EU-Aktionsplan KI-Cybersecurity, keine Gesetze
EU-Kommission legt einen Aktionsplan zu KI und Cybersecurity vor. Keine neuen Gesetze, dafür Testing-Plattform, Evaluation-Kapazität und Grand Challenge.
Die Europäische Kommission hat am 7. Juli den EU Action Plan on Cybersecurity and Artificial Intelligence vorgestellt. Der Plan bündelt, wie die EU auf die neue Bedrohungslage reagieren will, in der KI-Modelle Sicherheitslücken schneller finden und ausnutzen können als menschliche Angreifer. Bemerkenswert ist vor allem, was der Plan nicht ist: keine neue Verordnung, kein neuer Rechtsakt, sondern ausdrücklich Umsetzung des vorhandenen Rahmens.
Was drinsteht
Der Plan kombiniert vier konkrete Bausteine. Der praktisch relevanteste ist eine gemeinsame Testing-Plattform von ENISA (EU-Cybersecurity-Agentur) und der Gemeinsamen Forschungsstelle (JRC), die noch Ende 2026 stehen soll. Dort sollen KI-Modelle unter kontrollierten Bedingungen daraufhin getestet werden, wie sicher sie in kritischen Sektoren einsetzbar sind. Genannt werden Finanz, Energie, Gesundheit, Transport und öffentliche Verwaltung.
Zweitens plant die Kommission eine EU Evaluation Capacity, also eine europäische Prüfstelle für fortgeschrittene KI-Modelle, die 2027 operativ werden soll und dem AI Office bei Drittprüfungen zuarbeitet. Drittens soll ein Blueprint für strukturierten Zugang definieren, wie öffentliche und private Organisationen an fortgeschrittene KI-Modelle für Cybersecurity-Zwecke kommen. Viertens gibt es eine EU Grand Challenge, ein Wettbewerbsformat, das Firmen, Forschung und andere Beteiligte zu KI-Sicherheits-Lösungen zusammenbringen soll.
Zusätzlich fordert der Plan explizit dazu auf, Open-Source-Modelle einzusetzen, wo sinnvoll, um Schwachstellen schneller zu finden. Das ist bemerkenswert, weil Open-Source-KI damit auf europäischer Regulierungsebene positiv adressiert wird und nicht als Bedrohung.
Was nicht drinsteht
Die Kommission verzichtet bewusst auf neue Gesetzgebung. Der Plan verweist stattdessen auf die vorhandenen Instrumente: AI Act, NIS2-Richtlinie und Cyber Resilience Act. Deren Umsetzung soll beschleunigt werden.
Diese Zurückhaltung wird kritisch gesehen. Euronews zitiert die Europaabgeordnete Aura Salla: "Europe has strong AI research, but too few companies operating at this frontier." Der eigentliche Engpass ist nicht die wissenschaftliche Substanz, sondern die kommerzielle Basis. Der Plan enthält keine Investitionszusagen für europäische Frontier-KI, keinen Zeitplan zur Reduzierung der Abhängigkeit von US-Modellen und keine bindenden Anforderungen an Modellprüfungen vor Marktstart. Anbieter arbeiten aktuell lieber mit dem britischen AI Security Institute, weil das explizit nicht regulatorisch ist.
Und noch ein Bruch bleibt sichtbar: Brüssel muss weiter mit US-Anbietern verhandeln, um überhaupt Zugang zu deren Frontier-Modellen zu bekommen. Der Zugang zu Anthropics Modell Mythos kam über deren Partnerprogramm Project Glasswing, nach entsprechender Lobby-Arbeit. Die Souveränitätsrhetorik trifft hier auf die reale Angebotslage.
Was Henna Virkkunen sagt
Die zuständige Exekutiv-Vizepräsidentin für technologische Souveränität, Henna Virkkunen, bringt den Anlass auf den Punkt: fortgeschrittene KI-Modelle können "Cyber-Exploits in Minuten oder Stunden zu einem Bruchteil der Kosten menschlicher Suche" bauen. Damit greift sie exakt das auf, was wir zuletzt im CVE-Explosions-Artikel gezeigt haben: die Entdeckung skaliert, die Patch-Kapazität nicht.
Was das für DACH-Teams heißt
Kurzfristig ändert sich rechtlich nichts. AI Act, NIS2 und CRA gelten weiter, mit ihren bekannten Fristen. Wer schon mit Compliance-Vorbereitung beschäftigt ist, kann sich durch den Aktionsplan bestätigt fühlen: eine neue Regulierungsrunde ist gerade nicht in Sicht.
Mittelfristig lohnt ein Blick auf zwei Termine. Die Testing-Plattform von ENISA und JRC bis Ende 2026 könnte relevant werden für alle, die KI in kritischen Sektoren einsetzen oder KI-Sicherheitsprodukte bauen. Sie wird ein Referenzpunkt für "sicherer Einsatz von KI im Betrieb" werden, ähnlich wie es das BSI mit A5 auf nationaler Ebene versucht. Die EU Evaluation Capacity ab 2027 wiederum ist der institutionelle Rahmen, in dem KI-Modellprüfungen unter dem AI Act tatsächlich stattfinden sollen. Wer Modelle anbietet oder integriert, sollte die Entwicklung dort verfolgen.
Praktisch relevant ist auch die explizite Aufwertung von Open-Source-KI im Sicherheitskontext. Wer in DACH eigenständige Alternativen zu US-Anbietern sucht, hat mit dem Plan ein Argument mehr in der Hand, das nicht auf Ideologie fußt, sondern auf europäischer Sicherheitspolitik.
Der Plan ist ein Signal: die EU antwortet auf die neue Bedrohungslage mit Institutionenbau, nicht mit noch mehr Recht. Das ist ehrlicher als eine weitere Verordnung, aber es macht auch klar, dass die Umsetzung dessen, was schon beschlossen ist, jetzt der Hebel ist.
Quellen4
- Europäische Kommission: Commission presents EU Action Plan on Cybersecurity and Artificial Intelligence (07.07.2026)ec.europa.eu
- Digital Strategy: EU Action Plan on Cybersecurity and Artificial Intelligencedigital-strategy.ec.europa.eu
- Euronews: Brussels pitches AI cybersecurity plan amid dependence on US models (07.07.2026)euronews.com
- MLex: EU cybersecurity, AI action plan focuses on implementation, not new legislation (07.07.2026)mlex.com