EU AI Act Implementierungs-Timeline
Wählen Sie Ihre Rolle und Risikostufe. Erhalten Sie einen praktischen Plan nach Phasen, mit den exakten Artefakten, die Sie produzieren müssen, und den Nachweisen, die Sie exportieren können müssen.
Zuletzt aktualisiert: 16. Dez. 2025 · Version v1.0 · Nur zur Orientierung. Keine Rechtsberatung.
Problem melden: /contact
Was das ist (und wann Sie es brauchen)
Ein phasenbasierter Plan zur Produktion der Deliverables und Nachweise, die Prüfer erwarten.
Diese Seite ist keine rechtliche Zusammenfassung. Es ist eine Implementierungs-Timeline, die auf echte Deliverables ausgerichtet ist: technische Dokumentation, Human-Oversight-Prozeduren, Monitoring-Pläne, Log-Aufbewahrungsrichtlinien und Nachweis-Export-Drills.
Verwenden Sie die interaktiven Toggles, um eine Checkliste nach Rolle und Risikovertrauen zu erstellen. Wenn Sie unsicher sind, behandeln Sie es als potenzielles Hochrisiko, bis Sie die Klassifizierung verteidigen können.
Sie brauchen es, wenn
- Sie Budgets planen und Arbeit über Teams hinweg sequenzieren.
- Sie Artefakte schnell produzieren und mit Nachweisen verknüpft halten müssen.
- Sie Audit-Readiness durch Export-Drills nachweisen wollen, nicht durch Versprechen.
Häufiger Fehlermodus
Teams beginnen Dokumentation zu spät und können Nachweise nicht auf Abruf exportieren: keine Versionsspur, keine Review-Aufzeichnungen, kein Integritätsnachweis, keine Drill-Reports.
Erfolgskriterien
Timeline-Erfolgskriterien: Kontrollen + Nachweise, nicht Slide Decks.
- Sie haben ein eigenverantwortliches Systeminventar und ein vertretbares Klassifizierungsmemo.
- Hochrisiko-Aktionen werden durch Policy Gates und/oder Genehmigungswarteschlangen kontrolliert.
- Monitoring-Plan umfasst Schwellenwerte, Sampling-Policy, Verantwortliche und Incident-Workflow.
- Audit-Logs sind integritätsgeschützt und exportierbar mit Manifest + Checksummen.
- Sie führen Export-Drills durch und bewahren Drill-Reports + korrigierende Maßnahmen als Nachweis auf.
Schlüsseldaten (Orientierung)
Verwenden Sie diese Meilensteine, um Ihre interne Timeline zu überprüfen.
2024-07-12
Im Amtsblatt veröffentlicht
Start des Countdowns. Nutzen Sie dieses Datum zur Plausibilitätsprüfung der stufenweisen Anwendbarkeit.
2024-08-01
In Kraft getreten
Die Verordnung gilt, viele Pflichten greifen jedoch später.
2025-02-02
Verbotene Praktiken gelten (Artikel 5)
Unabhängig vom Risiko: verbotene Anwendungsfälle müssen entfernt oder neu gestaltet werden.
2025-08-02
Pflichten für allgemeine KI (GPAI) beginnen
Anbieterseitige Pflichten treten stufenweise für GPAI‑Modelle und Modelle mit Systemrisiko in Kraft.
2026-08-02
Die meisten Pflichten gelten
Operative Programme sollten live sein, nicht „in Planung“.
2027-08-02
Einige Hochrisiko‑Regeln gelten vollständig
Spätere Anforderungen und kategoriespezifische Pflichten greifen.
Interaktiver Implementierungsplan
Eine vorgeschlagene Reihenfolge der Operationen, zugeschnitten auf Ihre Rolle und Ihr Risikovertrauen.
Phase 1: Inventory and classification
You can’t comply with what you haven’t identified. Start by making risk classification defensible.
Owners
- Compliance
- Product
- Engineering
What you produce
- System inventory
- Classification memo (assumptions + rationale)
- Owner map
Checklist
- Inventory AI systems, owners, deployment regions, and affected user groups.
- Write intended purpose and boundaries (“do not use for”).
- Classify risk tier; if uncertain, treat as potential high-risk until clarified.
- Identify and remove prohibited patterns; record remediation decisions.
Phase 2: Governance and change control
Audits fail when versioning and approvals are missing. Make “what changed when” provable early.
Owners
- Compliance
- Security
- Engineering
What you produce
- Change control policy
- Material change definition
- Approval workflow + evidence fields
Checklist
- Define “material change” (model/prompt/policy/workflow/data/tool changes).
- Implement approvals for risky changes and capture rationale + identity.
- Define retention and export expectations for audit logs.
Phase 3: Controls, gates, oversight, and logging
Move from documentation to enforceable runtime controls (fail-closed where needed).
Owners
- Engineering
- Compliance
- Ops
What you produce
- Policy-as-code checkpoints
- Human oversight SOP
- Audit log taxonomy
Checklist
- Define policy checkpoints (block / require-review / allow) for high-risk actions.
- Stand up an approval queue with escalation and override procedure.
- Log decisions, approvals/overrides, tool calls, and versions in effect.
Phase 4: Documentation package and evidence pointers
Reviewers want an artifact that links every claim to exportable proof.
Owners
- Compliance
- Engineering
- Risk
What you produce
- Annex IV-aligned technical documentation draft
- Evidence pointers per section
Checklist
- Draft Annex IV sections and attach evidence pointers (artifact → source → integrity proof).
- Produce a one-page summary for stakeholders (forwardable).
- Prepare deployer instructions and required operational controls.
Phase 5: Post-market monitoring and incident response
You must prove ongoing control effectiveness: sampling, thresholds, incidents, corrective actions.
Owners
- Ops
- Compliance
- Engineering
What you produce
- Post-market monitoring plan
- Sampling policy
- Incident runbook
Checklist
- Define monitored signals and thresholds (quality, policy compliance, tool correctness, operational health).
- Implement risk-tiered sampling (baseline + burst rules).
- Define incident severity levels, SLAs, rollback/kill-switch procedure, and reporting responsibilities.
Phase 6: Audit readiness drills
Evidence exists only if you can export it on demand, with verification steps.
Owners
- Compliance
- Engineering
- Security
What you produce
- Evidence export drill report
- Corrective action log
Checklist
- Run a time-boxed evidence export drill (simulate an auditor request).
- Verify integrity independently (manifest + checksums + hash chain validation).
- Record gaps and corrective actions; repeat on cadence (monthly/quarterly).
Checklisten-Vorschau
Ein kleiner Auszug des herunterladbaren Artefakts (indexierbares HTML).
## Phase 2: Lückenbewertung (Artefakte, die Sie produzieren können müssen) - Annex IV technische Dokumentationsentwurf (falls Hochrisiko) - Human Oversight SOP + Interventions-Nachweis-Pfad - Logging-Taxonomie + Aufbewahrungsrichtlinie + Export-Mechanismus - Post-Market-Monitoring-Plan + Sampling-Policy + Incident-Workflow ## Phase 6: Audit-Readiness-Drills - Führen Sie einen vollständigen Nachweis-Export-Drill durch (zeitbegrenzt) - Verifizieren Sie Integrität unabhängig (Manifest + Checksummen) - Beheben Sie Lücken und dokumentieren Sie korrigierende Maßnahmen
Wie KLA hilft (Govern / Measure / Prove)
Verwandeln Sie die Timeline in eine Control Plane mit exportierbaren Nachweisen.
Steuern
- Policy-as-Code-Checkpoints, die riskante Aktionen blockieren oder Review erfordern.
- Versionierte Genehmigungen für Modell-/Prompt-/Policy-/Workflow-Änderungen.
Messen
- Risiko-gestaffelte Sampling-Reviews (Baseline + Burst-Regeln).
- Near-miss-Tracking (blockierte / fast blockierte Schritte) als Kontrolleffektivitätssignal.
Nachweisen
- Manipulationssicherer, Append-only-Audit-Trail mit 7+ Jahren Aufbewahrungsvorgabe wo erforderlich.
- Evidence Room-Export-Bundles (Manifest + Checksummen) für unabhängige Verifizierung.
Update-Log
Aktualitätshinweis zur Orientierung.
2025-12-16
Initiale interaktive Timeline
Rollen-/Risiko-Toggles + phasenbasierte Checkliste + herunterladbares Checklisten-Artefakt hinzugefügt.
Zuletzt aktualisiert: 2025-12-16
Häufige Fragen
Kurze Antworten für Planung und Reviews.
Timeline-Checkliste herunterladen
Bearbeitbare Markdown-Checkliste für Planung und Audit-Readiness-Drills.
Checkliste herunterladen