When do EU AI Act obligations for high-risk AI systems apply?

Under the AI Act as adopted, obligations for high-risk AI systems under Annex III apply from 2 August 2026. A provisional "Omnibus" agreement reached in May 2026 would postpone that date to 2 December 2027, but it only becomes binding once formally adopted and published in the EU Official Journal. Prohibited-practice rules applied from 2 February 2025 and general-purpose AI (GPAI) model obligations from 2 August 2025.

How does Execlave help with EU AI Act compliance for AI agents?

Execlave provides runtime policy enforcement, append-only hash-chained audit logs, human-in-the-loop approval, and RSA-signed compliance reports mapped article-by-article to the EU AI Act (Articles 9, 10, 12, 13, 14, 15, 17, 19, 26 and 50).

§ EU-KI-VERORDNUNG

Bereiten Sie sich auf die Hochrisiko-Frist der EU-KI-Verordnung vor

Die EU-KI-Verordnung (AI Act) ist das erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Wenn Ihre autonomen Agenten unter Anhang III fallen, benötigen Sie Risikomanagement, Aufzeichnungspflichten, menschliche Aufsicht und prüfbare Nachweise — im laufenden Betrieb, nicht nur auf einer Folie. Execlave ist die Enforcement- und Nachweis-Schicht, die Sie dorthin bringt.

Die Verordnung verfolgt einen risikobasierten Ansatz: Eine kleine Gruppe von Praktiken ist verboten, eine breite „Hochrisiko“-Kategorie unterliegt den umfangreichsten Pflichten, und KI-Modelle mit allgemeinem Verwendungszweck haben eigene Transparenzpflichten. Autonome KI-Agenten, die folgenreiche Entscheidungen treffen oder unterstützen, fallen häufig in die Hochrisiko-Kategorie.

Frist im Fluss: Die EU-KI-Verordnung in ihrer verabschiedeten Form legt den Hochrisiko-Termin (Anhang III) auf den 2. August 2026 fest. Eine vorläufige „Omnibus“-Einigung vom Mai 2026 würde diesen Termin auf den 2. Dezember 2027 verschieben, ist jedoch noch nicht geltendes Recht — sie wird erst bindend, sobald sie formell verabschiedet und im Amtsblatt der EU veröffentlicht wurde. Wer jetzt Governance aufbaut, ist für beide Szenarien gerüstet.

Diese Seite bietet einen Überblick und stellt keine Rechtsberatung dar. Die vollständige artikelweise Zuordnung der Kontrollen finden Sie in den EU-KI-Verordnung-Compliance-Dokumentation. Aktuelle Termine sollten stets anhand der offiziellen EU-Quellen überprüft werden.

§ ZEITPLAN

Wann die Pflichten greifen

Die Verordnung gilt in Phasen. Die für die meisten Agenten-Teams relevante Hochrisiko-Frist ist auf den 2. August 2026 datiert — mit einer vorgeschlagenen Omnibus-Verschiebung auf Dezember 2027, die noch nicht bindend ist.

2. Februar 2025
Verbotene KI-Praktiken + KI-Kompetenz
Verbote für Systeme mit unannehmbarem Risiko (z. B. Social Scoring) und die Pflicht zur KI-Kompetenz treten in Kraft.
2. August 2025
KI-Modelle mit allgemeinem Verwendungszweck (GPAI)
Technische Dokumentation, Zusammenfassung der Trainingsdaten und Kooperationspflichten gegenüber nachgelagerten Betreibern.
2. August 2026
Hochrisikosysteme (Anhang III) — wie verabschiedet
Das in der verabschiedeten EU-KI-Verordnung festgelegte Datum für Anbieter und Betreiber eigenständiger Hochrisikosysteme. Siehe den Omnibus-Hinweis unten — eine Verschiebung ist in Vorbereitung.
2. Dezember 2027
Hochrisikosysteme (Anhang III) — vorgeschlagen
Das verschobene Datum gemäß der vorläufigen Omnibus-Einigung vom Mai 2026. Bindend erst nach formeller Verabschiedung und Veröffentlichung im Amtsblatt der EU.

§ ABDECKUNG

Execlave, Artikel für Artikel

Wie die Plattform die Hochrisiko-Pflichten für KI-Agenten abdeckt.

Artikel 9 — Risikomanagement

▸19 integrierte Richtlinientypen: Prompt-Injection, Datenzugriff, Kosten, Qualität, Tool-Integrität, Groundedness, OPA Rego, Agenten-Abstammung.
▸Vier Durchsetzungsmodi — Überwachen, Warnen, Genehmigung erforderlich, Blockieren.
▸Vorfallverfolgung mit Schweregrad, Zeitverlauf und Lösungs-Workflow.

Artikel 10 — Daten-Governance

▸SDK-PII-Bereinigung über 14 Kategorien, bevor Daten Ihren Prozess verlassen.
▸Eingabe-Sanitisierungs-Middleware an jedem Ingest-Endpunkt.
▸EU-Datenresidenz in der Enterprise-Stufe.

Artikel 12 & 19 — Aufzeichnungs- und Protokollierungspflichten

▸Jede Agentenausführung wird mit Eingabe, Ausgabe, Modell, Token, Kosten und Latenz nachverfolgt.
▸Unveränderliches Audit-Log; UPDATE/DELETE wird auf Datenbank-Trigger-Ebene blockiert.
▸Hash-verkettete Einträge — Manipulationen sind offline erkennbar. Aufbewahrung bis zu 10 Jahre.

Artikel 13 & 50 — Transparenz

▸Jede Durchsetzungsentscheidung enthält eine verständliche Begründung und Regel-IDs.
▸Das SDK liefert bei jeder Antwort einen Provenienz-Header für nachgelagerte Wasserzeichen.
▸Agentenidentität wird für nutzerseitige Offenlegungshinweise bereitgestellt.

Artikel 14 — Menschliche Aufsicht

▸Kill-Switch über das Dashboard oder Slack.
▸Der Modus „Genehmigung erforderlich“ stoppt die Ausführung, bis ein Mensch entscheidet.
▸Echtzeitansicht jeder ausstehenden Entscheidung; Genehmigungs-Ablauf verhindert hängende Anfragen.

Artikel 15, 17 & 26 — Robustheit & Aufsicht

▸Client- und serverseitiges Prompt-Injection-Scanning mit Schweregrad-Bewertung.
▸Versionierung von Richtlinien und Prompts mit Vorher/Nachher-Audit-Einträgen.
▸Pro-Agent-Metering mit EWMA-Anomalieerkennung und Schwellenwert-Alarmen.

Regulierungsbereite Nachweise auf Abruf

Der Compliance-Export erstellt ein signiertes, zeitlich begrenztes Nachweispaket — Richtlinieninventar, Durchsetzungsstatistiken, Genehmigungsnachweise, Agentenregister und das hash-verkettete Audit-Protokoll — als RSA-SHA256-signiertes PDF-, HTML- oder JSON-Dokument. Die Signatur ermöglicht es einem Prüfer, zu verifizieren, dass der Bericht nach der Erstellung nicht verändert wurde.

Werden Sie audit-bereit, bevor die Frist abläuft

Kostenlose Stufe verfügbar. Keine Kreditkarte erforderlich.

Jetzt starten Compliance-Funktionen ansehen