Glossar
Dieses Glossar erklärt die wichtigsten Begriffe der EU-VO 2024/1689 in klarer Sprache, mit Artikelverweisen und internen Querverbindungen für schnelle Orientierung.
Kapitel IX sowie Art. 99 bis 101 EU-VO 2024/1689
AI Act Enforcement ist die praktische Durchsetzung des AI Act durch Marktüberwachung, Untersuchungen, Korrekturmaßnahmen und Sanktionen.
AI Act Enforcement umfasst behördliche Kontrolle, Untersuchungen, Anordnungen und Sanktionen zur praktischen Durchsetzung der KI-Verordnung.
Begriff ansehen →ISO/IEC 42001:2023 und EU-VO 2024/1689
Rahmenwerk aus Richtlinien, Prozessen und Strukturen für verantwortungsvolle KI-Nutzung.
AI Governance: Definition, ISO 42001 Relevanz, Praxisbeispiel.
Begriff ansehen →Art. 27 EU-VO 2024/1689
Bewertung der Auswirkungen eines KI-Systems auf Individuen, Gruppen und die Gesellschaft.
AI Impact Assessment: Definition, ISO 42001 Relevanz, Praxisbeispiel.
Begriff ansehen →Kein Artikel im AI Act; COM(2022) 496, offiziell zurückgezogen am 6. Oktober 2025
Die AI Liability Directive war ein eigenständiger Richtlinienvorschlag zur zivilrechtlichen Haftung bei KI-Schäden; sie ist kein Teil der EU-VO 2024/1689.
Die AI Liability Directive war ein separater EU-Richtlinienvorschlag zur Beweisführung bei KI-Schäden und gehört nicht zum eigentlichen AI Act.
Begriff ansehen →Art. 4 und Art. 3 Nr. 56 EU-VO 2024/1689
AI Literacy ist die englische Bezeichnung für KI-Kompetenz und meint das Wissen, Verständnis und Risikobewusstsein für den sachkundigen Umgang mit KI-Systemen.
AI Literacy ist die englische Bezeichnung für KI-Kompetenz und beschreibt das erforderliche Wissen für den sachkundigen Einsatz von KI.
Begriff ansehen →ISO/IEC 42001:2023
AIMS steht für AI Management System — ein systematischer Rahmen nach ISO/IEC 42001:2023 für die verantwortungsvolle Entwicklung, Bereitstellung und Nutzung von KI-Systemen. Es umfasst Policies, Prozesse, Rollen und Controls für KI-Governance.
AIMS steht für AI Management System und bezeichnet ein Managementsystem für Künstliche Intelligenz nach ISO 42001. Definition, Aufbau und Bedeutung.
Begriff ansehen →Art. 3 Nr. 3 und Nr. 4 EU-VO 2024/1689
Anbieter entwickeln oder bringen KI-Systeme unter eigenem Namen in Verkehr, während Betreiber KI-Systeme in eigener Verantwortung beruflich einsetzen.
Anbieter entwickeln oder vermarkten KI-Systeme, Betreiber nutzen sie in eigener Verantwortung. Diese Rollen entscheiden über die Pflichten im AI Act.
Begriff ansehen →ISO/IEC 42001:2023 Annex A
38 Kontrollmaßnahmen der ISO 42001 für KI-Governance, gruppiert in 9 Kategorien von A.2 bis A.10.
Annex A Controls Definition: 38 Maßnahmen in 9 Kategorien nach ISO 42001. Übersicht, Zweck und Anwendung im AIMS erklärt.
Begriff ansehen →ISO Annex SL (Harmonized Structure)
Harmonisierte Grundstruktur für ISO-Managementsystem-Normen mit 10 identischen Hauptkapiteln. Sie bildet auch die Basis von ISO/IEC 42001.
Annex SL: Definition, ISO 42001 Relevanz, Praxisbeispiel.
Begriff ansehen →Art. 21 Abs. 2 Buchst. f Richtlinie (EU) 2022/2555, § 30 Abs. 2 Nr. 6 BSIG, ISO 19011:2018
Ein Audit ist eine systematische, unabhängige und dokumentierte Prüfung, mit der Unternehmen bewerten, ob Anforderungen, Prozesse und Sicherheitsmaßnahmen wirksam umgesetzt sind.
Was bedeutet Audit? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 28 DSGVO sowie Art. 4 Nr. 8 und Art. 26 DSGVO
Auftragsverarbeitung bezeichnet nach Art. 28 DSGVO die Verarbeitung personenbezogener Daten durch einen Dienstleister im Auftrag und nach Weisung eines Verantwortlichen.
Auftragsverarbeitung nach Art. 28 DSGVO: AVV-Pflichtinhalte, KI-Systeme als Auftragsverarbeiter und Abgrenzung zur gemeinsamen Verantwortlichkeit.
Begriff ansehen →Art. 21 Abs. 2 Buchst. c NIS2, BSIG-E § 30 Abs. 2 Nr. 3, BSI IT-Grundschutz CON.3
Eine Backup-Strategie ist ein dokumentierter Plan, mit dem Unternehmen festlegen, welche Daten und Systeme wie oft, auf welchen Medien, an welchen Orten und mit welchen Wiederherstellungszielen gesichert und getestet werden.
Was bedeutet Backup-Strategie? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 2 und Art. 3 Richtlinie (EU) 2022/2555, Anhang I und II, § 28 BSIG
Betroffenheitsprüfung ist die systematische Prüfung, ob ein Unternehmen nach NIS2 und der deutschen Umsetzung in den Anwendungsbereich der Cybersicherheitsregeln fällt.
Was bedeutet Betroffenheitsprüfung? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 10 EU-VO 2024/1689
Systematische Verzerrungen in KI-Systemen, die zu unfairen Ergebnissen führen können.
Bias in KI: Definition, ISO 42001 Relevanz, Praxisbeispiel.
Begriff ansehen →Art. 10 und Art. 27 EU-VO 2024/1689
Bias und Diskriminierung in KI sind systematische Verzerrungen oder Benachteiligungen, die aus Daten, Modellen, Prozessen oder Nutzungskontexten entstehen können.
Bias und Diskriminierung in KI entstehen, wenn Daten, Modelle oder Prozesse bestimmte Gruppen systematisch benachteiligen oder verzerren.
Begriff ansehen →Art. 3 und Art. 5 EU-VO 2024/1689
Biometrische Fernidentifizierung bezeichnet die Identifizierung natürlicher Personen aus der Distanz anhand biometrischer Daten wie Gesichtsbild oder Gangmuster.
Biometrische Fernidentifizierung meint die Identifizierung einer Person aus der Distanz anhand biometrischer Daten.
Begriff ansehen →§ 1 BSIG; Art. 8 Richtlinie (EU) 2022/2555; BSIG-E §§ 4 bis 8
BSI ist das Bundesamt für Sicherheit in der Informationstechnik und die zentrale Stelle für Informationssicherheit auf nationaler Ebene in Deutschland.
Was bedeutet BSI? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 21 Abs. 2 Buchst. e und Art. 12 Abs. 2 Richtlinie (EU) 2022/2555; ISO/IEC 29147
Bug Bounty ist ein Belohnungsprogramm, bei dem Unternehmen Sicherheitsforschende für die Meldung von Schwachstellen in definierten Systemen vergüten.
Was bedeutet Bug Bounty? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 21 Abs. 2 lit. c Richtlinie (EU) 2022/2555, in Deutschland § 30 Abs. 2 Nr. 3 BSIG, sowie ISO 22301
Business Continuity ist die Fähigkeit eines Unternehmens, kritische Geschäftsprozesse trotz Störungen, Cyberangriffen oder Ausfällen aufrechtzuerhalten und geordnet wiederherzustellen.
Was bedeutet Business Continuity? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 48 EU-VO 2024/1689
Die CE-Kennzeichnung bestaetigt bei Hochrisiko-KI-Systemen, dass das erforderliche Konformitaetsverfahren nach dem EU AI Act durchlaufen wurde.
Die CE-Kennzeichnung zeigt bei Hochrisiko-KI-Systemen, dass das Konformitaetsverfahren nach dem EU AI Act ordnungsgemäß durchlaufen wurde.
Begriff ansehen →Art. 21 Richtlinie (EU) 2022/2555; BSIG-E §§ 30-39; IDW PS 980
Compliance ist die nachweisbare Einhaltung gesetzlicher, regulatorischer und interner Vorgaben durch ein Unternehmen.
Was bedeutet Compliance? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →IDW PS 980; Art. 4 EU-VO 2024/1689; Art. 24 und Art. 32 DSGVO
Ein Compliance-Management-System ist die Gesamtheit aller Maßnahmen, Strukturen und Prozesse, die sicherstellen, dass ein Unternehmen geltende Gesetze, interne Richtlinien und regulatorische Anforderungen einhält.
CMS erklärt: 7 Grundelemente nach IDW PS 980, Integration von AI Act und DSGVO, pragmatischer Aufbau für KMU.
Begriff ansehen →Verordnung (EU) 2024/2847; ergänzend Erwägungsgrund 28 und Art. 21 Abs. 2 Buchst. d der Richtlinie (EU) 2022/2555 sowie § 30 Abs. 2 Nr. 4 BSIG
CRA ist der Cyber Resilience Act, also die Verordnung (EU) 2024/2847 über Cybersicherheitsanforderungen für Produkte mit digitalen Elementen.
Was bedeutet CRA? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 12, Art. 13 und Art. 15 Richtlinie (EU) 2022/2555; § 5 BSIG-E
CSIRT ist ein Computer Security Incident Response Team, also eine spezialisierte Stelle für die Entgegennahme, Analyse und Koordination von Cybervorfällen und Schwachstellenmeldungen.
Was bedeutet CSIRT? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Erwägungsgrund 3 sowie Art. 20 und Art. 21 Richtlinie (EU) 2022/2555
Cyber-Resilienz ist die Fähigkeit eines Unternehmens, Cyberangriffe und digitale Störungen zu antizipieren, ihnen zu widerstehen, den Geschäftsbetrieb aufrechtzuerhalten, sich geordnet zu erholen und die eigenen Schutzmaßnahmen danach anzupassen.
Was bedeutet Cyber-Resilienz? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 21 Abs. 2 Buchst. g und Art. 20 Abs. 2 Richtlinie (EU) 2022/2555; im deutschen Umsetzungsentwurf gespiegelt in § 30 Abs. 2 Nr. 7 BSIG-E
Cyberhygiene ist die Summe grundlegender Verhaltens- und Sicherheitsroutinen, mit denen Menschen und Unternehmen alltägliche Cyberrisiken wie Phishing, schwache Passwörter oder ungepatchte Systeme wirksam reduzieren.
Was bedeutet Cyberhygiene? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 6 Abs. 2 und Art. 21 Richtlinie (EU) 2022/2555, Art. 2 Nr. 1 VO (EU) 2019/881, § 2 Nr. 39 BSIG
Cybersicherheit ist der Schutz von Netz- und Informationssystemen, ihrer Nutzer und anderer betroffener Personen vor Cyberbedrohungen durch technische, organisatorische und personelle Maßnahmen.
Was bedeutet Cybersicherheit? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 10 EU-VO 2024/1689
Daten-Governance nach Art. 10 EU-VO 2024/1689 umfasst Regeln für Qualitaet, Relevanz, Repraesentativitaet und Dokumentation der Daten in Hochrisiko-KI-Systemen.
Daten-Governance umfasst Regeln und Qualitaetsanforderungen für Trainings-, Validierungs- und Testdaten von Hochrisiko-KI.
Begriff ansehen →Art. 10 EU-VO 2024/1689; ISO/IEC 42001:2023, insbesondere Klausel 8 und 9
Datenqualität bezeichnet die Eignung von Daten für ihren Verwendungszweck, gemessen an Genauigkeit, Vollständigkeit, Aktualität, Konsistenz, Validität und Repräsentativität.
Datenqualität: Definition, ISO 42001 Relevanz, Praxisbeispiel.
Begriff ansehen →Art. 37 bis 39 DSGVO, § 38 BDSG sowie Erwägungsgrund 14 der NIS2-Richtlinie
Ein Datenschutzbeauftragter überwacht die Einhaltung des Datenschutzrechts im Unternehmen, berät Verantwortliche und schult Mitarbeitende im Umgang mit personenbezogenen Daten.
Was bedeutet Datenschutzbeauftragter? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 6 Nr. 6 Richtlinie (EU) 2022/2555; §§ 303a, 303b StGB
DDoS ist ein koordinierter Überlastungsangriff, bei dem viele verteilte Systeme gleichzeitig Anfragen senden, um die Verfügbarkeit eines Dienstes gezielt zu stören oder vollständig lahmzulegen.
Was bedeutet DDoS? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →EU-Gesetzgebungsvorschlag, Stand 16. Maerz 2026
Der Digital Omnibus ist ein EU-Gesetzespaket mit möglichen Änderungen an Digitalregeln wie dem AI Act; Stand 16. Maerz 2026 handelt es sich um Vorschlaege, nicht um geltendes Recht.
Der Digital Omnibus ist ein Reformpaket der EU, das auch den AI Act beruehren kann. Stand 16. Maerz 2026 ist er kein geltendes Recht.
Begriff ansehen →Art. 21 Abs. 2 Buchst. c NIS2 sowie § 30 Abs. 2 Nr. 3 BSIG
Disaster Recovery ist die geplante technische Wiederherstellung von IT-Systemen, Daten und Infrastruktur nach einem schwerwiegenden Ausfall oder Sicherheitsvorfall.
Was bedeutet Disaster Recovery? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 1 Abs. 2 sowie Art. 5 bis 45 Verordnung (EU) 2022/2554; Erwägungsgrund 28 Richtlinie (EU) 2022/2555
DORA ist die EU-Verordnung 2022/2554 zur digitalen operationalen Resilienz im Finanzsektor und verpflichtet Finanzunternehmen zu IKT-Risikomanagement, Vorfallmeldung, Resilienztests und Steuerung von Drittparteirisiken.
Was bedeutet DORA? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 35 DSGVO
Die Datenschutz-Folgenabschätzung ist ein nach Art. 35 DSGVO vorgeschriebenes Verfahren zur Bewertung hoher Datenschutzrisiken bei besonders risikoreichen Verarbeitungen personenbezogener Daten.
Die DSFA nach Art. 35 DSGVO erklärt: Wann sie Pflicht ist, der 6-Schritte-Prozess und die Verbindung zu KI-Systemen und dem AI Act.
Begriff ansehen →Art. 3 und Art. 5 EU-VO 2024/1689
Echtzeitbiometrie bezeichnet die biometrische Fernidentifizierung nahezu ohne spuerbaren Zeitverzug; ihr Einsatz durch Strafverfolgungsbehörden in öffentlichen Raeumen ist nach Art. 5 grundsaetzlich verboten, ausser in engen Ausnahmen.
Echtzeitbiometrie meint die biometrische Fernidentifizierung nahezu ohne Zeitverzug und ist für Strafverfolgung in öffentlichen Raeumen grundsaetzlich verboten, ausser in engen Ausnahmen.
Begriff ansehen →Art. 21 Abs. 2 Buchst. b Richtlinie (EU) 2022/2555 (NIS2) zu Incident Handling
EDR ist eine Sicherheitslösung zur kontinuierlichen Überwachung von Endgeräten, zur verhaltensbasierten Erkennung von Bedrohungen und zur schnellen Reaktion auf Sicherheitsvorfälle.
Was bedeutet EDR? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Verordnung (EU) 2019/881; Art. 12 Abs. 2, Art. 14 und Art. 19 Richtlinie (EU) 2022/2555
ENISA ist die Agentur der Europäischen Union für Cybersicherheit. Sie unterstützt Mitgliedstaaten, EU-Organe und Unternehmen mit Lagebildern, Koordination, Schwachstellenmanagement und EU-weiten Cybersicherheits-Zertifikat-Schemata.
Was bedeutet ENISA? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 13 EU-VO 2024/1689
Fähigkeit, die Entscheidungen und Outputs eines KI-Systems nachvollziehbar zu machen, sodass Menschen Ergebnisse richtig interpretieren, prüfen und bei Bedarf korrigieren können.
Erklärbarkeit Definition: Nachvollziehbare KI-Entscheidungen, XAI-Methoden und ISO 42001 im Überblick.
Begriff ansehen →Kap. VII EU-VO 2024/1689
Das EU AI Office ist die zentrale Einheit der EU-Kommission für Koordination, Leitlinien und Teile der Durchsetzung des EU AI Act, insbesondere bei GPAI-Modellen.
Das EU AI Office koordiniert die Umsetzung des AI Act auf EU-Ebene und spielt besonders bei GPAI-Modellen eine zentrale Rolle.
Begriff ansehen →Art. 10 und Erwägungsgrund 47 EU-VO 2024/1689; ISO/IEC 42001:2023 Klauseln 5.2, 6.1, 8.2 und 9.1
Eigenschaft eines KI-Systems, betroffene Personengruppen nachvollziehbar, verhältnismäßig und ohne ungerechtfertigte Benachteiligung zu behandeln.
Fairness Definition: gerechte Behandlung durch KI-Systeme. Metriken, ISO 42001 und EU AI Act einfach erklärt.
Begriff ansehen →Art. 25 sowie Art. 3 Nr. 3 und Nr. 4 EU-VO 2024/1689
Fine-Tuning bezeichnet die zusätzliche Anpassung eines vortrainierten KI-Modells auf spezifische Daten, Aufgaben oder Ausgabeformate, um das Modellverhalten gezielt zu verändern.
Fine-Tuning bezeichnet die zusätzliche Anpassung eines bestehenden KI-Modells auf eigene Daten oder Aufgaben und kann je nach Tiefe die Rollenbewertung im EU AI Act beeinflussen.
Begriff ansehen →Art. 21 Abs. 2 Buchst. e Richtlinie (EU) 2022/2555 sowie BSI IT-Grundschutz NET.3.2
Firewall ist eine Sicherheitskomponente, die den Netzwerkverkehr nach festgelegten Regeln überwacht, erlaubt oder blockiert und damit Systeme, Anwendungen und Daten vor unerlaubten Verbindungen schützt.
Was bedeutet Firewall? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Kein definierter Rechtsbegriff im EU AI Act; praktisch relevant für GPAI-Systemic-Risk-Bewertungen
FLOP steht für Floating Point Operation und bezeichnet eine einzelne Gleitkomma-Rechenoperation, die als technische Einheit zur Beschreibung von Rechenaufwand in KI-Systemen verwendet wird.
FLOP steht für Floating Point Operation und bezeichnet eine einzelne Gleitkomma-Rechenoperation, die in der KI zur Messung von Trainings- oder Inferenzaufwand genutzt wird.
Begriff ansehen →Art. 3 Nr. 63 sowie Art. 51 bis 56 EU-VO 2024/1689
General-Purpose AI bezeichnet KI-Modelle mit allgemeinem Verwendungszweck, die für viele verschiedene Aufgaben eingesetzt oder in andere Systeme integriert werden können.
General-Purpose AI bezeichnet KI-Modelle mit allgemeinem Verwendungszweck, für die seit dem 2. August 2025 eigene Regeln gelten.
Begriff ansehen →Art. 3 Nr. 63, Art. 53 und Art. 55
GPAI beziehungsweise KI-Basismodelle sind nach Art. 3 Nr. 63 EU-VO 2024/1689 allgemein einsetzbare Modelle mit breitem Aufgabenspektrum und eigenen Regeln.
GPAI beziehungsweise KI-Basismodelle sind nach Art. 3 Nr. 63 EU-VO 2024/1689 allgemein einsetzbare Modelle mit breitem Aufgabenspektrum und eigenen Regeln.
Begriff ansehen →Kein eigenständiger Rechtsbegriff; relevant im Zusammenspiel von EU-VO 2024/1689, Richtlinie (EU) 2022/2555, Verordnung (EU) 2022/2554 und Verordnung (EU) 2024/2847.
GRC steht für Governance, Risk und Compliance und beschreibt einen integrierten Ansatz, mit dem Unternehmen Führung, Risikosteuerung und Regelkonformität in einem gemeinsamen Steuerungsmodell verbinden.
GRC (Governance, Risk, Compliance) erklärt: Die drei Säulen, relevante EU-Regulierungen wie AI Act, NIS2, DORA und CRA sowie die Bedeutung für KMU.
Begriff ansehen →Art. 27 EU-VO 2024/1689
Die Grundrechte-Folgenabschätzung ist die Prüfung nach Art. 27 EU-VO 2024/1689, wie sich bestimmte Hochrisiko-KI-Systeme auf Grundrechte betroffener Personen auswirken.
Die Grundrechte-Folgenabschätzung verlangt für bestimmte Hochrisiko-KI eine Prüfung, wie sich das System auf Rechte und Freiheiten natürlicher Personen auswirkt.
Begriff ansehen →Art. 40 EU-VO 2024/1689
Harmonisierte Standards sind europaeische Normen, deren Anwendung eine Vermutung der Konformitaet mit bestimmten Anforderungen des EU AI Act begründen kann.
Harmonisierte Standards können Anbietern helfen, Konformitaet mit dem AI Act einfacher nachzuweisen.
Begriff ansehen →Art. 6 bis 49 und Anhang I, III EU-VO 2024/1689
Ein Hochrisiko-KI-System ist ein KI-System, das gemäß Art. 6 EU-VO 2024/1689 unter Anhang I oder Anhang III fällt und deshalb strengen Compliance-Pflichten unterliegt.
Ein Hochrisiko-KI-System ist ein KI-System nach Art. 6 EU-VO 2024/1689, für das ab dem 2. August 2026 strenge Pflichten gelten.
Begriff ansehen →Kein definierter Rechtsbegriff im EU AI Act; praktisch relevant für Beschaffung, Dokumentation und Art. 4 EU-VO 2024/1689
Hugging Face ist eine Plattform und ein Ökosystem für die Veröffentlichung, Dokumentation, Versionierung und Nutzung von KI-Modellen, Datensätzen und Demos.
Hugging Face ist eine Plattform für Modelle, Datensätze und Model Cards, auf der Unternehmen KI-Artefakte finden, versionieren und dokumentieren können.
Begriff ansehen →Art. 14 EU-VO 2024/1689
Menschliche Aufsicht über KI-Systeme: Human-in-the-Loop, Human-on-the-Loop und Human-in-Command sichern, dass Menschen Ergebnisse prüfen, eingreifen und Entscheidungen notfalls übersteuern können.
Human Oversight: Definition, ISO 42001 Relevanz, Praxisbeispiel.
Begriff ansehen →Art. 21 Abs. 2 lit. b Richtlinie (EU) 2022/2555; deutscher Umsetzungsbezug: § 30 BSIG, im Gesetzgebungsverfahren häufig als § 30 Abs. 2 Nr. 2 BSIG-E referenziert; NIST SP 800-61
Incident Response ist die strukturierte Reaktion eines Unternehmens auf Sicherheitsvorfälle, um Schäden zu begrenzen, den Betrieb wiederherzustellen und gesetzliche Melde- und Dokumentationspflichten einzuhalten.
Was bedeutet Incident Response? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →ISO/IEC 27001, BSI-Standards 200-1 und 200-2 sowie regulatorisch relevant unter NIS2, DORA und EU-VO 2024/1689
Informationssicherheit bezeichnet den Schutz von Informationen hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit, unabhängig davon, ob sie digital, analog, gespeichert, übertragen oder mündlich verarbeitet werden.
Informationssicherheit erklärt: Vertraulichkeit, Integrität, Verfügbarkeit. Abgrenzung zu IT-Sicherheit und Datenschutz, ISO 27001 und NIS2-Kontext.
Begriff ansehen →Art. 20 Abs. 1 Richtlinie (EU) 2022/2555, § 38 BSIG-E, BSI-Standard 200-1
Informationssicherheitsbeauftragter ist die vom Unternehmen benannte Fachfunktion für den operativen Aufbau, die Koordination und die Überwachung der Informationssicherheit.
Was bedeutet Informationssicherheitsbeauftragter? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 13 und Anhang IV EU-VO 2024/1689
Interoperabilität ist die Fähigkeit eines KI-Systems, Informationen, Schnittstellen und Protokolle so bereitzustellen, dass andere Systeme und Prozesse sie verlässlich nutzen können.
Interoperabilität beschreibt im AI-Act-Kontext, ob Informationen, Schnittstellen und Nachweise eines KI-Systems in bestehende Prozesse eingebunden werden können.
Begriff ansehen →Art. 21 Abs. 1 Richtlinie (EU) 2022/2555, § 30 Abs. 1 BSIG sowie ISO/IEC 27001:2022
ISMS ist ein Informationssicherheits-Managementsystem, mit dem Unternehmen Informationssicherheit systematisch planen, umsetzen, überprüfen und verbessern.
Was bedeutet ISMS? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →ISO/IEC 23894:2023
Standard für AI Risk Management. Ergänzt ISO 42001 mit KI-spezifischem Risikomanagement.
ISO 23894: Definition, ISO 42001 Relevanz, Praxisbeispiel.
Begriff ansehen →Art. 21 Richtlinie (EU) 2022/2555, ISO/IEC 27001:2022 sowie Einordnung im deutschen NIS2-Kontext um § 30 BSIG
ISO 27001 ist der international bekannteste Standard für ein Informationssicherheitsmanagementsystem und beschreibt, wie Unternehmen Informationssicherheitsrisiken systematisch steuern, dokumentieren und verbessern.
Was bedeutet ISO 27001? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →ISO/IEC 42001:2023, referenziert in EU AI Act 2024/1689
ISO/IEC 42001:2023 ist der erste internationale Standard für KI-Managementsysteme (AIMS). Er definiert Anforderungen für die verantwortungsvolle Entwicklung, Bereitstellung und Nutzung von KI-Systemen in Organisationen.
ISO/IEC 42001:2023 ist der erste internationale Standard für KI-Managementsysteme (AIMS). Erfahren Sie Definition, Aufbau und Bedeutung für EU AI Act Compliance.
Begriff ansehen →ISO/IEC 42005:2025
ISO/IEC 42005:2025 ist der internationale Standard für AI Impact Assessments und beschreibt, wie Organisationen Auswirkungen von KI-Systemen auf Personen, Gruppen und Gesellschaft systematisch bewerten.
ISO 42005: Definition, ISO 42001 Relevanz, Praxisbeispiel.
Begriff ansehen →BSI-Standard 200-1, 200-2, 200-3 sowie § 30 BSIG
IT-Grundschutz ist die vom BSI entwickelte Methodik, mit der Organisationen ein Informationssicherheitsmanagementsystem strukturiert aufbauen, geeignete Sicherheitsmaßnahmen auswählen und ihr Sicherheitsniveau nachvollziehbar dokumentieren.
Was bedeutet IT-Grundschutz? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 3 Nr. 3 und 4
KI-Anbieter und KI-Betreiber bezeichnen nach Art. 3 Nr. 3 und 4 EU-VO 2024/1689 zwei unterschiedliche Rollen mit unterschiedlichen Pflichten im AI Act.
KI-Anbieter und KI-Betreiber bezeichnen nach Art. 3 Nr. 3 und 4 EU-VO 2024/1689 zwei unterschiedliche Rollen mit unterschiedlichen Pflichten im AI Act.
Begriff ansehen →Keine ausdrückliche Pflicht in Art. 4 EU-VO 2024/1689; ISO/IEC 42001:2023 Clause 5.3, Clause 7.2 und Clause 7.3
Ein KI-Beauftragter ist die organisationsinterne Ansprechperson für KI-Governance, KI-Kompetenz und Compliance und koordiniert Verantwortlichkeiten, Kontrollen und Nachweise rund um KI-Systeme.
KI-Beauftragter: Definition, ISO 42001 Relevanz, Praxisbeispiel.
Begriff ansehen →Kein definierter Rechtsbegriff im EU AI Act; praktisch relevant für Art. 4, Art. 26 und Betriebsfragen
KI-Inference bezeichnet die Ausführung eines bereits trainierten KI-Modells, bei der auf Basis einer Eingabe eine konkrete Ausgabe erzeugt wird.
KI-Inference bezeichnet die Ausführung eines trainierten Modells zur Erzeugung einer konkreten Ausgabe auf Basis einer Eingabe.
Begriff ansehen →Art. 11, Art. 17 und Art. 49 EU-VO 2024/1689
Ein KI-Inventar ist ein strukturiertes internes Register aller im Unternehmen genutzten oder entwickelten KI-Systeme einschließlich Zweck, Rolle und Risikoeinordnung.
Ein KI-Inventar ist das interne Register aller eingesetzten oder entwickelten KI-Systeme und die praktische Grundlage für Klassifizierung, Nachweise und Aufsicht.
Begriff ansehen →Art. 4 und Art. 3 Nr. 56 EU-VO 2024/1689
KI-Kompetenz bezeichnet gemäß Art. 4 und Art. 3 Nr. 56 EU-VO 2024/1689 die Fähigkeiten, Kenntnisse und das Verständnis, die für einen sachkundigen Umgang mit KI-Systemen erforderlich sind.
KI-Kompetenz bezeichnet im EU AI Act das ausreichende Wissen für den sachkundigen Einsatz von KI-Systemen und ist seit dem 2. Februar 2025 Pflicht.
Begriff ansehen →ISO/IEC 42001:2023 Klausel 6.1; Art. 9 EU-VO 2024/1689
Phasen eines KI-Systems: Konzeption, Entwicklung, Training, Deployment, Monitoring und Decommissioning.
KI-Lebenszyklus: Definition, ISO 42001 Relevanz, Praxisbeispiel.
Begriff ansehen →ISO/IEC 42001:2023
Ein KI-Managementsystem ist ein systematischer Rahmen aus Policies, Prozessen, Rollen und Controls für die verantwortungsvolle Entwicklung, Bereitstellung und Nutzung von KI-Systemen. Der internationale Standard ISO/IEC 42001:2023 definiert die Anforderungen.
Ein KI-Managementsystem (AIMS) ist ein systematischer Rahmen für die verantwortungsvolle Entwicklung und Nutzung von KI nach ISO 42001. Definition und Aufbau.
Begriff ansehen →ISO/IEC 42001:2023 Klausel 5.2
Organisationsweite Richtlinie für den verantwortungsvollen Umgang mit KI-Systemen.
KI-Policy: Definition, ISO 42001 Relevanz, Praxisbeispiel.
Begriff ansehen →Art. 9 EU-VO 2024/1689
Systematische Identifikation und Bewertung von Risiken, die von KI-Systemen ausgehen.
KI-Risikobewertung: Definition, ISO 42001 Relevanz, Praxisbeispiel.
Begriff ansehen →Art. 3 Nr. 1 EU-VO 2024/1689
Ein KI-System ist gemäß Art. 3 Nr. 1 EU-VO 2024/1689 ein maschinengestuetztes System, das für explizite oder implizite Ziele Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugt.
Ein KI-System ist nach Art. 3 Nr. 1 EU-VO 2024/1689 ein maschinengestuetztes System, das für explizite oder implizite Ziele Vorhersagen, Inhalte oder Entscheidungen erzeugt.
Begriff ansehen →Art. 43 EU-VO 2024/1689
Die Konformitaetsbewertung ist das Verfahren, mit dem Anbieter nachweisen, dass ein Hochrisiko-KI-System die Anforderungen des EU AI Act erfuellt.
Die Konformitaetsbewertung prüft, ob ein Hochrisiko-KI-System die Anforderungen des AI Act erfuellt, bevor es in Verkehr gebracht wird.
Begriff ansehen →Art. 47 und Anhang V EU-VO 2024/1689
Die EU-Konformitaetserklärung ist die formale Erklärung des Anbieters, dass ein Hochrisiko-KI-System die einschlaegigen Anforderungen des EU AI Act erfuellt.
Die EU-Konformitaetserklärung ist die formale Erklärung des Anbieters, dass ein Hochrisiko-KI-System die Anforderungen des AI Act erfuellt.
Begriff ansehen →BSI-KritisV, § 10 BSIG und Anhang I der NIS2-Richtlinie (EU) 2022/2555
KRITIS ist die Kurzbezeichnung für Kritische Infrastrukturen, also Einrichtungen, Anlagen oder Dienste, deren Ausfall die Versorgungssicherheit, öffentliche Sicherheit oder andere zentrale Gemeinwohlfunktionen erheblich beeinträchtigen würde.
Was bedeutet KRITIS? Einfache Definition, NIS2-Relevanz und Praxisbeispiel für deutsche Unternehmen.
Begriff ansehen →ISO/IEC 42001:2023 Clause 9.2 und Clause 9.3; ISO 19011; Art. 9, Art. 14 und Art. 17 EU-VO 2024/1689
Ein Lead Auditor ist die leitende Prüfperson für ISO-42001-Audits und bewertet, ob ein KI-Managementsystem wirksam, nachvollziehbar und normkonform betrieben wird.
Lead Auditor: Definition, ISO-42001-Relevanz, Aufgaben und Praxisbeispiel für Unternehmen.
Begriff ansehen →ISO/IEC 42001:2023, insbesondere Klausel 5, 7, 8 und 10 sowie Art. 4 EU-VO 2024/1689
Ein Lead Implementer ist die verantwortliche Fachperson für die Einführung und Steuerung eines KI-Managementsystems nach ISO/IEC 42001.
Lead Implementer: Definition, ISO 42001 Relevanz, Aufgaben, Praxisbeispiel und Abgrenzung zum Lead Auditor.
Begriff ansehen →Kein definierter Rechtsbegriff im EU AI Act; praktisch relevant für Art. 25 und Rollenfragen
LoRA steht für Low-Rank Adaptation und bezeichnet eine parameter-effiziente Fine-Tuning-Methode, bei der kleine Adapter-Matrizen trainiert werden, während die ursprünglichen Modellgewichtungen weitgehend eingefroren bleiben.
LoRA ist eine sparsame Fine-Tuning-Methode, bei der nur kleine Zusatzmatrizen trainiert werden, statt das gesamte Modell neu zu berechnen.
Begriff ansehen →Art. 6 Nr. 6 und Art. 21 Abs. 2 lit. g Richtlinie (EU) 2022/2555 sowie §§ 303a, 303b StGB
Malware ist Schadsoftware, die Systeme, Daten oder Nutzer gezielt schädigt, ausspäht, manipuliert oder in ihrer Verfügbarkeit beeinträchtigt.
Was bedeutet Malware? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Kap. IX sowie Art. 70 EU-VO 2024/1689
Eine Marktaufsichtsbehörde überwacht die Einhaltung des EU AI Act, prüft Unterlagen und kann bei nicht konformen KI-Systemen einschreiten.
Marktaufsichtsbehörden überwachen, ob KI-Systeme die Anforderungen des AI Act einhalten, und können Maßnahmen bei Verstoßen anordnen.
Begriff ansehen →Kapitel IX, insbesondere Art. 74 EU-VO 2024/1689
Marktüberwachung ist die behördliche Kontrolle von KI-Systemen, Unterlagen und Compliance-Prozessen nach Kapitel IX des AI Act.
Marktüberwachung meint die behördliche Kontrolle, ob KI-Systeme die Anforderungen des AI Act einhalten und welche Maßnahmen bei Verstößen folgen.
Begriff ansehen →Art. 23 Richtlinie (EU) 2022/2555 und § 32 BSIG
Meldepflicht ist die gesetzliche Pflicht, erhebliche Sicherheitsvorfälle fristgerecht an die zuständige Meldestelle zu melden und dabei belastbare Informationen zum Vorfall, zu Auswirkungen und zu Gegenmaßnahmen zu übermitteln.
Was bedeutet Meldepflicht? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 14 EU-VO 2024/1689
Menschliche Aufsicht nach Art. 14 EU-VO 2024/1689 verlangt, dass Hochrisiko-KI-Systeme so gestaltet und genutzt werden, dass Menschen ihre Wirkung verstehen, überwachen und notfalls eingreifen können.
Menschliche Aufsicht bedeutet, dass Hochrisiko-KI nicht unkontrolliert laufen darf, sondern durch geeignete Personen überwacht und notfalls korrigiert werden kann.
Begriff ansehen →Kein definierter Rechtsbegriff im EU AI Act; praktisch relevant für Dokumentation, Beschaffung und Art. 4
Eine Model Card ist ein strukturiertes Dokument, das Zweck, Herkunft, Leistungsdaten, Grenzen, Risiken und empfohlene Nutzung eines KI-Modells beschreibt.
Eine Model Card ist ein standardisiertes Dokument zu Zweck, Grenzen, Risiken und Nutzung eines KI-Modells.
Begriff ansehen →Kein definierter Rechtsbegriff im EU AI Act; praktisch relevant für Art. 4 und Art. 26 EU-VO 2024/1689
Modellgewichtungen sind die trainierten numerischen Parameter eines KI-Modells, die nach dem Training gespeichert werden und das spätere Antwortverhalten bei der Inferenz bestimmen.
Modellgewichtungen sind die trainierten Parameter eines KI-Modells und bestimmen, wie stark das Modell Eingaben verarbeitet und Ausgaben erzeugt.
Begriff ansehen →Art. 21 Abs. 2 lit. j Richtlinie (EU) 2022/2555; flankierend § 30 Abs. 2 Nr. 10 BSIG-E; FIDO2/WebAuthn als phishing-resistente Umsetzungsstandards
Multi-Faktor-Authentifizierung ist ein Anmeldeverfahren, bei dem mindestens zwei unabhängige Authentifizierungsfaktoren aus Wissen, Besitz oder Inhärenz kombiniert werden, um Konten und Systeme besser vor Missbrauch zu schützen.
Was bedeutet Multi-Faktor-Authentifizierung? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Richtlinie (EU) 2022/2555, insbesondere Art. 20, Art. 21, Art. 23, Art. 34 und Art. 41 sowie Erwägungsgründe 1 bis 15
NIS2-Richtlinie ist die EU-Richtlinie 2022/2555 zur Stärkung eines hohen gemeinsamen Cybersicherheitsniveaus in der Union.
Was bedeutet NIS2-Richtlinie? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz; §§ 28 bis 65 BSIG; § 38 BSIG
NIS2UmsuCG ist das deutsche Umsetzungsgesetz zur NIS2-Richtlinie, mit dem vor allem das BSI-Gesetz novelliert und Cybersicherheits-, Melde- und Governance-Pflichten für betroffene Einrichtungen konkretisiert werden.
Was bedeutet NIS2UmsuCG? Einfache Definition, NIS2-Relevanz und Praxisbeispiel für Unternehmen in Deutschland.
Begriff ansehen →Art. 28 bis 39 EU-VO 2024/1689
Eine notifizierte Stelle ist eine benannte, unabhängige Konformitaetsbewertungsstelle, die in bestimmten Fällen die Konformitaet von Hochrisiko-KI mitprüft.
Eine notifizierte Stelle ist eine benannte, unabhängige Prüfstelle, die in bestimmten Fällen an der Konformitaetsbewertung beteiligt ist.
Begriff ansehen →Kein definierter Rechtsbegriff im EU AI Act; praktisch relevant für Art. 4 und Art. 26 EU-VO 2024/1689
Ollama ist eine Software zum lokalen Ausführen und Verwalten großer Sprachmodelle, die eine einfache CLI und eine API für den Betrieb auf eigener Infrastruktur bereitstellt.
Ollama ist eine Laufzeitumgebung für lokale KI-Modelle, mit der Unternehmen Sprachmodelle auf Mac, Linux oder Windows ausführen und per API bereitstellen können.
Begriff ansehen →Art. 2 Abs. 12 EU-VO 2024/1689
Open-Source-KI bezeichnet KI-Modelle oder KI-Systeme, deren Nutzung, Prüfung, Anpassung und Weitergabe unter einer freien und offenen Lizenz möglich sind; nach Art. 2 Abs. 12 EU-VO 2024/1689 gilt eine Ausnahme nur für bestimmte frei lizenzierte KI-Systeme.
Open-Source-KI bezeichnet KI-Modelle oder KI-Systeme mit frei nutzbarer und veränderbarer Lizenz; im EU AI Act greift eine Ausnahme nur unter den engen Voraussetzungen des Art. 2 Abs. 12.
Begriff ansehen →Art. 2 Abs. 12 EU-VO 2024/1689
Open Weight bezeichnet Modelle mit zugänglichen Gewichtungen, während Open Source zusätzlich eine freie und offene Lizenz voraussetzt, die Nutzung, Änderung und Weitergabe erlaubt.
Open Weight bedeutet zugängliche Modellgewichtungen, während Open Source zusätzlich eine freie und offene Lizenz für Nutzung, Änderung und Weitergabe verlangt.
Begriff ansehen →§ 43 GmbHG, § 93 AktG, § 116 AktG
Organhaftung bezeichnet die persönliche Haftung von Geschäftsführern, Vorständen und Aufsichtsräten für Pflichtverletzungen bei der Unternehmensführung.
Organhaftung erklärt: § 43 GmbHG, § 93 AktG, D&O-Versicherung und wie AI Act, NIS2 und DORA neue Haftungsrisiken schaffen.
Begriff ansehen →Art. 21 Abs. 2 Buchst. e NIS2, § 30 Abs. 2 Nr. 5 BSIG-E, BSI IT-Grundschutz OPS.1.1.3
Patch Management ist der systematische Prozess, mit dem Unternehmen Software-Updates und Sicherheitspatches bewerten, priorisieren, testen, ausrollen und dokumentieren, um bekannte Schwachstellen kontrolliert zu schließen.
Was bedeutet Patch Management? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Kein direkter Bezug zu EU-VO 2024/1689; praktisch relevant für KI-Kompetenz gemäß Art. 4 EU-VO 2024/1689 sowie für ISO/IEC 42001, insbesondere Klausel 7.2 und 7.3.
PECB steht für Professional Evaluation and Certification Board und bezeichnet eine internationale Stelle für Personenzertifikate und Schulungen zu ISO-Standards, darunter ISO/IEC 42001.
PECB erklärt: Definition, ISO-42001-Relevanz, Akkreditierung und Praxisbeispiel für Unternehmen mit KI-Managementsystem.
Begriff ansehen →Art. 21 Abs. 2 Buchst. f Richtlinie (EU) 2022/2555; § 30 Abs. 2 Nr. 6 BSIG
Penetrationstest ist ein simulierter Angriff auf IT-Systeme, Anwendungen oder Prozesse, um aus Sicht eines Angreifers verwertbare Schwachstellen zu identifizieren.
Was bedeutet Penetrationstest? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 21 Abs. 2 Buchst. g Richtlinie (EU) 2022/2555 sowie §§ 263, 263a StGB
Phishing ist der betrügerische Versuch, Menschen über E-Mail, SMS, Telefon oder gefälschte Websites zur Preisgabe von Zugangsdaten, Zahlungsinformationen oder anderen sensiblen Daten zu verleiten.
Was bedeutet Phishing? ✓ Einfache Definition ✓ NIS2-Relevanz ✓ Praxisbeispiel für Unternehmen
Begriff ansehen →Art. 72 EU-VO 2024/1689
Post-Market-Monitoring ist die laufende Beobachtung eines Hochrisiko-KI-Systems nach dem Inverkehrbringen, um neue Risiken, Fehlfunktionen und Compliance-Probleme früh zu erkennen.
Post-Market-Monitoring bezeichnet die laufende Beobachtung eines Hochrisiko-KI-Systems nach dem Inverkehrbringen.
Begriff ansehen →CEN/CENELEC prEN 18286 (Entwurf)
Europäischer Standard-Entwurf für KI-Managementsysteme. CEN/CENELEC Pendant zu ISO 42001.
prEN 18286: Definition, ISO 42001 Relevanz, Praxisbeispiel.
Begriff ansehen →Art. 17 EU-VO 2024/1689
Das Qualitaetsmanagementsystem nach Art. 17 EU-VO 2024/1689 umfasst die organisatorischen Prozesse, Verantwortlichkeiten und Kontrollen für Hochrisiko-KI bei Anbietern.
Ein Qualitaetsmanagementsystem legt die organisatorischen Prozesse fest, mit denen Anbieter Hochrisiko-KI compliant entwickeln und betreiben.
Begriff ansehen →Kein definierter Rechtsbegriff im EU AI Act; praktisch relevant für Art. 4 und Art. 26 EU-VO 2024/1689
RAG verbindet ein KI-Modell mit einer externen Wissensquelle, ruft vor der Antwort passende Inhalte ab und übergibt diese als zusätzlichen Kontext an das Modell.
RAG verbindet ein Sprachmodell mit einer externen Wissensquelle und ergänzt Antworten um abgerufene Dokumente, ohne die Modellgewichtungen selbst zu verändern.
Begriff ansehen →Art. 6 Nr. 6 und Art. 21 Richtlinie (EU) 2022/2555; §§ 303a, 303b StGB
Ransomware ist Schadsoftware, die Daten oder Systeme verschlüsselt, den Zugriff blockiert und für die Freigabe ein Lösegeld fordert.
Was bedeutet Ransomware? Einfache Definition, NIS2-Relevanz und Praxisbeispiel für deutsche Unternehmen.
Begriff ansehen →Art. 21 Abs. 2 lit. f Richtlinie (EU) 2022/2555; Art. 26 EU-VO 2022/2554
Red Teaming ist ein zielorientiertes, realitätsnahes Sicherheitsverfahren, bei dem ein internes oder externes Team Angreiferverhalten simuliert, um die Wirksamkeit technischer, organisatorischer und menschlicher Schutzmaßnahmen zu prüfen.
Was bedeutet Red Teaming? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 21 Abs. 2 Buchst. a Richtlinie (EU) 2022/2555, § 30 Abs. 2 Nr. 1 BSIG, ISO/IEC 27005:2022
Risikoanalyse ist die systematische Ermittlung und Bewertung von Gefährdungen, Schwachstellen, Eintrittswahrscheinlichkeiten und Auswirkungen, um geeignete Sicherheitsmaßnahmen abzuleiten.
Was bedeutet Risikoanalyse? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 5, Art. 6 und Art. 50 EU-VO 2024/1689
Die Risikoklassen im AI Act ordnen KI-Systeme in verbotene Praktiken, Hochrisiko, begrenztes Risiko und minimales Risiko ein.
Der EU AI Act arbeitet mit vier Risikoklassen: verboten, hochriskant, begrenztes Risiko und minimales Risiko.
Begriff ansehen →Kein einheitlicher Rechtsbegriff im AI Act; praktisch relevant für Art. 9 EU-VO 2024/1689 sowie für NIS2, DORA und den Cyber Resilience Act.
Risikomanagement ist der systematische Prozess zur Identifikation, Bewertung, Steuerung und Überwachung von Risiken in einem Unternehmen.
Risikomanagement erklärt: 5-Schritte-Prozess, Pflichten nach AI Act, NIS2, DORA und CRA. ISO 31000 und COSO für KMU.
Begriff ansehen →Art. 9 EU-VO 2024/1689
Ein Risikomanagement-System ist gemäß Art. 9 EU-VO 2024/1689 ein kontinuierlicher Prozess zur Identifikation, Bewertung und Minderung von Risiken bei Hochrisiko-KI-Systemen.
Ein Risikomanagement-System ist der laufende Prozess, mit dem Anbieter Risiken von Hochrisiko-KI identifizieren, bewerten und mindern.
Begriff ansehen →Art. 57 bis 59 EU-VO 2024/1689
Eine Regulatory Sandbox ist ein beaufsichtigtes Testumfeld nach dem AI Act, in dem KI-Systeme unter regulatorischer Begleitung entwickelt, validiert oder erprobt werden.
Eine Regulatory Sandbox ist ein beaufsichtigtes Testumfeld, in dem KI-Systeme unter regulatorischer Begleitung entwickelt oder erprobt werden können.
Begriff ansehen →Art. 57 bis 59 EU-VO 2024/1689
Ein Sandbox-Verfahren ist ein behördlich begleitetes Testumfeld, in dem Unternehmen KI-Systeme vor dem regulären Markteinsatz strukturiert erproben können.
Ein Sandbox-Verfahren ist ein beaufsichtigtes Testumfeld, in dem KI-Systeme unter regulatorischer Begleitung entwickelt oder erprobt werden können.
Begriff ansehen →Art. 21 Abs. 2 lit. d NIS2-Richtlinie (EU) 2022/2555; Anhang I Teil II CRA (EU) 2024/2847; NTIA SBOM Minimum Elements
SBOM steht für Software Bill of Materials und bezeichnet ein strukturiertes Inventar aller Software-Komponenten, Abhängigkeiten und Lieferkettenbeziehungen eines Produkts oder Systems.
Was bedeutet SBOM? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 4 EU-VO 2024/1689; kein starres Format vorgeschrieben
Ein Schulungsnachweis dokumentiert die Maßnahmen, Inhalte und Teilnehmenden, mit denen ein Unternehmen KI-Kompetenz im Sinne von Art. 4 EU-VO 2024/1689 aufgebaut hat.
Ein Schulungsnachweis dokumentiert, welche Maßnahmen ein Unternehmen zur KI-Kompetenz seiner Teams umgesetzt hat. Der AI Act schreibt dafür kein starres Format vor.
Begriff ansehen →Art. 4 EU-VO 2024/1689; kein vorgeschriebenes Zertifikatsformat
Ein Schulungszertifikat ist ein personenbezogenes Dokument über die erfolgreiche Teilnahme an einer Schulung, häufig ergänzt um Lerninhalte, Datum, Umfang und eine bestandene Lernerfolgskontrolle.
Ein Schulungszertifikat bestätigt die erfolgreiche Teilnahme an einer Schulung und häufig auch eine Lernerfolgskontrolle. Für AI Act und DSGVO ist es ein nützlicher Compliance-Nachweis, aber kein amtlicher Status.
Begriff ansehen →Art. 21 Abs. 2 lit. e und Art. 12 Abs. 2 NIS2-Richtlinie (EU) 2022/2555 sowie § 30 Abs. 2 Nr. 5 BSIG
Schwachstellenmanagement ist der systematische Prozess, Sicherheitslücken in IT-Systemen, Anwendungen und Komponenten zu erfassen, zu bewerten, zu priorisieren und wirksam zu beheben.
Was bedeutet Schwachstellenmanagement? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 20 Abs. 2 und Art. 21 Abs. 2 Buchst. g Richtlinie (EU) 2022/2555; § 38 Abs. 3 BSIG-E
Security Awareness ist das bewusste, sichere Verhalten von Mitarbeitenden und Führungskräften gegenüber Cyberrisiken wie Phishing, Social Engineering und unsicheren Routinen.
Was bedeutet Security Awareness? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 4 und Art. 26 EU-VO 2024/1689
Self-Hosting-KI bezeichnet den Betrieb eines KI-Modells auf eigener oder vertraglich kontrollierter Infrastruktur, einschließlich Modellbereitstellung, Inferenz und Betriebsüberwachung.
Self-Hosting-KI bedeutet, dass ein Unternehmen ein KI-Modell auf eigener oder kontrollierter Infrastruktur betreibt, statt ausschließlich eine externe API zu nutzen.
Begriff ansehen →Art. 6 Abs. 6 und Art. 23 Abs. 3 Richtlinie (EU) 2022/2555; BSIG-E § 2 Abs. 8
Sicherheitsvorfall ist ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder IT-gestützten Diensten beeinträchtigt.
Was bedeutet Sicherheitsvorfall? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Richtlinie (EU) 2022/2555, insbesondere Art. 21 Abs. 2 Buchst. b, d und j, sowie BSI-Logik zu Erkennung und Behandlung von Sicherheitsvorfällen
SIEM steht für Security Information and Event Management und bezeichnet eine zentrale Plattform, die Sicherheitsereignisse aus verschiedenen Systemen sammelt, korreliert, bewertet und für Incident Handling nutzbar macht.
SIEM erklärt: Security Information and Event Management für Sicherheitsmonitoring, Incident Handling und NIS2-Umsetzung im Mittelstand.
Begriff ansehen →Art. 21 Abs. 2 Buchst. b Richtlinie (EU) 2022/2555
SOC steht für Security Operations Center und bezeichnet eine organisatorische und technische Einheit, die Sicherheitsereignisse laufend überwacht, bewertet und auf Vorfälle reagiert.
Was bedeutet SOC? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 21 Abs. 2 lit. g Richtlinie (EU) 2022/2555 (NIS2) und BSI-Grundschutz APP.1.1
Social Engineering ist die gezielte Manipulation von Menschen, um vertrauliche Informationen, Zugänge oder Handlungen zu erlangen, die ein Angreifer technisch allein schwerer durchsetzen könnte.
Was bedeutet Social Engineering? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →§ 43 GmbHG, § 93 AktG sowie organisationsbezogen AI Act, NIS2 und DORA
Die Sorgfaltspflicht verpflichtet Geschäftsführer und Vorstände, bei Leitung, Organisation, Überwachung und Entscheidung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden.
Sorgfaltspflicht nach § 43 GmbHG und § 93 AktG: Was Geschäftsführer bei AI Act, NIS2 und DORA beachten müssen. Haftungsfolgen erklärt.
Begriff ansehen →ISO/IEC 42001:2023 Klausel 6.1.3
Dokument, das festlegt, welche Annex A Controls anwendbar sind und warum.
Statement of Applicability: Definition, ISO 42001 Relevanz, Praxisbeispiel.
Begriff ansehen →Art. 21 Abs. 2 lit. d Richtlinie (EU) 2022/2555; § 30 Abs. 2 Nr. 4 BSIG; ENISA-Leitlinien zur Lieferkettensicherheit
Supply Chain Security ist die systematische Absicherung von Lieferanten, Dienstleistern, Software-Komponenten und Beschaffungsprozessen, damit Schwachstellen oder Angriffe in der Lieferkette nicht auf das eigene Unternehmen durchschlagen.
Was bedeutet Supply Chain Security? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 3, Art. 51 und Art. 55 EU-VO 2024/1689
Systemisches Risiko bezeichnet im EU AI Act besonders weitreichende Risiken bestimmter GPAI-Modelle, für die verschaerfte Anforderungen und Aufsicht gelten.
Systemisches Risiko bezeichnet im AI Act besonders weitreichende Risiken bestimmter GPAI-Modelle, für die verschaerfte Pflichten gelten.
Begriff ansehen →Art. 11 und Anhang IV EU-VO 2024/1689
Die technische Dokumentation nach Art. 11 EU-VO 2024/1689 beschreibt Aufbau, Zweck, Risiken, Daten und Schutzmaßnahmen eines Hochrisiko-KI-Systems.
Die technische Dokumentation beschreibt Aufbau, Zweck, Risiken und Schutzmaßnahmen eines KI-Systems und ist für Hochrisiko-KI zwingend.
Begriff ansehen →Art. 21 Abs. 2 Buchst. b NIS2-Richtlinie als Grundlage für risikobasierte Cybersicherheitsmaßnahmen; fachlich gestützt durch ENISA Threat Landscape und MITRE ATT&CK.
Threat Intelligence ist die systematische Sammlung, Analyse und Nutzung von Informationen über aktuelle und potenzielle Cyberbedrohungen, damit Unternehmen Risiken früher erkennen und wirksamer steuern können.
Was bedeutet Threat Intelligence? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Kein definierter Rechtsbegriff im EU AI Act; praktisch relevant für Kosten, Kontextfenster und Systembetrieb
Token sind die Verarbeitungseinheiten, in die ein KI-Modell Text oder andere Inhalte zerlegt, um Eingaben intern zu verarbeiten und Ausgaben zu generieren.
Token sind die kleinsten Verarbeitungseinheiten, in die ein Sprachmodell Texte zerlegt, um Eingaben zu lesen und Ausgaben zu erzeugen.
Begriff ansehen →Art. 13 und Art. 50 EU-VO 2024/1689
Offenlegung von Informationen über KI-Systeme: Funktionsweise, Daten, Entscheidungslogik und Leistungsgrenzen.
Transparenz: Definition, ISO 42001 Relevanz, Praxisbeispiel.
Begriff ansehen →Art. 50 EU-VO 2024/1689
Transparenzpflichten nach Art. 50 EU-VO 2024/1689 verpflichten bestimmte KI-Anwendungen dazu, ihre KI-Natur oder künstliche Inhalte offenzulegen.
Transparenzpflichten verlangen unter anderem, dass Nutzer erkennen können, wenn sie mit KI interagieren oder Inhalte künstlich erzeugt wurden.
Begriff ansehen →ISO/IEC 42001:2023, Clause 5, Clause 6, Clause 8, Clause 9 sowie Art. 4, Art. 9, Art. 13, Art. 14 und Art. 15 EU-VO 2024/1689
Responsible AI bezeichnet die Entwicklung und Nutzung von KI-Systemen nach ethischen, fairen, transparenten und sicheren Prinzipien mit wirksamer menschlicher Kontrolle.
Verantwortungsvolle KI: Definition, ISO 42001 Relevanz, Praxisbeispiel.
Begriff ansehen →Art. 5 EU-VO 2024/1689
Verbotene KI-Praktiken sind KI-Nutzungen nach Art. 5 EU-VO 2024/1689, die wegen ihrer Eingriffsintensitaet grundsaetzlich untersagt sind.
Verbotene KI-Praktiken nach Art. 5 EU-VO 2024/1689 duerfen seit dem 2. Februar 2025 grundsaetzlich nicht eingesetzt werden.
Begriff ansehen →Art. 21 Abs. 2 Buchst. h NIS2-Richtlinie, § 30 Abs. 2 Nr. 8 BSIG-E und BSI TR-02102
Verschlüsselung ist ein kryptographisches Verfahren, das Daten mit einem Schlüssel so umwandelt, dass sie nur von berechtigten Stellen wieder lesbar gemacht werden können.
Was bedeutet Verschlüsselung? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 21 Abs. 2 lit. h NIS2, BSI IT-Grundschutz NET.3.3 sowie BSI TR-02102 für TLS und IPsec
VPN ist ein verschlüsselter Kommunikationstunnel, der Geräte oder Standorte sicher über ein unsicheres Netzwerk wie das Internet verbindet.
Was bedeutet VPN? Einfache Definition, NIS2-Relevanz und Praxisbeispiel für deutsche Unternehmen.
Begriff ansehen →Art. 3 Abs. 1 und Anhang I Richtlinie (EU) 2022/2555; § 28 Abs. 1 BSIG
Wesentliche Einrichtung ist eine nach Art. 3 Abs. 1 der Richtlinie (EU) 2022/2555 besonders regulierte Organisation aus einem Sektor mit hoher Kritikalität, für die unter NIS2 strengere Aufsicht, Governance- und Sicherheitsanforderungen gelten.
Was bedeutet Wesentliche Einrichtung? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 3 Abs. 2 und Art. 34 Richtlinie (EU) 2022/2555, Anhang I und II sowie § 28 Abs. 2 BSIG
Wichtige Einrichtung ist ein Unternehmen oder eine Organisation in einem NIS2-relevanten Sektor, das die Größenkriterien für den erweiterten Cybersicherheitsrahmen erfüllt, aber nicht als wesentliche Einrichtung eingestuft wird.
Was bedeutet Wichtige Einrichtung? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Art. 21 Abs. 2 Buchst. j NIS2-Richtlinie (EU) 2022/2555
Zero Trust ist ein Sicherheitsmodell, bei dem kein Nutzer, Gerät oder Dienst automatisch vertraut wird und jeder Zugriff kontinuierlich geprüft wird.
Was bedeutet Zero Trust? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.
Begriff ansehen →Nächster Schritt
Wenn Sie KI-Kompetenz, Rollen, rote Linien und Schulungsnachweis nicht nur nachschlagen, sondern sauber ausrollen wollen, ist der Kurs der direkte nächste Schritt. Für typische Rückfragen zu Umfang, Nachweis und Team-Rollout steht zusätzlich die FAQ-Seite bereit.