt seit dem 2. Februar 2025 und betrifft alle Beschäftigten, die KI-Systeme bedienen oder überwachen. SECURAM konzipiert rollenspezifische Schulungsformate und erstellt die erforderliche Nachweis-Dokumentation.
—

Monitoring und Post-Market-Surveillance (Art. 72)

Konformität endet nicht mit dem Inverkehrbringen. SECURAM richtet die erforderlichen Überwachungsprozesse ein und übernimmt auf Wunsch die laufende Betreuung als dauerhaft operative Rolle im Rahmen des externen KI-Beauftragten.

Projekt oder laufende Begleitung? EU AI Act Compliance ist kein einmaliges Projekt. Delegierte Rechtsakte, Leitlinien der KI-Behörde und technische Normen ändern den Handlungsrahmen fortlaufend. Der Externe KI-Beauftragte von SECURAM übernimmt die operative Rolle dauerhaft, mit planbarem Stundenbudget.

Ist Ihr Unternehmen bereits vom EU AI Act betroffen?

In einem kostenfreien Erstgespräch klären wir den Status quo Ihrer KI-Nutzung, die relevanten Risikoklassen und die nächsten konkreten Schritte, ohne Vorlaufzeit, ohne Standardpräsentation.

Kostenfreies Erstgespräch Leistungsübersicht

Warum SECURAM für EU AI Act Compliance

Vier Gründe, warum mittelständische Unternehmen bei der EU AI Act Compliance auf SECURAM setzen.

Compliance

Gestaffelte Fristen, klarer Fahrplan

Art. 4 und Art. 5 gelten seit Februar 2025. Hochrisiko-Pflichten ab August 2026. SECURAM erstellt einen individuellen Compliance-Zeitplan mit konkreten Meilensteinen.

Inventar

KI-Systeme vollständig erfassen

Ohne lückenloses Inventar keine valide Risikoklassifizierung. SECURAM identifiziert auch Schatten-KI aus Fachabteilungen und macht sie steuerbar.

Methodik

ISO 42001 als Strukturrahmen

Die Verordnung verlangt Risikomanagementsysteme und Dokumentation. ISO 42001 liefert die erprobte Struktur dafür. Beide Anforderungsrahmen werden von Beginn an gemeinsam gedacht.

Betrieb

Über das Projekt hinaus

Neue KI-Systeme, neue Leitlinien der KI-Behörde, neue delegierte Rechtsakte. SECURAM begleitet als externer KI-Beauftragter auch nach dem Erstprojekt.

Ihr Ansprechpartner

Florian Priegnitz

Information Security Consultant · SECURAM Consulting GmbH

Information Security Consultant mit Schwerpunkt ISO 27001 und ISO 42001. Berät Unternehmen zu EU AI Act und AI Governance, von der Gap-Analyse bis zur operativen Umsetzung im laufenden Betrieb.

→ Kontakt aufnehmen → LinkedIn-Profil

Download

Unternehmensflyer

Alle Leistungen auf einen Blick als PDF zum Weitergeben.

SECURAM Consulting

Unternehmensflyer mit Leistungsportfolio, Beratungsansatz und Kontaktdaten.

PDF, 5 Seiten

Flyer herunterladen

Typische Ausgangssituationen

Drei Szenarien führen Unternehmen besonders häufig zum Thema EU AI Act Compliance:

KI-Systeme im Einsatz, Compliance unklar

Ihr Unternehmen nutzt KI im Kundenservice, in der Personalauswahl oder in der Kreditvergabe. Ob diese Systeme als Hochrisiko nach Annex III gelten, ist bisher nicht geprüft. Sie brauchen eine Risikoklassifizierung und einen Maßnahmenplan.

Stichtag Art. 4 verpasst, Art. 6 steht bevor

Die KI-Kompetenzpflicht gilt seit Februar 2025. Schulungsnachweise fehlen. Ab August 2026 greifen die Hochrisiko-Pflichten. Jetzt ist der richtige Zeitpunkt, systematisch aufzusetzen statt später aufzuholen.

ISMS vorhanden, KI-Governance fehlt

Ein ISMS nach ISO 27001 ist zertifiziert. KI-Systeme werden genutzt, aber nicht im Scope. Die Integration von EU AI Act Pflichten in bestehende Governance-Strukturen spart Doppelaufwand bei Dokumentation und Audits.

FAQ — EU AI Act Beratung für Unternehmen

Häufige Fragen zur Verordnung (EU) 2024/1689 und zur praktischen Compliance-Begleitung.

Der Aufwand richtet sich nach dem Umfang der eingesetzten KI-Systeme, ihrer Risikoklassifizierung nach Art. 6 der Verordnung (EU) 2024/1689 und dem bestehenden Governance-Reifegrad. Unternehmen ohne jede KI-Governance starten in der Regel mit einem AI Inventory und einer GAP-Analyse. Unternehmen mit mehreren Hochrisiko-Systemen nach Annex III benötigen durchaus längere Projektlaufzeiten.

In einem kostenfreien Erstgespräch klären wir Umfang und Aufwand individuell.
Ja, partiell seit dem 2. Februar 2025. Die KI-Kompetenzpflicht nach Art. 4 und die Verbote nach Art. 5 der Verordnung (EU) 2024/1689 gelten seit diesem Datum für alle Unternehmen, die KI-Systeme einsetzen oder anbieten und ihren Sitz in der EU haben oder den EU-Markt adressieren.

Die vollständigen Hochrisiko-Pflichten nach Art. 6–49 greifen ab dem 2. August 2026. Ob und wie stark Ihr Unternehmen betroffen ist, klärt die Risikoklassifizierung im Rahmen des AI Inventory.
Betreiber von Hochrisiko-KI-Systemen, sogenannte Deployer, unterliegen nach Art. 26 eigenen Pflichten: Sie müssen sicherstellen, dass menschliche Aufsicht nach Art. 14 gewährleistet ist, Anweisungen des Anbieters befolgt werden und Vorkommnisse an die Marktaufsicht gemeldet werden.

Zusätzlich verlangt Art. 27 eine Grundrechte-Folgenabschätzung (FRIA) vor dem Betriebsstart bestimmter Systeme. Diese Betreiberpflichten greifen unabhängig davon, ob das System selbst entwickelt oder zugekauft wurde. Die Einbindung in die bestehende ISMS-Governance ist methodisch sinnvoll.
ISO/IEC 42001 ist kein Gesetz, sondern ein freiwilliger Standard für KI-Managementsysteme. Er liefert die Struktur, Risikoregister, KI-Policy, Rollen und Prozesse, die der EU AI Act regulatorisch voraussetzt, ohne sie im Detail zu beschreiben.

Wer ISO 42001 implementiert, deckt viele Anforderungen der Verordnung strukturell ab, darunter das Risikomanagementsystem nach Art. 9 und die Dokumentationspflichten. Beide Standards zusammen ergeben ein Governance-Modell, das externen Prüfern standhalten dürfte.
Ein Audit prüft den Ist-Zustand an einem Stichtag, nützlich, aber nicht ausreichend. EU AI Act Compliance ist ein laufender Prozess: Neue KI-Systeme müssen nach Art. 6 bewertet werden, Post-Market-Surveillance-Daten sind nach Art. 72 auszuwerten, und delegierte Rechtsakte können bestehende Pflichten präzisieren oder ausweiten.

SECURAM bietet daher neben Einmalprojekten auch laufende Betreuung als Externer KI-Beauftragter an, für Unternehmen, die Compliance nicht als Projekt, sondern als dauerhaften Betriebszustand verstehen.

Kontakt

Wir freuen uns auf Ihre Nachricht.

Kontaktdaten

Colonnaden 5
20354 Hamburg

040 298 4553-0

contact@securam-consulting.com

Direkter Kontakt

Vertrieb: sales@securam-consulting.com
Bewerbung: bewerbung@securam-consulting.com

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen

EU AI Act Beratung — Compliance-Begleitung nach Verordnung (EU) 2024/1689