Was Industrieunternehmen vor dem 2. August 2026 wirklich vorbereiten müssen

Warum Industrieunternehmen das Thema jetzt operativ angehen sollten

Bei industrieller KI ist die Versuchung groß, noch zu warten: auf harmonisierte Standards, auf weitere Leitlinien, auf mehr Klarheit aus Brüssel. Das ist verständlich, aber operativ gefährlich. Nach aktueller Rechtslage greifen die meisten Regeln des EU AI Act ab dem 2. August 2026, einschließlich der Anforderungen für High-Risk-Systeme aus Annex III. Gleichzeitig hat die Kommission im Rahmen des Digital Omnibus vorgeschlagen, die Anwendung bestimmter High-Risk-Regeln an verfügbare Support-Tools wie Standards und Leitlinien zu koppeln.

Die Schlussfolgerung daraus sollte nicht sein: "Wir warten erst einmal." Die richtige Schlussfolgerung ist: Jetzt die Teile aufbauen, die unabhängig von Standards sowieso gebraucht werden.

Denn auch wenn technische Standards zusätzliche Rechtssicherheit bringen, lösen sie nicht das eigentliche Umsetzungsproblem im Unternehmen: fehlende Übersicht, unklare Rollen, schwache Dokumentation und kein belastbarer Go-Live-Prozess.

Was heute bereits feststeht

Für Industrieunternehmen sind vier Dinge schon jetzt eindeutig:

• KI muss als Inventar geführt werden – nicht als lose Sammlung von Pilotprojekten.
• Die Risikoeinstufung hängt vom konkreten Einsatzkontext ab, nicht vom Marketing-Namen eines Tools.
• Für produktive Systeme braucht es nachvollziehbare Dokumentation, Verantwortlichkeiten und eine Evidence-Kette.
• Incident-Management, Monitoring und Reassessment sind keine Nacharbeiten, sondern Teil des Betriebsmodells.

Hinzu kommt: Die Kommission arbeitet 2026 ausdrücklich an weiteren Leitlinien zur High-Risk-Klassifizierung, zu Transparenzpflichten, zu Serious-Incident-Reporting sowie zu den Pflichten von Providern und Deployern. Wer diese Leitlinien später sauber anwenden will, braucht vorher überhaupt erst eine belastbare Governance-Struktur.

1. Ein vollständiges KI-Inventar aufbauen

Der erste Engpass in Industrieunternehmen ist fast nie die Gesetzesauslegung. Es ist die fehlende Übersicht. In der Praxis gibt es oft:

• zentral eingeführte KI-Tools,
• lokale Piloten in Werken oder Fachbereichen,
• eingebettete KI in Fremdsoftware,
• Assistenz- und Analysefunktionen, die intern gar nicht als "KI-System" geführt werden.

Vorbereitet werden muss deshalb ein Inventar, das mindestens Zweck, Einsatzbereich, Anbieter, Datenbezug, betroffene Nutzergruppen, verantwortliche Personen, Schnittstellen und Betriebsstatus enthält. Ohne dieses Grundgerüst wird jede spätere Risikoprüfung zum Blindflug.

2. Die regulatorische Rolle je System klären

In industriellen Setups ist selten nur ein Akteur beteiligt. Hersteller, OEM, Integrator, Plattformanbieter, internes Data-Team und Betreiber vor Ort greifen oft ineinander. Genau deshalb muss vor August 2026 pro System sauber geklärt werden:

• Wer ist Provider?
• Wer ist Deployer?
• Wer verändert ein System so wesentlich, dass neue Pflichten entstehen können?
• Wer verantwortet Incident- und Änderungsprozesse im Betrieb?

Diese Rollenklarheit ist vertragsrelevant, auditrelevant und operativ entscheidend. Ohne sie entstehen genau die Lücken, die später weder Legal noch Engineering sauber schließen können.

3. High-Risk nicht abstrakt, sondern use-case-spezifisch prüfen

Viele Unternehmen bewerten "die KI-Plattform" oder "den Copilot im Werk" pauschal. Das ist der falsche Ansatz. Der AI Act bewertet nicht primär Technologie-Labels, sondern konkrete Einsatzkontexte.

Ein Assistenzsystem für Wartungsdokumentation ist anders zu beurteilen als ein System, das Arbeitsleistung bewertet, Zugang priorisiert oder sicherheitskritische Entscheidungen vorbereitet. Vorbereitet werden muss deshalb ein belastbarer Klassifizierungsprozess mit dokumentierten Kriterien, Annahmen und Review-Punkten.

Wer das heute sauber strukturiert, kann spätere Leitlinien der Kommission wesentlich schneller und sicherer auf reale Systeme anwenden.

4. Die Dokumentation als Evidence-Paket denken

Industrieunternehmen sollten Dokumentation nicht als Pflichtfeld-Sammlung behandeln. Für den produktiven Betrieb braucht es ein Evidence-Paket, das zusammenpasst. Dazu gehören typischerweise:

• beabsichtigter Zweck und Einsatzgrenzen,
• Datenquellen und Governance-Kontrollen,
• Test- und Validierungsergebnisse,
• Human-Oversight-Modell,
• Logging- und Traceability-Konzept,
• Monitoring- und Reassessment-Logik,
• Nutzer- und Betriebsanweisungen.

Der wichtige Punkt ist nicht nur, dass diese Bausteine existieren. Sie müssen versioniert, nachvollziehbar freigegeben und im Ernstfall exportierbar sein. Genau daran scheitern viele PoCs beim Übergang in den produktiven Betrieb.

5. Einen echten Go-Live-Gate-Prozess definieren

Zwischen Pilot und Produktion fehlt in vielen Industrieorganisationen ein verbindlicher Freigabepunkt. Das Ergebnis: Technisch ist das System live, aber Compliance, Security, Fachbereich und Betreiber arbeiten mit unterschiedlichen Annahmen.

Vorbereitet werden sollte deshalb ein einfacher, aber harter Gate-Prozess:

• Owner benennen,
• Reviewer und Approver festlegen,
• Pflichtnachweise definieren,
• offene Findings sichtbar machen,
• Go-Live nur bei erfüllten Mindestanforderungen zulassen.

Das wirkt zunächst organisatorisch. In Wahrheit ist es der entscheidende Schritt, damit KI nicht als isolierter PoC, sondern als steuerbares Betriebssystem behandelt wird.

6. Incident- und Reassessment-Flow vor dem ersten Problem festziehen

Ein weiterer typischer Fehler: Monitoring und Incident-Prozesse werden erst dann ernst genommen, wenn bereits etwas schiefgegangen ist. Für industrielle KI ist das zu spät. Gerade dort, wo Systeme in Prozesse, Qualitätssicherung oder produktionsnahe Entscheidungen eingreifen, braucht es vorab klare Regeln:

• Was gilt als Incident?
• Wer bewertet Severity und Auswirkungen?
• Wann wird ein Reassessment ausgelöst?
• Wie werden Änderungen, Findings und Freigaben dokumentiert?

Auch wenn Detailleitlinien zum Serious-Incident-Reporting weiter konkretisiert werden: Der interne Prozess dafür lässt sich und sollte sich schon heute aufsetzen.

Warum "wir warten auf Standards" strategisch zu kurz greift

Harmonisierte Standards werden wichtig. Sie schaffen Rechtssicherheit und können die praktische Umsetzung vereinfachen. Aber sie ersetzen kein Betriebsmodell. Kein Standard der Welt baut Ihnen rückwirkend ein KI-Inventar auf, klärt Verantwortlichkeiten oder strukturiert Ihre Freigaben.

Wer bis zur letzten regulatorischen Detailklärung wartet, verschiebt nicht nur Arbeit – er verdichtet Risiko. Denn dann müssen Inventar, Klassifizierung, Dokumentation, Governance und Incident-Logik in sehr kurzer Zeit parallel aufgebaut werden.

Ein pragmatischer 90-Tage-Plan

1. Woche 1-3: Alle produktiven und geplanten KI-Systeme zentral erfassen.
2. Woche 4-6: Rollenmodell und erste Risikoeinstufung pro System festlegen.
3. Woche 7-9: Dokumentations- und Evidence-Lücken sichtbar machen und Verantwortliche zuweisen.
4. Woche 10-12: Go-Live-Gates, Incident-Flow und Reassessment-Trigger definieren.

Das ist kein vollständiges Compliance-Programm. Aber es ist genau die Vorbereitung, die Industrieunternehmen jetzt brauchen, um aus Unsicherheit keine operative Blockade werden zu lassen.

Fazit

Industrieunternehmen müssen vor dem 2. August 2026 nicht auf jedes letzte Detail warten. Sie müssen ihr KI-Betriebsmodell belastbar machen. Wer jetzt Inventar, Rollen, Risikologik, Evidence und Go-Live-Gates sauber aufsetzt, reduziert nicht nur regulatorisches Risiko – sondern beschleunigt auch den Weg von Pilot zu Produktion.

Wenn Sie genau dafür eine strukturierte Plattform suchen, schauen Sie sich SimpleAct an.

Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Stand: 24. April 2026.