Hintergrund

Mit dem AI-Act (Vorschlag für Verordnung zur Festlegung von harmonisierten Regeln für künstliche Intelligenz) entwickelt die Europäische Union eine Strategie zur Absicherung intelligenter Systeme. Diese Strategie deckt das breite Feld an AI-Anwendungen sowie sicherheitskritische Bereiche ab. Zusammen mit dem Data-Act, dem Data-Governance Act und weiteren Regularien (GDPR, Regelungen zu OTA-Updates) gibt der AI-Act nicht nur die Anforderungen an kritische Infrastrukturen vor, sondern definiert auch, was AI im Zusammenhang mit Software im kritischen Bereich ist. Allerdings gibt es noch offene Punkte (z.B., AI-Act, AI-Testing und Auditing), die der Klärung bedürfen und mit denen sich europaweit bereits einige Initiativen beschäftigen.

Projektinhalt und Ziele

Das übergeordnete Ziel dieses Projekts ist es, die neuen EU-weiten Regularien zur Nutzung von AI zu untersuchen. Das Hauptaugenmerk gilt dabei dem Hochrisikobereich und Anwendungen im Bereich kritischer Infrastrukturen. Die gewonnenen Einsichten und Ergebnisse werden dem Bundesministerium für Inneres (BMI) und den Betreiber*innen kritischer Infrastrukturen als Handlungsleitfäden dienen, aber auch die Grundlage für Rückmeldungen des BMI an die Europäische Kommission (EC) bilden. Die Untersuchungen umfassen dabei nicht allein den „AI-Act“, den „Data Act“ und den „Data Governance Act“, sondern auch weitere Regularien, Normen sowie Best-Practices. Außerdem gehen sie über die aktuelle Situation hinaus und versuchen wahrscheinliche künftige Entwicklungen vorherzusehen und sie in die Schlussfolgerungen und Empfehlungen mit einfließen zu lassen.

Folgende Teilziele sind zu erreichen:

• Schaffung einer Methodik zur schnellen systematischen Analyse der zentralen Acts sowie strukturierte Darstellung von Herausforderungen, Konsequenzen für KMUs und kritische Infrastrukturen, speziell in Hinblick auf die Risikodefinitionen im AI-Act.
• Erhebung, welche bedarfsträgerspezifischen Fragestellungen und Anforderungen existieren.
• Strukturierte Analyse der zentralen Acts, Identifikation der wichtigsten Regularien, Standards und Best Practices, auf die diese Acts ausstrahlen, sowie Analyse wie sich die Anwendung auf AI-Systeme auswirkt.
• Nutzung eines spezifisch adaptierten Ansatzes zur explorativen Szenarien-Analyse, um die Entwicklungen der nächsten Jahre abzuschätzen und entsprechend zu berücksichtigen.
• Beantwortung der Frage, wie die gewonnenen Erkenntnisse für KMU nutzbar gemacht werden können (z.B., über Leitfäden).

Methodik

Die Analyse der Gesetzestexte wird von Expert*innen aus den technischen Wissenschaften und den Rechtswissenschaften durchgeführt. Im Blickpunkt stehen dabei vorrangig der AI-Act aber auch der Data-Act und der Data-Governance Act. Von diesen drei Regularien betroffene Standards und Best-Practices werden identifiziert und darauf aufbauend Empfehlungen und Leitlinien erarbeitet. Um künftige Entwicklungen abschätzen zu können, wird zudem eine explorative Szenarienanalyse durchgeführt. Die aus den Analysen gewonnenen Erkenntnisse verschriftlichen wir zu Leitfäden, die im Wesentlichen aus Frage- und Check-Listen bestehen mit deren Hilfe Einschätzungen schnell und einfach gemacht werden können. Für eine strukturierte Aufarbeitung einzelner Aspekte orientieren wir uns an dem „Beschaffungsleitfadens für sichere AI“.

Ergebnis

Um die Nutzung von AI zu reglementieren, startete die Europäische Union mehrere Initiativen (den AI-Act, Data-Act, und Data Governance Act). Im vorliegenden Projekt nehmen wir diese Regularien unter die Lupe und entwickeln eine strukturierten Analysemethodik, welche wiederholt angewendet werden kann. Mit Hilfe dieser Methodik ermitteln wir, was die neuen Vorgaben für KMUs, kritische Infrastrukturen und in der Strafverfolgung konkret bedeuten und worauf Bedacht genommen werden muss. Zusätzlich versuchen wir als vorausschauende Maßnahme künftige Entwicklungen in der Nutzung von AI und deren Einfluss auf die Absicherung von Systemen abzuschätzen. Auf Grundlage der gewonnenen Erkenntnisse erstellen wir Guides und Leitfäden für KMUs. Dass viele rechtliche und technische Aspekte in dem Projekt abgehandelt werden, unterstützt das Ministerium bei der konkreten Umsetzung der Acts in Österreich, aber auch darin Lösungen für Probleme zu finden, die bei der praktischen Anwendung auftauchen werden.