Der AI Act sieht einen abgestuften Rahmen für den zeitlichen Geltungsbereich der Bestimmungen vor. Mit den unterschiedlichen Zeitpunkten wird auf das Risikopotential bestimmter Praktiken sowie auf den notwendigen Adaptierungsaufwand Rücksicht genommen.
Inkrafttreten des AI Act
Am 20. Tag nach der Veröffentlichung im Amtsblatt der Europäischen Union
+ 6 Monate
6 Monate nach Inkrafttreten des AI Act dürfen die als „verboten“ klassifizierten Praktiken nicht mehr angewandt werden. Ferner gelten die Regelungen zu KI-Kompetenz („Literacy“). Das heißt, Anbieter und Betreiber von KI-Systemen sind verpflichtet, Maßnahmen zu ergreifen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, ausreichende Kenntnisse aufweisen.
+ 12 Monate
Die Bestimmungen zu General Purpose AI sind 12 Monate nach Inkrafttreten des AI Act verpflichtend anzuwenden.
Weiters gelten auch die Regelungen zu Notifizierungsstellen. Mitgliedstaaten sind verpflichtet, zumindest eine notifizierende Behörde zu benennen, welche mit der Einrichtung und Durchführung der erforderlichen Verfahren für die Bewertung, Benennung und Notifizierung von Konformitätsbewertungsstellen und für deren Überwachung zuständig sind.
Ebenso sind die Governance-Bestimmungen anzuwenden, wodurch die Kommission auf Unionsebene und die Mitgliedstaaten auf nationaler Ebene aufgefordert werden, die vorgesehenen Behörden und Institutionen einzurichten oder zu benennen.
Darüber hinaus gelten die Strafbestimmungen ab diesem Zeitpunkt.
+ 24 Monate
24 Monate nach Inkrafttreten des AI Act gelten grundsätzlich alle Verpflichtungen. Das bedeutet, die Anforderungen an Hochrisiko-KI-Systeme gemäß Anhang III (nicht hingegen Anhang I) und KI-Systeme mit geringem und minimalem Risiko sind einzuhalten.
+ 36 Monate
36 Monate nach Inkrafttreten des AI Act gelten die Anforderungen an Hochrisiko-KI-Systeme gemäß Anhang I.
Abweichende Bestimmungen für bereits auf dem Markt befindliche bzw. in Betrieb genommene KI-Systeme
- Hochrisiko-KI-Systeme müssen ab dem Zeitpunkt einer wesentlichen Änderung in Übereinstimmung mit dem AI Act gebracht werden.
- Hochrisiko-KI-Systeme, welche für Behörden bestimmt sind, sind binnen 6 Jahre ab Inkrafttretensdatum des AI Act in Übereinstimmung mit dem AI Act zu bringen.
- GPAI-Systeme sind binnen 3 Jahre ab Inkrafttretensdatum des AI Act in Übereinstimmung mit dem AI Act zu bringen.
- KI-Systeme, welche Teil der IT-Großsysteme im Bereich der Freiheit, der Sicherheit und des Rechts sind (Schengener Informationssysteme [SIS], Visa-Informationssysteme, Eurodac etc), sind bis 2030 in Übereinstimmung mit dem AI Act zu bringen.
Weitere Fristen
- Spätestens 3 Monate vor Geltung der entsprechenden Bestimmungen sollen vom AI Office initiierte Codes of Practices für Betreiber veröffentlicht werden. Für die jeweiligen Risikokategorien ergeben sich daraus folgende Zeitpunkte:
- 9 Monate nach Inkrafttreten des AI Act für GPAI-Systeme (verpflichtend);
- 21 Monate nach Inkrafttreten des AI Act für Hochrisiko-KI-Systeme (Anhang III) und KI-Systeme mit geringem und minimalem Risiko (optional);
- 33 Monate nach Inkrafttreten des AI Act für Hochrisiko-KI-Systeme (Anhang III) und KI-Systeme mit geringem und minimalem Risiko (optional).
- 18 Monate nach Inkrafttretensdatum des AI Act sind Leitlinien für die praktische Durchführung von Hochrisiko-KI-Systeme (Anhang I) zu veröffentlichen.