Der EU AI Act: Was Energieunternehmen vor August 2026 wissen sollten
Das Compliance-Fenster schließt sich
Der EU AI Act ist in Kraft. Seine anspruchsvollsten Verpflichtungen – die für hochriskante KI-Systeme gelten – treten am 2. August 2026 in Kraft.
Für Energieunternehmen, die im EU-Markt tätig sind oder diesen bedienen, handelt es sich nicht um ein Nischen-Compliance-Thema. Viele bereits eingesetzte KI-Systeme in Bereichen wie Exploration, Produktion, Transport, Energieerzeugung und Netzbetrieb könnten unter die „hochriskante“ Kategorie des Gesetzes fallen. Unternehmen, die noch keine strukturierten Compliance-Bemühungen begonnen haben, sollten den 2. August 2026 als kritischen Stichtag betrachten. Die Strafen für Nichteinhaltung können bis zu 15 Millionen Euro oder bis zu 3 % des globalen Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.
Warum KI-Systeme im Energiesektor oft als „hochriskant“ gelten
Der AI Act verfolgt einen risikobasierten Ansatz. Die strengsten Verpflichtungen gelten für KI-Systeme, die in Anhang III als hochriskant eingestuft sind. Zwei Bestimmungen des EU AI Act arbeiten zusammen, um den Status als hochriskant zu bestimmen. Anhang III, Abschnitt 2 klassifiziert als hochriskant jedes KI-System, das als „Sicherheitselement“ im Management oder Betrieb kritischer Infrastrukturen, einschließlich Elektrizität, Gas, Heizung und anderer wesentlicher Energiedienstleistungen, fungiert. Der Act übernimmt eine breite Definition von „kritischer Infrastruktur“ aus der Richtlinie über die Resilienz kritischer Einrichtungen (EU) 2022/2557, die sowohl physische als auch digitale Vermögenswerte in der gesamten Energiewertschöpfungskette umfasst — von den upstream-Operationen bis hin zu Übertragung, Verteilung und Einzelhandelsversorgung. Ein KI-System qualifiziert sich als „Sicherheitselement“, wenn sein Ausfall oder seine Fehlfunktion physische Schäden an der Infrastruktur oder Verletzungen an Personen oder Eigentum verursachen könnte. KI-Systeme, die ausschließlich für Cybersicherheitszwecke verwendet werden, sind ausdrücklich ausgeschlossen.
Anhang I bietet einen zweiten, unabhängigen Weg zur Einstufung als hochriskant. Wenn ein KI-System als Sicherheitselement in einem Produkt eingebettet ist, das bereits einer Drittanbieter-Konformitätsbewertung unter EU-Harmonisierungsgesetzgebung unterliegt — wie der Maschinenrichtlinie, der Druckgeräterichtlinie oder der ATEX-Richtlinie — wird dieses KI-System unabhängig als hochriskant gemäß Artikel 6(1) klassifiziert. Energieunternehmen sollten sich bewusst sein, dass ein einziges KI-System sowohl unter Anhang I als auch unter Anhang III eine hochriskante Einstufung auslösen kann, und dass jede Klassifizierung ihre eigenen Compliance-Verpflichtungen mit sich bringt.
Zu berücksichtigende KI-Systeme
Die folgenden Beispiele sind illustrativ, aber nicht erschöpfend. Der gemeinsame Nenner ist die operationale Konsequenz — es handelt sich um Systeme, deren Ausfall unter bestimmten Umständen die Sicherheit, die Versorgungszuverlässigkeit oder die Integrität der Infrastruktur beeinträchtigen kann:
Uplstream (Exploration & Produktion): Automatisierte Brunnensteuerung, Drucküberwachung und Blowout-Präventionssysteme; prädiktive Analysen zur strukturellen Integrität; KI-unterstützte Sicherheitsüberwachung von Offshore-Plattformen.
Midstream (Pipeline, Lagerung & Transport): SCADA-integrierte KI-Systeme zur Kontrolle oder Überwachung von Pipelineoperationen; automatisierte Leckdetektions- und Anomalieplattformen; Integritätsmanagementsysteme für Pipelines und Lagerstätten.
Downstream (Raffination, Verteilung & Einzelhandel): KI-Prozesskontrolle und Sicherheitsüberwachung in Raffinerien; automatisierte Gefahren-Detektion an Terminals; Integritätsüberwachung von Geräten mit automatisierten Reaktionsfunktionen.
LNG: KI-Sicherheitsüberwachung für Verflüssigungs- und Regasifizierungsoperationen; automatisierte Erkennung und Steuerung in der kryogenen Infrastruktur.
Energieerzeugung & Versorgungsunternehmen: KI-Steuerungs- und Sicherheitssysteme für thermische, nukleare und erneuerbare Erzeugung; Netzmanagement, Lastprognosen und Echtzeit-Dispatch-Tools; automatisierte Fehlererkennung, Isolation und Wiederherstellungssysteme.
Energieunternehmen sollten auch prüfen, ob Systeme anderen Kategorien in Anhang III zuzuordnen sind — insbesondere KI, die als Sicherheitselemente in regulierten Produkten eingesetzt werden oder biometrische Systeme, die für den Zugang zu Einrichtungen, die Gesundheitsüberwachung von Mitarbeitern oder die Sicherheitssysteme der Belegschaft verwendet werden.
Wesentliche Compliance-Verpflichtungen
Energieunternehmen können als Anbieter (Entwicklung oder Inbetriebnahme von Systemen) oder als Nutzer (Einsatz von Drittanbietersystemen) auftreten — häufig auch in beiden Rollen. Die Verpflichtungen der Anbieter sind am umfangreichsten, aber auch Nutzer tragen bedeutende Pflichten.
Für jedes hochriskante KI-System müssen Anbieter Folgendes umsetzen und dokumentieren:
Governance und Aufsicht:
Ein dokumentiertes Risikomanagementsystem über den gesamten Lebenszyklus (Artikel 9); designlevel menschliche Aufsicht, die Überwachung, Intervention und Übersteuerung ermöglicht (Artikel 14).
Technische Bereitschaft:
Robuste Datenverwaltung, einschließlich Datenqualität und Bias-Kontrollen (Artikel 10); integrierte Protokollierung und Aufzeichnung (Artikel 12); nachgewiesene Genauigkeit, Robustheit und Cybersicherheit, die dem Infrastruktur-Risiko angemessen sind (Artikel 15).
Regulatorische Bereitschaft:
Umfassende technische Dokumentation und Konformitätsunterlagen gemäß Anhang IV (Artikel 11); klare Gebrauchsanweisungen und Transparenzmaterialien für Nutzer (Artikel 13); Abschluss einer Konformitätsbewertung und Registrierung in der EU-Datenbank für hochriskante KI vor der Bereitstellung (Artikel 43, 71).
Was jetzt zu tun ist
Compliance kann ohne operative Sichtbarkeit nicht beginnen. Kein Unternehmen kann die Anforderungen des Gesetzes erfüllen, ohne zuerst zu wissen, welche KI-Systeme im Einsatz sind, wo sie bereitgestellt werden und wer sie entwickelt oder beschafft hat. Dieses Inventar ist die Voraussetzung für alles andere — und für viele Unternehmen wird es länger dauern als erwartet, dies abzuschließen.
Führen Sie ein strukturiertes KI-Inventar über alle EU-relevanten Betriebe und Geschäftseinheiten durch — dies ist der nicht verhandelbare erste Schritt; klassifizieren Sie jedes System vorsichtig gemäß Anhang III mit dokumentierter Begründung für jede Einordnung; kartieren Sie den Status als Anbieter oder Nutzer für jedes relevante System, insbesondere bei intern angepassten oder integrierten Plattformen; prüfen Sie die Verträge mit KI-Anbietern auf Compliance-Lücken, Haftungszuweisungen und Durchgriffspflichten — die meisten bestehenden Verträge wurden nicht mit Blick auf das Gesetz verfasst; weisen Sie cross-funktionale Verantwortlichkeiten für die KI-Governance (Recht, Technik, Betrieb, Beschaffung) zu, bevor die technische Compliance-Arbeit beginnt; initiieren Sie die technische Dokumentation für bekannte hochriskante Systeme parallel zum breiteren Inventar — warten Sie nicht, bis das Inventar abgeschlossen ist; bewerten Sie die Architektur der menschlichen Aufsicht für bestehende Systeme und identifizieren Sie etwaige Umgestaltungsanforderungen; planen Sie jetzt die Zeitrahmen für die Registrierung in der EU-Datenbank; der Registrierungsprozess geht davon aus, dass alle vorhergehenden Dokumentationen abgeschlossen sind.
Energieunternehmen stellen fest, dass die Compliance mit dem AI Act weniger um ein einzelnes System geht, sondern vielmehr um die Koordination von rechtlichen, technischen, betrieblichen und beschaffungsbezogenen Teams innerhalb der Organisation.
