KI in Energie und kritischer Infrastruktur: EU AI Act Anforderungen

Anhang III Nr. 2 EU AI Act listet als Hochrisiko: KI-Systeme als Sicherheitskomponenten der Infrastruktur für Wasserversorgung, Gas, Wärme und Strom. Dies umfasst: KI zur Netzstabilisierung und Lastverteilung in Stromnetzen, KI zur Anomalieerkennung in Wasserverteilsystemen, KI zur Steuerung kritischer Betriebsprozesse, KI zur Cybersicherheitsüberwachung kritischer Systeme. Besonderheit: Für kritische Infrastrukturen gelten parallel EU AI Act und die NIS2-Richtlinie (Netz- und Informationssicherheit). Beide Regelwerke müssen koordiniert umgesetzt werden.

Die Energiewende treibt den KI-Einsatz stark voran. Relevante Anwendungsfälle: Predictive Maintenance in Windparks und Solaranlagen (oft nicht Hochrisiko, wenn keine Sicherheitsfunktion), KI-gestützte Netzsteuerung und Frequenzhaltung (Hochrisiko als Sicherheitskomponente), Smart-Metering-Analysesysteme für Verbrauchsprognose (je nach Funktion), KI für Energiehandel und Preisprognose (nicht direkt Hochrisiko), KI für automatisierte Schutztechnik (Hochrisiko als Sicherheitsbauteil). Prüfen Sie für jeden Anwendungsfall separat, ob Sicherheitsfunktionen nach Anhang I vorhanden sind.

Art. 15 EU AI Act schreibt für Hochrisiko-KI Cybersicherheits-Anforderungen vor: Resilienz gegen Angriffe, die die Systemzuverlässigkeit beeinflussen, Schutz vor Vergiftung der Trainingsdaten (Data Poisoning), Schutz vor adversariellen Inputs, Systemstabilität und Ausfallsicherheit. NIS2-Richtlinie (Umsetzung 2024) ergänzt: Risikomanagement für Netz- und Informationssysteme, Incident-Reporting bei erheblichen Sicherheitsvorfällen an nationale Behörden, Mindestanforderungen an Cybersicherheitsmaßnahmen. DACH-Energieversorger sollten beide Frameworks koordiniert implementieren.

Länderspezifische Regelungen für kritische Infrastruktur: Deutschland: IT-Sicherheitsgesetz 2.0 (BSIG) und BSI-Kritisverordnung, NIS2-Umsetzungsgesetz (2024), Regulierung durch Bundesnetzagentur für Energiesysteme. Österreich: NIS-Gesetz (NIS 2.0 Umsetzung), Regulierung durch E-Control und RTR. Schweiz: Informationssicherheitsgesetz (ISG), MELANI/NCSC für kritische Infrastruktur, Anforderungen des Bundesamts für Energie. Für Schweizer Unternehmen: Der EU AI Act gilt nur für Produkte/Systeme, die auf dem EU-Markt bereitgestellt werden. Für interne Systeme gilt das Schweizer Recht.

Prioritäre Maßnahmen für DACH-Energieversorger: (1) KI-Inventar aller OT- und IT-Systeme mit KI-Komponenten, (2) Sicherheitskomponenten-Analyse: Welche KI-Systeme haben Sicherheitsfunktionen? (3) Koordination mit Cybersicherheits-Team und NIS2-Umsetzung, (4) Einbindung des Sicherheitsbeauftragten (CISO) in EU AI Act-Compliance, (5) Anbieter-Due-Diligence für alle kritischen KI-Systeme, (6) Interne KI-Governance mit klaren Eskalationswegen für KI-Vorfälle, (7) Schulung des Operations-Personals zu KI-Aufsicht und -Eingriff. Planen Sie mindestens 12 Monate für vollständige Compliance ein.