EU-KI-VO Sicherheitskontrollen: Artikel 9-15 auf technische Maßnahmen

Die EU-KI-Verordnung ist 2026 vollziehbar geworden. Für Anbieter von Hochrisiko-KI-Systemen sind die Pflichten aus den Artikeln 9 bis 15 konkret und auditierbar. Dieser Beitrag bildet jeden Artikel auf spezifische technische Kontrollen ab und liefert Crosswalks zu ISO 42001 und ISO 27001, damit Sicherheitsteams, die bereits unter diesen Frameworks arbeiten, erweitern statt neu aufbauen können.

Drei Beobachtungen rahmen das Folgende ein. Erstens: Die meisten KI-Anbieter, die Hochrisiko-Systeme einsetzen, betreiben auch ein ISO-27001-zertifiziertes Informationssicherheits-Managementsystem. Die KI-VO ergänzt KI-spezifische Kontrollen; sie ersetzt bestehende nicht. Zweitens: Die KI-VO ist bewusst rahmungsneutral hinsichtlich des Zertifizierungspfads; ISO 42001 wird zum De-facto-Standard, weil es sauber abbildet. Drittens: Das EU AI Office wird mit der Zeit sektorspezifische Leitlinien herausgeben, die die praktische Auslegung verfeinern. Das nachstehende Mapping ist die rahmungsneutrale Basislinie.

Artikel 9 — Risikomanagement-System

Artikel 9 verlangt ein dokumentiertes Risikomanagement-System für Hochrisiko-KI-Systeme, das über den Lebenszyklus eingerichtet und gepflegt wird. Risiken müssen identifiziert, analysiert, bewertet und behandelt werden. Restrisiken müssen dem Betreiber kommuniziert werden.

Technische Kontrollen: systemspezifisches Risikoregister (getrennt vom organisatorischen Risikoregister), risiko­spezifischer Behandlungsplan, Restrisiko-Akzeptanz mit benanntem Genehmiger, Retraining-Trigger gekoppelt an Risiko-Re-Evaluation.

ISO-42001-Mapping: A.6 KI-Risikobehandlung, A.6.2 Risikobewertungsprozess. ISO-27001-Crosswalk: Annex A.5.7 (Threat Intelligence), A.5.20 (Informationssicherheit in Lieferantenbeziehungen).

Artikel 10 — Daten und Daten-Governance

Artikel 10 setzt Qualitätskriterien für Trainings-, Validierungs- und Testdaten. Daten müssen relevant, hinreichend repräsentativ und fehlerfrei sein. Bias-Erkennung und -Minderung sind explizite Pflichten.

Technische Kontrollen: Daten-Provenienz-Tracking (Quelle, Erfassungsdatum, Lizenz, Einwilligungsbasis), Daten-Qualitäts-Validierungs-Pipelines, Bias-Detection-Metriken pro geschütztem Attribut, Aufbewahrungs- und Löschverfahren mit Löschnachweis.

ISO-42001-Mapping: A.7 Datenmanagement, A.7.4 Datenqualität. ISO-27001-Crosswalk: Annex A.5.34 (Datenschutz/PII), A.8.10 (Informationslöschung), A.8.11 (Datenmaskierung).

Artikel 11 — Technische Dokumentation

Artikel 11 verlangt technische Dokumentation, die vor Marktzulassung erstellt und aktuell gehalten wird. Anhang IV spezifiziert Inhalte: Systembeschreibung, Designspezifikationen, Trainingsdaten, Validierungsergebnisse, Monitoring-Plan.

Technische Kontrollen: Model Card mit Pflichtfeldern, automatisierte Regeneration der Validierungsergebnisse bei jeder Modellversion, Versionskontrolle der Dokumentation selbst.

Artikel 12 — Logging

Artikel 12 verlangt automatische Aufzeichnung von Ereignissen während des Betriebs des KI-Systems. Die Aufzeichnungen müssen die Identifikation risikorelevanter Situationen, die Rückverfolgbarkeit des Systembetriebs über den gesamten Lebenszyklus und die Marktbeobachtung nach Inverkehrbringen ermöglichen.

Technische Kontrollen: Pro-Inferenz-Log-Eintrag (Zeitstempel, Input-Hash, Output, Modellversion, Konfidenz wo zutreffend), Aufbewahrungsdauer gekoppelt an die Produkt-Lebensdauer-Erwartung, Log-Integritätskontrollen, eingeschränkter Zugriff auf Log-Records mit Audit-Trail.

ISO-42001-Mapping: A.9 KI-Systembetrieb, A.9.4 Logging. ISO-27001-Crosswalk: Annex A.8.15 (Logging), A.8.16 (Überwachungsaktivitäten).

Artikel 13 — Transparenz und Information für Betreiber

Artikel 13 verlangt, dass das System hinreichend transparent ist, damit Betreiber den Output interpretieren und das System sachgerecht einsetzen können. Eine Gebrauchsanweisung muss bereitgestellt werden.

Technische Kontrollen: Konfidenz- oder Unsicherheitssignal pro Output, Dokumentation bekannter Grenzen und Fehlermodi, betreiber­gerichtete Anweisungen zu Input-Anforderungen und Output-Interpretation.

Artikel 14 — Menschliche Aufsicht

Artikel 14 verlangt Maßnahmen zur menschlichen Aufsicht, die es Personen erlauben, Fähigkeiten und Grenzen des Systems zu verstehen, den Betrieb zu überwachen, über den Einsatz zu entscheiden, Outputs zu überstimmen oder zurückzunehmen und das System zu stoppen.

Technische Kontrollen: eine Control Plane getrennt von der Inferenz-Plane, Override-Mechanismus, der kein Modell-Retraining oder Redeployment erfordert, Kill-Switch mit dokumentiertem Aktivierungsverfahren, Schulungsnachweise der Aufsichtsoperatoren, Audit-Trail der Override-Aufrufe.

Sicherheitsimplikation: Die Control Plane ist ein hochwertiges Angriffsziel. Adversariale Aktionen dort deaktivieren entweder die Aufsicht oder manipulieren Operatoren dazu, riskante Outputs zu akzeptieren. Die Control Plane muss als am stärksten privilegierte Zone in der KI-System-Architektur behandelt werden.

Artikel 15 — Genauigkeit, Robustheit und Cybersicherheit

Artikel 15 ist der explizit cybersicherheits­bezogene Artikel. Hochrisiko-KI-Systeme müssen so gestaltet sein, dass sie angemessene Niveaus an Genauigkeit, Robustheit und Cybersicherheit erreichen und über ihren Lebenszyklus konsistent funktionieren.

Technische Kontrollen (Genauigkeit): dokumentierte Genauigkeits-Metriken pro Evaluations-Set, Regressionstests bei jedem Modell-Update, Drift-Detection in Produktion mit Schwellwerten.

Technische Kontrollen (Robustheit): adversariale Beispiele im Test, Out-of-Distribution-Detection, Fail-Safe-Defaults bei abgelehntem Input, Redundanz dort, wo das KI-System einen Single Point of Failure darstellt.

Technische Kontrollen (Cybersicherheit): Bedrohungsmodell speziell für das KI-System (das 7-Klassen-Threat-Model aus dem Agent-Security-Beitrag ist ein Ausgangspunkt), Penetrationstests, die KI-spezifische Angriffe abdecken (Prompt Injection, Data Poisoning, Model Extraction), Incident-Response-Verfahren.

ISO-42001-Mapping: A.6.2.6 Risikobehandlung. ISO-27001-Crosswalk: Annex A.8.7 (Schutz vor Schadsoftware), A.8.8 (technische Schwachstellen), A.8.29 (Sicherheitsprüfungen).

Sequenzierung der Einführung

Für Organisationen mit bestehender ISO-27001-Zertifizierung ist ein KI-VO-Readiness-Programm in drei Phasen über sechs Monate realistisch.

• Monate 1–2: KI-System-Inventar, Klassifikation nach KI-VO-Risikostufen, Gap-Analyse gegen Artikel 9–15.
• Monate 3–4: fehlende technische Kontrollen einführen (Logging, Aufsichts­mechanismen, Robustheits­tests). ISO-27001-Verfahren mit KI-spezifischen Addenden erweitern, statt separate Rahmenwerke aufzubauen.
• Monate 5–6: ISO-42001-Readiness-Assessment, internes Audit, Lückenbehebung. Optional: ISO-42001-Zertifizierung anstreben, um die KI-Risikomanagement-Posture nach außen zu belegen.

Organisationen ohne ISO-27001 sollten einen längeren Zyklus planen. Die KI-VO setzt reife Informationssicherheits-Steuerung als Fundament voraus; beides parallel aufzubauen verdoppelt die Laufzeit und die Fehlerrate.