Kapitel III, Abschnitt 2 — Anforderungen an Hochrisiko-KI-SystemeArtikel 15

Artikel 15: Genauigkeit, Robustheit und Cybersicherheit

Gilt ab 2. Aug. 2026ca. 589 WörterEUR-Lex geprüft Apr. 2026

Art. 15 verlangt, dass Hochrisiko-KI-Systeme so entwickelt werden, dass sie ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit erreichen und konsistent über den Lebenszyklus performen. Die Kommission soll Benchmarks und Messmethoden mit Stakeholdern fördern (Art. 15 Abs. 2). Genauigkeitsniveaus und -metriken sind in der IFU anzugeben (Art. 15 Abs. 3). Robustheit umfasst Fehler, Inkonsistenzen, Umgebung, Redundanz/Fail-safe und Feedback-Schleifen bei Weiterlernen (Art. 15 Abs. 4 auf EUR-Lex). Cybersicherheit gegen unbefugte Manipulation und KI-spezifische Angriffe (u. a. Data/Model Poisoning, Adversarial Examples—Art. 15 Abs. 5 auf EUR-Lex).

Kostenlose Bewertung starten Alle Artikel

Für wen gilt das?

-Anbieter, die Hochrisiko-KI entwickeln, härten und validieren
-Betreiber mit Einfluss auf Umgebung und Angriffsfläche im Betrieb

Szenarien

Online-Lernen in Produktion ohne Kontrolle verzerrter Rückkopplungen.

Art. 15 Abs. 4 zu Feedback-Loops—Mitigation und Nachweis.

Ref. Art. 15(4)

IFU behauptet 98 % Genauigkeit, interne EU-repräsentative Tests 85 %.

Art. 15 Abs. 3 verlangt ehrliche Deklaration; Widerspruch zu Anhang IV riskant.

Ref. Art. 15(3)

Was Artikel 15 verlangt (Klartext)

Genauigkeit — zum Zweck passende Metriken; validieren und in der IFU deklarieren.

Robustheit — Fehler, Umgebung, Kopplung; Redundanz/Fail-safe wo sinnvoll; Weiterlernen: Feedback-Loops mitigieren (EUR-Lex).

Cybersicherheit — KI-spezifische Bedrohungen (Art. 15 Abs. 5 Liste auf EUR-Lex).

Art. 15 Abs. 2 — Kommission und Benchmarks beobachten.

Anschluss an andere Artikel

Art. 8 — Art. 15 Kern von Abschnitt 2.
Art. 9 — Tests belegen Art. 15.
Art. 10 — Datenqualität als Basis.
Art. 13 — IFU mit Art. 13 Abs. 3 lit. b ii zu Art. 15-Metriken.
Art. 11 — Anhang IV-Evidenz.
Art. 12 — Logs für Robustheits- und Security-Vorfälle.
Art. 113.

Amtlicher Wortlaut (Auszug): Art. 15 Abs. 1–3 (englische Fassung)

Hinweis (Redaktion): Art. 15 Abs. 1–3 englisch; Abs. 4–5 vollständig auf EUR-Lex Art. 15. Maßgeblich die deutsche Fassung.

1. High-risk AI systems shall be designed and developed in such a way that they achieve an appropriate level of accuracy, robustness, and cybersecurity, and that they perform consistently in those respects throughout their lifecycle.

2. To address the technical aspects of how to measure the appropriate levels of accuracy and robustness set out in paragraph 1 and any other relevant performance metrics, the Commission shall, in cooperation with relevant stakeholders and organisations such as metrology and benchmarking authorities, encourage, as appropriate, the development of benchmarks and measurement methodologies.

3. The levels of accuracy and the relevant accuracy metrics of high-risk AI systems shall be declared in the accompanying instructions of use.

(4)–(5) — EUR-Lex.

Erwägungsgründe (Präambel) auf EUR-Lex

Die Erwägungsgründe im konsolidierten KI-Rechtsakt stützen Leistung, Robustheit und Cybersicherheit. Präambel EUR-Lex—keine inoffiziellen Listen ohne Abgleich.

Checkliste

Genauigkeitsmetriken zum Zweck; Testdaten und Schwellen dokumentieren.
Robustheit: Randfälle, Drift, adversarische Eingaben je Modalität.
SBOM, Patches, Incident Response zu Art. 15 Abs. 5.
Bei Post-Market-Lernen Feedback-Loop-Kontrollen dokumentieren.
IFU-Deklarationen mit Anhang IV und Monitoring abstimmen.

Offiziellen Text auf EUR-Lex lesen

Pflichten über Artikel hinweg kartieren—kostenlose Einschätzung.

Kostenlose Bewertung starten

Häufige Fragen

Reicht SOC 2?

Hilft organisatorisch, ersetzt aber nicht KI-spezifische Tests und Nachweise zu Art. 15 Abs. 4–5 und Anhang IV.

Neu-Zertifizierung nach jedem Fine-Tune?

Wesentliche Änderungen können neue Konformität auslösen; kleine Updates dennoch Metriken und Dokumentation prüfen.

Auf dieser Seite

Begriffe

Angemessenes Niveau: Kontextabhängiges Leistungs- und Resilienziel, begründet gegen Zweck, Stand der Technik und Risiken—keine fixe Prozentzahl für alle Fälle.
KI-spezifische Schwachstellen: Bedrohungen wie Daten- oder Modellmanipulation, adversarische Beispiele und Modellumgehung, die klassische IT-Kontrollen allein nicht abdecken.
Appropriate level: Context-dependent performance and resilience target that must be justified against intended purpose, state of the art, and risks—not a single universal percentage.
AI-specific vulnerabilities: Threats such as data poisoning, model poisoning, adversarial examples, and model evasion that generic IT security controls may not fully address.
Robustheit gegen Angriffe: The ability of an AI system to maintain correct functioning when subjected to intentionally crafted malicious inputs designed to cause errors.

Höchststrafen (Art. 99)

3 % Umsatz / Bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes (Unternehmen) nach Art. 99
KMU / Start-ups: Niedrigere Höchstbeträge für KMU nach Art. 99(2)
Sicherheitsvorfälle können sektorales Recht und DSGVO-Meldungen auslösen.

Zeitachse

2. Aug. 2026
Typische Anwendung (Art. 113 prüfen).

Auf einen Blick

Artikel: 15
Status: Bevorstehend
Zeitpunkt: 2. Aug. 2026
Aktualisiert: 11. Apr. 2026

Nächster sinnvoller Schritt

Starten Sie die kurze Bewertung, um Risikoklasse und Pflichten strukturiert auf Ihren konkreten KI-Anwendungsfall zu mappen.

Bewertung jetzt starten