Was sind harmonisierte Normen im Sinne des EU AI Act?

Harmonisierte Normen nach Art. 40 EU AI Act sind europäische Normen (EN), die auf Ersuchen der EU-Kommission von CEN oder CENELEC erarbeitet werden und im Amtsblatt der EU veröffentlicht werden. Wendet ein Anbieter eine harmonisierte Norm vollständig an, wird vermutet, dass sein KI-System die entsprechenden Anforderungen des AI Act erfüllt (Konformitätsvermutung). Diese Vermutung entbindet nicht von der Dokumentations- und Konformitätsbewertungspflicht, erleichtert aber den Nachweis erheblich.

prEN 18286 ist der Entwurf einer europäischen Norm, die CEN/CENELEC im Auftrag der EU-Kommission als harmonisierte Norm für den EU AI Act erarbeitet. Sie soll die zentralen Anforderungen des AI Act an Hochrisiko-KI-Systeme in konkrete, technisch umsetzbare Anforderungen übersetzen. Der Normierungsprozess läuft; eine finale Veröffentlichung im Amtsblatt mit Konformitätsvermutungs-Wirkung wird frühestens 2027 erwartet.

Kann ISO 42001 als Übergangslösung genutzt werden?

ISO/IEC 42001:2023 ist ein internationaler Standard für KI-Managementsysteme und kann als Orientierungsrahmen genutzt werden, solange harmonisierte Normen noch nicht vorliegen. ISO 42001 begründet jedoch keine Konformitätsvermutung nach Art. 40 EU AI Act, weil sie keine europäische harmonisierte Norm im Sinne der EU-Normungsverordnung ist. Sie kann aber als Nachweis einer strukturierten KI-Governance im Rahmen der Konformitätsbewertung dienen.

Was sollten Unternehmen jetzt tun, bevor harmonisierte Normen gelten?

Unternehmen sollten zunächst klären, ob ihre KI-Systeme unter die Hochrisiko-Kategorie des AI Act fallen. Für betroffene Systeme empfiehlt sich eine Gap-Analyse auf Basis der AI-Act-Anforderungen und der verfügbaren Normenentwürfe. ISO 42001 kann als Orientierungsrahmen für den Aufbau einer KI-Governance dienen. Der Normierungsfortschritt bei prEN 18286 sollte aktiv verfolgt werden, um rechtzeitig auf die finale Fassung reagieren zu können.

EU AI Act KI-Beratung KI-Schulungen

Ratgeber

Harmonisierte Normen zum EU AI Act: prEN 18286 und ISO 42001.

Q: Für welche KI-Systeme sind harmonisierte Normen relevant?

Harmonisierte Normen nach Art. 40 EU AI Act sind primär für Anbieter von Hochrisiko-KI-Systemen nach Anhang III und Anhang I des AI Act relevant. Das sind zum Beispiel KI-Systeme in den Bereichen kritische Infrastruktur, Bildung, Personalentscheidungen, Strafverfolgung und Migration. Anbieter dieser Systeme haben eine Konformitätsbewertungspflicht; harmonisierte Normen erleichtern den Nachweis erheblich.

Harmonisierte Normen nach Art. 40 EU AI Act begründen Konformitätsvermutung für Hochrisiko-KI-Systeme. Was der Normenentwurf prEN 18286 enthält, wie ISO 42001 als Übergangslösung dient und was KMU jetzt konkret vorbereiten sollten.

Zuletzt aktualisiert: Juni 2026

Hintergrund

Normen als Schlüssel zur Konformität — aber sie fehlen noch.

Der EU AI Act (Verordnung (EU) 2024/1689) folgt dem bewährten New-Approach-Prinzip: Technische Anforderungen werden nicht direkt in der Verordnung ausdefiniert, sondern über harmonisierte Normen konkretisiert. Art. 40 EU AI Act sieht vor, dass Anbieter von Hochrisiko-KI-Systemen, die eine harmonisierte Norm vollständig anwenden, eine Konformitätsvermutung genießen — ihr System gilt als den entsprechenden Anforderungen des AI Act entsprechend.

Das Problem: Die harmonisierten Normen existieren noch nicht. Die EU-Kommission hat CEN und CENELEC im Oktober 2023 mandatiert, entsprechende Normen zu erarbeiten. CEN/CENELEC hat daraufhin die Entwicklung von prEN 18286 aufgenommen. Der Normierungsprozess ist im Gange; eine finale Veröffentlichung im Amtsblatt der EU, die die Konformitätsvermutung auslöst, wird frühestens 2027 erwartet.

In der Zwischenzeit stehen Unternehmen vor der Aufgabe, Konformität nachzuweisen, ohne auf harmonisierte Normen zurückgreifen zu können. Die international anerkannte Norm ISO/IEC 42001:2023 für KI-Managementsysteme hat sich als pragmatischer Orientierungsrahmen etabliert, begründet aber — anders als eine harmonisierte Norm — keine Konformitätsvermutung im Sinne des AI Act.

Praxishinweis

Unternehmen, die Hochrisiko-KI-Systeme entwickeln oder betreiben, sollten jetzt mit einer Gap-Analyse auf Basis der verfügbaren Normenentwürfe beginnen. Wer ISO 42001 als Rahmen aufbaut, investiert in eine Struktur, die bei Vorliegen der finalen harmonisierten Normen als Ausgangspunkt dient und den Übergang erheblich erleichtert.

Kernaspekte

Sechs Dimensionen des Normierungsrahmens.

Konformitätsvermutung Art. 40

Wer eine harmonisierte Norm vollständig anwendet, gilt als konform mit den entsprechenden Anforderungen des AI Act. Das erleichtert die Konformitätsbewertung erheblich — anstelle einer vollständigen Eigenprüfung genügt der Nachweis der Normanwendung.

Beweislasterleichterung bei Marktüberwachung
Vereinfachte Konformitätsbewertung für benannte Stellen
Nur bei vollständiger Normanwendung wirksam
Gilt erst nach Veröffentlichung im EU-Amtsblatt

prEN 18286

prEN 18286 ist der Normenentwurf, den CEN/CENELEC auf Basis des EU-Kommissions-Mandats M/600 erarbeitet. Die Norm soll die wesentlichen Anforderungen des AI Act für Hochrisiko-KI-Systeme technisch konkretisieren — von Risikomanagement über Datenvorgaben bis hin zu Transparenz und menschlicher Aufsicht.

Entwickelt von CEN/CENELEC auf EU-Mandat M/600
Deckt Kernanforderungen Art. 9–15 EU AI Act ab
Öffentliches Kommentierungsverfahren abgeschlossen
Finale EN-Fassung frühestens 2027 erwartet

ISO/IEC 42001 als Brücke

ISO 42001:2023 definiert Anforderungen an ein KI-Managementsystem (AIMS). Sie ist strukturell mit ISO 27001 vergleichbar und kann zertifiziert werden. Sie begründet keine Konformitätsvermutung nach Art. 40 AI Act, dient aber als anerkannter Orientierungsrahmen für KI-Governance und erleichtert die spätere Angleichung an prEN 18286.

Internationale Norm für KI-Managementsysteme
Zertifizierbar durch akkreditierte Stellen
Keine Konformitätsvermutung nach Art. 40 AI Act
Strukturell kompatibel mit prEN 18286-Entwurf

Anwendungsbereich

Harmonisierte Normen sind primär für Anbieter von Hochrisiko-KI-Systemen relevant. Das betrifft KI in kritischer Infrastruktur, Bildung, Personalentscheidungen, wesentlichen privaten und öffentlichen Dienstleistungen sowie Strafverfolgung und Migration. Auch Systeme nach Anhang I (Maschinen, Medizinprodukte) sind betroffen.

Anhang-III-Systeme: Biometrie, Infrastruktur, HR, Bildung
Anhang-I-Systeme: Sektorspezifische Produktrecht-Verweise
KI mit geringem Risiko nicht unmittelbar betroffen
GPAI-Modelle unterliegen separatem Regime

Zeitplan

Die Anforderungen für Hochrisiko-KI-Systeme nach Anhang III gelten ab dem 2. August 2026. Harmonisierte Normen werden zu diesem Zeitpunkt voraussichtlich noch nicht im Amtsblatt veröffentlicht sein. Unternehmen müssen daher einen Konformitätsnachweis ohne harmonisierte Normen führen.

2. August 2026: Anhang-III-Pflichten gelten
Harmonisierte Normen: frühestens 2027 im Amtsblatt
Übergangszeit ohne Normen erfordert Eigenprüfung
Normierungsfortschritt regelmäßig verfolgen

Bedeutung für KMU

Für KMU ist die Normenlage besonders relevant: Harmonisierte Normen reduzieren den Aufwand für die Konformitätsbewertung erheblich, weil ein strukturierter Nachweis an die Stelle einer vollständigen Eigenprüfung tritt. Bis die Normen gelten, empfiehlt sich ISO 42001 als erster Schritt.

Normen reduzieren Compliance-Aufwand für KMU
ISO 42001-Zertifizierung als marktfähiger Nachweis
AI-Act-Helpdesk der EU-Kommission für KMU nutzbar
Gap-Analyse jetzt möglich auf Basis Normenentwurf

Vorgehen

AI-Act-Konformität strukturiert vorbereiten.

KI-Systeme klassifizieren

Alle eingesetzten und entwickelten KI-Systeme identifizieren und gegen die Risikokategorien des AI Act prüfen. Fallen Systeme unter Anhang I oder III? Welche Pflichten gelten ab August 2026?

Gap-Analyse auf Basis der Normenentwürfe

Verfügbare Entwürfe von prEN 18286 und die AI-Act-Anforderungen Art. 9–15 als Referenz für eine Gap-Analyse nutzen. Identifizieren, welche Anforderungen bereits erfüllt sind und wo Handlungsbedarf besteht.

ISO 42001 als Managementrahmen

KI-Managementsystem nach ISO 42001 aufbauen oder vorhandenes Managementsystem (ISO 27001, ISO 9001) um KI-Anforderungen erweitern. ISO 42001 schafft die strukturelle Grundlage für die spätere Normanwendung.

Normierungsstand beobachten

Fortschritt bei prEN 18286 und weiteren harmonisierten Normen verfolgen. Bei Veröffentlichung im Amtsblatt Normanwendung prüfen und Konformitätsvermutung aktiv nutzen. Anpassungsbedarf frühzeitig einplanen.

FAQ

Häufige Fragen zu harmonisierten Normen.

Verwandte Themen

Was sind harmonisierte Normen im EU AI Act?+

Harmonisierte Normen nach Art. 40 EU AI Act sind europäische Normen (EN), die auf Ersuchen der EU-Kommission von CEN oder CENELEC erarbeitet und im Amtsblatt der EU veröffentlicht werden. Wer eine solche Norm vollständig anwendet, genießt eine Konformitätsvermutung: Sein KI-System gilt als den entsprechenden AI-Act-Anforderungen entsprechend. Das erleichtert die Konformitätsbewertung erheblich, entbindet aber nicht von Dokumentations- und Registrierungspflichten.

Was ist prEN 18286?+

prEN 18286 ist der Normenentwurf, den CEN/CENELEC auf Basis des EU-Kommissions-Mandats M/600 für den EU AI Act erarbeitet. Die Norm soll die Kernanforderungen des AI Act für Hochrisiko-KI-Systeme technisch konkretisieren, insbesondere Risikomanagement, Datenqualität, Transparenz, Robustheit und menschliche Aufsicht. Die öffentliche Kommentierungsphase ist abgeschlossen; die finale EN-Fassung mit Konformitätsvermutungs-Wirkung wird frühestens 2027 erwartet.

Kann ISO 42001 als Nachweis für den AI Act verwendet werden?+

ISO 42001 begründet keine Konformitätsvermutung nach Art. 40 EU AI Act, weil sie keine harmonisierte europäische Norm im Sinne der EU-Normungsverordnung ist. Sie kann aber als Nachweis strukturierter KI-Governance im Rahmen der Konformitätsbewertung dienen und ist bei Aufsichtsbehörden und Beschaffungsorganisationen anerkannt. Unternehmen, die ISO 42001 implementieren, schaffen eine belastbare Grundlage für die spätere Angleichung an harmonisierte Normen.

Für welche KI-Systeme sind harmonisierte Normen relevant?+

Primär für Anbieter von Hochrisiko-KI-Systemen nach Anhang III EU AI Act: KI in kritischer Infrastruktur, Bildungseinrichtungen, Personalentscheidungen, wesentlichen Dienstleistungen, Strafverfolgung und Migration. Auch sektorspezifische KI-Systeme nach Anhang I (Medizinprodukte, Luftfahrt, Fahrzeuge) sind betroffen. Für KI mit geringem Risiko und GPAI-Modelle gelten separate Regime.

Was müssen Unternehmen tun, solange harmonisierte Normen fehlen?+

Anbieter von Hochrisiko-KI-Systemen müssen auch ohne harmonisierte Normen Konformität nachweisen. Das erfolgt über eine eigenständige Prüfung anhand der AI-Act-Anforderungen (Art. 9–15) und entsprechende Dokumentation. Als Orientierungsrahmen können Normenentwürfe (prEN 18286), ISO 42001 und die NIST AI RMF herangezogen werden. Empfehlenswert ist eine jetzt beginnende Gap-Analyse, um den Handlungsbedarf rechtzeitig vor dem 2. August 2026 zu kennen.

Grundlage EU AI Act Zur Seite Leistung KI-Beratung Zur Leistung Leistung KI-Schulungen Zur Leistung

Wissen Sie, ob Ihre KI-Systeme unter den EU AI Act fallen?

Lassen Sie uns gemeinsam klären, welche Anforderungen für Ihre KI-Anwendungen gelten und wie Sie sich jetzt optimal vorbereiten.

Kostenloses Erstgespräch buchen