Art. 12 Hochrisiko-KI-Systeme | CRA regulation | CRA

1. Unbeschadet der Anforderungen in Bezug auf Genauigkeit und Robustheit gemäß Artikel 15 der Verordnung (EU) 2024/1689 gelten Produkte mit digitalen Elementen, die in den Anwendungsbereich der vorliegenden Verordnung fallen und die gemäß Artikel 6 der genannten Verordnung als Hochrisiko-KI-Systeme eingestuft werden, als mit den Cybersicherheitsanforderungen gemäß Artikel 15 der genannten Verordnung konform, wenn
  1. diese Produkte die grundlegenden Cybersicherheitsanforderungen gemäß Anhang I Teil I erfüllen;
  2. die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II entsprechen, und
  3. die Verwirklichung des gemäß Artikel 15 der Verordnung (EU) 2024/1689 erforderlichen Cybersicherheitsniveaus in der gemäß dieser Verordnung ausgestellten EU-Konformitätserklärung nachgewiesen wird.
1. Für die in Absatz 1 genannten Produkte mit digitalen Elementen und Cybersicherheitsanforderungen gilt das einschlägige in Artikel 43 der Verordnung (EU) 2024/1689 vorgesehene Konformitätsbewertungsverfahren. Für die Zwecke dieser Bewertung sind die notifizierten Stellen, die gemäß der Verordnung (EU) 2024/1689 dafür zuständig sind, die Konformität der Hochrisiko-KI-Systeme zu kontrollieren, auch dafür zuständig, im Rahmen der vorliegenden Verordnung die Konformität der Hochrisiko-KI-Systeme mit den Anforderungen in Anhang I der vorliegenden Verordnung zu kontrollieren, sofern in dem nach der Verordnung (EU) 2024/1689 durchgeführten Notifizierungsverfahren geprüft wurde, ob diese notifizierten Stellen die in Artikel 39 der vorliegenden Verordnung festgelegten Anforderungen erfüllen.
1. Abweichend von Absatz 2 des vorliegenden Artikels unterliegen die in Anhang III der vorliegenden Verordnung aufgeführten wichtigen Produkte mit digitalen Elementen, die den Konformitätsbewertungsverfahren gemäß Artikel 32 Absatz 2 Buchstaben a und b und Artikel 32 Absatz 3 der vorliegenden Verordnung unterliegen, sowie in Anhang IV der vorliegenden Verordnung aufgeführte kritische Produkte mit digitalen Elementen, die gemäß Artikel 8 Absatz 1 der vorliegenden Verordnung ein europäisches Cybersicherheitszertifikat erhalten müssen oder — in Ermangelung eines solchen Zertifikats — die den Konformitätsbewertungsverfahren gemäß Artikel 32 Absatz 3 der vorliegenden Verordnung unterliegen, und auch nach Artikel 6 der Verordnung (EU) 2024/1689 als Hochrisiko-KI-Systeme eingestuft sind und für die das Konformitätsbewertungsverfahren auf der Grundlage einer internen Kontrolle gemäß Anhang VI der Verordnung (EU) 2024/1689 gilt, den in der vorliegenden Verordnung vorgesehenen Konformitätsbewertungsverfahren, soweit dies die in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen betrifft.
1. Hersteller von Produkten mit digitalen Elementen gemäß Absatz 1 können an den KI-Reallaboren gemäß Artikel 57 der Verordnung (EU) 2024/1689 teilnehmen.

Produkte mit digitalen Elementen, die nach Artikel 6 der Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates(²²) als Hochrisiko-KI-Systeme eingestuft sind und in den Anwendungsbereich der vorliegenden Verordnung fallen, sollten den in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen genügen. Genügen diese Hochrisiko-KI-Systeme den in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen, so gelten sie als die Cybersicherheitsanforderungen gemäß Artikel 15 der Verordnung (EU) 2024/1689 erfüllend, soweit diese Anforderungen von der nach der vorliegenden Verordnung ausgestellten EU-Konformitätserklärung oder Teilen davon abgedeckt sind. Zu diesem Zweck sollten bei der Bewertung der mit einem Produkt mit digitalen Elementen, das als KI-System mit hohem Risiko gemäß der VO (EU) 2024/1689 eingestuft wird, verbundenen Cybersicherheitsrisiken, die während der Planungs-, Entwurfs-, Entwicklungs-, Produktions-, Liefer- und Wartungsphasen eines solchen Produkts zu berücksichtigen ist, wie in dieser Verordnung vorgeschrieben, die Risiken für die Cyberresilienz eines KI-Systems berücksichtigt werden in Bezug auf Versuche unbefugter Dritter, die Nutzung, das Verhalten oder die Leistung des Systems zu verändern, einschließlich KI-spezifischer Schwachstellen wie Data Poisoning oder adversarial attack, sowie gegebenenfalls Risiken für die Grundrechte, gemäß der Verordnung (EU) 2024/1689. Für die Konformitätsbewertungsverfahren zu den grundlegenden Cybersicherheitsanforderungen an ein Produkt mit digitalen Elementen, das in den Anwendungsbereich der vorliegenden Verordnung fällt und als Hochrisiko-KI-System eingestuft ist, sollte grundsätzlich anstelle der einschlägigen Bestimmungen der vorliegenden Verordnung Artikels 43 der Verordnung (EU) 2024/1689 Anwendung finden. Diese Regel sollte jedoch nicht dazu führen, dass die erforderliche Vertrauenswürdigkeit für die in der vorliegenden Verordnung genannten wichtigen oder kritischen Produkte mit digitalen Elementen verringert wird. Deshalb sollten abweichend von dieser Regel Hochrisiko-KI-Systeme, die in den Anwendungsbereich der Verordnung (EU) 2024/1689 fallen und auch wichtige oder kritische Produkte mit digitalen Elementen, wie in der vorliegenden Verordnung genannt, sind und auf die das Konformitätsbewertungsverfahren auf der Grundlage einer internen Kontrolle gemäß Anhang VI der Verordnung (EU) 2024/1689 angewandt wird, den Konformitätsbewertungsverfahren der vorliegenden Verordnung unterliegen, soweit die in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen betroffen sind. In diesem Fall sollten für alle anderen Aspekte, die unter die Verordnung (EU) 2024/1689 fallen, die einschlägigen Bestimmungen über die Konformitätsbewertung auf der Grundlage einer internen Kontrolle gemäß Anhang VI der genannten Verordnung gelten.

Artikel 12 Hochrisiko-KI-Systeme

Relevant recitals