Auf den Punkt: Das geplante US-Bundesgesetz macht die Meldung schwerwiegender KI-Sicherheitsvorfälle zur rechtlichen Pflicht mit sieben Tagen Frist und Strafen bis 2 Millionen Dollar je Verstoß.
Das vorgeschlagene „AI Incident Reporting Act" verpflichtet Entwickler hochleistungsfähiger KI-Modelle, schwerwiegende Sicherheitsvorfälle innerhalb von sieben Tagen dem US-Handelsministerium zu melden. Die Regelung schafft erstmals einen föderalen Kontrollrahmen für High-Risk-KI-Systeme mit Strafgeldern bis zu 2 Millionen Dollar pro Verstoß.
Die Gesetzesvorlage verpflichtet Entwickler sogenannter „covered models” (Modelle oberhalb festzulegender Leistungsschwellen), Vorfälle zu melden, sobald sie von ihnen wissen oder vernünftigerweise davon ausgehen können. Bei unmittelbare Risiken für schwerwiegende Schäden informiert das Handelsministerium die Kongressleitung und zuständige Komitees des Repräsentantenhauses und des Senats innerhalb von 48 Stunden.
Meldepflichtig sind unter anderem Versuche der KI, menschliche Kontrolle zu umgehen, Betreiber zu täuschen, Sicherheitsvorkehrungen zu circumgehen, sich dem Herunterfahren zu widersetzen oder unautorisierte Systemzugriffe zu erlangen. Hinzu kommen Diebstahl oder Diebstahlsversuche von Modellgewichtungen, Fähigkeiten, die gezielt Cyberangriffe auf kritische Infrastruktur ermöglichen, autonome Weiterentwicklung von leistungsfähigeren Systemen sowie Techniken, die Entwicklung oder Einsatz von Waffen mit Massenvernichtungspotential beschleunigen könnten.
Sanchit Vir Gogia von Greyhound Research betont: Diese Regelung etabliert erstmals eine legale Meldeverpflichtung statt freiwilliger Praxis. Führende KI-Entwickler führten bereits Evaluationen und Sicherheitstests durch — nicht aber unter bundesrechtlicher Verpflichtung und zeitlicher Bindung.
Das Handelsministerium erhält Befugnis zur Compliance-Überprüfung, zur Ausstellung von Vorladungen, zur Anordnung von Abhilfemaßnahmen und zur Verhängung von Bußgeldern bis 2 Millionen Dollar. Jeder weitere Verstößverlauf gilt als separater Verstoß. Die Leistungsschwellen sollen das Ministerium in Abstimmung mit Entwicklern, akademischen Forschern, Cybersicherheitsexperten und nationalen Sicherheitsbeamten festlegen.
Ein kritischer Punkt ist die Definition der Meldegrenzen selbst: Zu vage Kategorien führen entweder zu Unterberichterstattung oder zu massenhaften, wenig aussagekräftigen Meldungen — ein bekanntes Problem in der Cybersecurity-Regulierung. Die praktische Wirksamkeit hängt davon ab, wie präzise Regulatoren entscheiden, wann ein Vorfall die Schwelle übersteigt.
Quelle: www.csoonline.com · Erschienen 26. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.