EU AI Act 2026: Was KMU jetzt tun müssen

Stand: März 2026

Dieser Artikel wird regelmäßig aktualisiert. Nächste relevante Frist: August 2026 (Vollständige Geltung EU AI Act für Hochrisiko-KI-Systeme).

Wichtiger Hinweis

Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für verbindliche Einschätzungen zu EU AI Act Pflichten empfehlen wir spezialisierte Anwälte für IT- und Technologierecht.

Am 2. August 2025 traten die ersten verbindlichen Regelungen des EU AI Acts in Kraft. Seitdem gelten EU-weit Verbote für bestimmte KI-Anwendungen — und viele KMU merken es erst, wenn sie mit Kundenfragen oder Revisionsanfragen konfrontiert werden.

Die häufigste Reaktion, die wir in unseren Erstgesprächen hören: „Das betrifft uns doch nicht — wir nutzen nur ChatGPT für Texte." Diese Einschätzung ist in vielen Fällen falsch. Und das Risiko liegt weniger in Bußgeldern als in der fehlenden Steuerungsfähigkeit — also darin, dass niemand im Unternehmen weiß, wie KI tatsächlich eingesetzt wird und wer dafür verantwortlich ist.

Kurze Antwort: Der EU AI Act gilt seit August 2025. KMU sind fast immer „Betreiber“ und müssen in drei Schritten handeln: KI-Systeme inventarisieren, Risiken klassifizieren und eine interne KI-Richtlinie einführen. Wer jetzt handelt, sichert Steuerungsfähigkeit und vermeidet Bußgelder bis zu 35 Mio. €.

Was ist der EU AI Act — in 90 Sekunden

Der EU AI Act ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Er klassifiziert KI-Systeme nach Risikoklassen und legt fest, welche Anforderungen Entwickler, Importeure und Betreiber erfüllen müssen.

Für KMU relevant: Sie sind fast immer „Betreiber" — also Unternehmen, die ein KI-System für eigene berufliche Zwecke einsetzen. Das gilt auch dann, wenn Sie nur ein kommerzielles Tool wie einen KI-Chatbot, ein Recruiting-Tool oder ein Prognose-System nutzen — ohne eigene KI zu entwickeln.

Die vier Risikoklassen — und was sie bedeuten

Klasse	Beispiele	Risiko für KMU
Unakzeptables Risiko	Social Scoring, manipulative KI, biometrische Echtzeitüberwachung	Verboten ab Aug. 2025
Hohes Risiko	KI in Recruiting, Kreditbewertung, sicherheitskritischen Bereichen	Strenge Pflichten
Begrenztes Risiko	Chatbots, KI-generierte Inhalte, Deepfakes	Transparenzpflichten
Minimales Risiko	KI-Spamfilter, einfache Empfehlungsalgorithmen	Keine spezif. Pflichten

Praxisbeispiel

Sie nutzen ein KI-Tool zur Vorauswahl von Bewerbungen? Das fällt unter „Hohes Risiko" — mit Dokumentations- und Transparenzpflichten, die Sie als Betreiber erfüllen müssen, nicht der Toolanbieter.

Was KMU konkret betrifft

Typische Situation in einem Unternehmen ohne dediziertes KI-Team:

Vertrieb nutzt einen KI-gestützten E-Mail-Assistenten
HR hat ein Recruiting-Tool mit KI-Scoring eingeführt
Buchhaltung nutzt automatisierte Prognose-Tools
Mehrere Mitarbeitende nutzen ChatGPT privat für betriebliche Aufgaben
Niemand hat eine Übersicht aller eingesetzten KI-Systeme

Genau dieses Bild begegnet uns in fast jedem Quick Scan. Das eigentliche Problem ist nicht der EU AI Act — es ist die fehlende Transparenz über die eigene KI-Nutzung.

Die drei Schritte, die jetzt entscheidend sind

Schritt 1: KI-Inventar erstellen

Welche KI-Systeme werden wo, von wem und wofür eingesetzt — offiziell und inoffiziell? Dieser erste Schritt dauert in der Praxis 2–5 Tage und erzeugt oft Überraschungen, auch bei der Geschäftsführung.

Schritt 2: Risikoeinstufung und Zuständigkeiten

Sobald das Inventar steht, lassen sich die genutzten Systeme den vier Risikoklassen zuordnen. Für jedes System ab „begrenztem Risiko": Wer ist intern verantwortlich? Welche Dokumentation ist erforderlich? Wie werden Nutzer informiert?

Schritt 3: Governance-Grundstruktur aufbauen

Eine interne KI-Policy (1–2 Seiten), klare Zuständigkeiten und ein kurzes Onboarding für alle KI-Nutzer. Keine komplexe Bürokratie — sondern minimale Struktur, die tatsächlich gelebt wird.

Gute Nachricht

Kleinere Unternehmen profitieren von reduzierten Anforderungen im EU AI Act — insbesondere bei Hochrisiko-KI. Die Grundpflichten (Inventar, Transparenz, Governance) gelten aber für alle Betreiber.

Die häufigsten Fehler

„Wir warten auf die endgültige Auslegung." — Die Verbote und ersten Transparenzpflichten sind bereits in Kraft. Warten kostet Struktur, die später teurer aufzubauen ist.

„Das ist ein IT-Thema." — KI-Governance ist ein Führungsthema. Wer darf welche KI einsetzen? Wer haftet? Diese Fragen beantwortet die IT-Abteilung nicht alleine.

„Wir haben noch nichts Kritisches." — Das wissen Sie erst, wenn Sie ein Inventar haben.

Die Unternehmen, die jetzt Struktur aufbauen, werden in 12 Monaten nicht unter Druck geraten. Führung braucht Struktur, bevor Technologie wirken kann.

Wenn Sie wissen möchten, wo Ihr Unternehmen heute steht, starten Sie mit unserem KI-Readiness-Check — oder sprechen Sie direkt mit uns.

Ważna uwaga

Ten artykuł służy wyłącznie ogólnej informacji i nie zastępuje doradztwa prawnego. W sprawie wiążących ocen obowiązków wynikających z unijnego aktu o SI zalecamy wyspecjalizowanych prawników z zakresu prawa IT i technologicznego.

2 sierpnia 2025 roku weszły w życie pierwsze wiążące przepisy unijnego aktu o SI. Od tego czasu w całej UE obowiązują zakazy określonych zastosowań AI — a wiele MŚP dowiaduje się o tym dopiero wtedy, gdy musi odpowiadać na pytania klientów lub podczas audytów.

Najczęstsza reakcja, jaką słyszymy: „To nas nie dotyczy — używamy tylko ChatGPT do tekstów." W wielu przypadkach jest to błędne przekonanie. Ryzyko leży nie tyle w grzywnach, ile w braku sterowności — w tym, że nikt w firmie nie wie, jak faktycznie używana jest AI i kto za to odpowiada.

Krótka odpowiedź: Unijny akt o SI obowiązuje od sierpnia 2025 r. MŚP są prawie zawsze „operatorami“ i muszą działać w trzech krokach: zinwentaryzować systemy AI, sklasyfikować ryzyko i wdrożyć wewnętrzną politykę AI. Działanie teraz zapewnia sterowność i chroni przed karami finansowymi.

Czym jest unijny akt o SI — w 90 sekund

Unijny akt o SI to pierwsze na świecie kompleksowe rozporządzenie dotyczące sztucznej inteligencji. Klasyfikuje systemy AI według klas ryzyka i określa wymagania dla deweloperów, importerów i operatorów.

Kluczowe dla MŚP: Prawie zawsze jesteście „operatorem" — czyli firmą, która używa systemu AI do własnych celów zawodowych. Dotyczy to również korzystania z gotowych narzędzi komercyjnych, takich jak chatbot AI, narzędzie rekrutacyjne czy system prognozowania.

Cztery klasy ryzyka — co oznaczają dla MŚP

Klasa	Przykłady	Ryzyko dla MŚP
Niedopuszczalne ryzyko	Social scoring, manipulacyjna AI, biometryczny nadzór w czasie rzeczywistym	Zakazane od sier. 2025
Wysokie ryzyko	AI w rekrutacji, ocenie kredytowej, infrastrukturze krytycznej	Rygorystyczne obowiązki
Ograniczone ryzyko	Chatboty, treści generowane przez AI, deepfake'i	Obowiązki przejrzystości
Minimalne ryzyko	Filtry antyspamowe AI, proste algorytmy rekomendacji	Brak szczeg. obowiązków

Przykład z praktyki

Używasz narzędzia AI do wstępnej selekcji aplikacji? To podlega „wysokiemu ryzyku" — z obowiązkami dokumentacyjnymi i transparentnościowymi, które musisz spełnić jako operator, nie dostawca narzędzia.

Co konkretnie dotyczy MŚP

Typowa sytuacja w firmie bez dedykowanego zespołu AI:

Sprzedaż używa asystenta e-mail opartego na AI
HR wdrożył narzędzie rekrutacyjne ze scoringiem AI
Księgowość korzysta z automatycznych narzędzi prognozowania
Pracownicy używają ChatGPT prywatnie do zadań służbowych
Nikt nie ma przeglądu wszystkich używanych systemów AI

Dokładnie ten obraz spotykamy w prawie każdym Quick Scanie. Prawdziwy problem to nie unijny akt o SI — to brak przejrzystości co do własnego użycia AI.

Trzy kroki, które są teraz kluczowe

Krok 1: Inwentaryzacja AI

Które systemy AI są używane gdzie, przez kogo i do czego — oficjalnie i nieoficjalnie? Ten pierwszy krok zajmuje w praktyce 2–5 dni i często przynosi niespodzianki, również dla zarządu.

Krok 2: Klasyfikacja ryzyka i odpowiedzialność

Gdy inwentaryzacja jest gotowa, można przypisać systemy do czterech klas ryzyka. Dla każdego systemu od „ograniczonego ryzyka" wzwyż: kto jest wewnętrznie odpowiedzialny? Jaka dokumentacja jest wymagana? Jak informowani są użytkownicy?

Krok 3: Podstawowa struktura governance

Wewnętrzna polityka AI (1–2 strony), jasna odpowiedzialność i krótkie wdrożenie dla wszystkich użytkowników AI. Nie złożona biurokracja — minimalna struktura, która faktycznie działa.

Dobra wiadomość

MŚP poniżej 250 pracowników korzystają ze zmniejszonych wymagań w unijnym akcie o SI — szczególnie dla AI wysokiego ryzyka. Podstawowe obowiązki (inwentaryzacja, przejrzystość, governance) dotyczą jednak wszystkich operatorów.

Najczęstsze błędy

„Czekamy na ostateczną interpretację." — Zakazy i pierwsze obowiązki przejrzystości już obowiązują. Czekanie kosztuje teraz strukturę, którą później będzie drożej zbudować.

„To temat IT." — Governance AI to temat zarządczy. Kto może używać jakiej AI? Kto ponosi odpowiedzialność? IT nie odpowie na te pytania samodzielnie.

„Nie mamy nic krytycznego." — To wiecie dopiero po inwentaryzacji.

Firmy, które teraz budują strukturę, nie znajdą się pod presją za 12 miesięcy. Zarządzanie potrzebuje struktury, zanim technologia może zadziałać.

Jeśli chcesz wiedzieć, gdzie Twoja firma stoi dziś, zacznij od naszego sprawdzianu gotowości na AI — lub porozmawiaj z nami bezpośrednio.

Important Notice

This article is for general information only and does not replace legal advice. For binding assessments of EU AI Act obligations, we recommend specialised IT and technology law firms.

On 2 August 2025, the first binding provisions of the EU AI Act came into force. EU-wide prohibitions on certain AI applications are now enforceable — and many SMEs only realise this when faced with customer questions or audit requests.

The most common response we hear: "This doesn't apply to us — we only use ChatGPT for writing." In many cases, this assumption is wrong. And the risk lies less in fines than in the absence of governance — meaning nobody in the company knows how AI is actually being used or who is responsible for it.

Quick answer: The EU AI Act has been in force since August 2025. SMEs are almost always classified as “operators” and must take three steps: inventory AI systems, classify risks, and introduce an internal AI policy. Acting now ensures controllability and avoids fines of up to €35 million.

What Is the EU AI Act — in 90 Seconds

The EU AI Act is the world's first comprehensive AI regulation. It classifies AI systems by risk category and defines obligations for developers, importers, and deployers.

Crucial for SMEs: You are almost always a "deployer" — a company using an AI system for its own professional purposes. This applies even if you only use commercial tools like an AI chatbot, a recruitment tool, or a forecasting system — without developing any AI yourself.

The Four Risk Classes — and What They Mean

Class	Examples	Risk for SMEs
Unacceptable Risk	Social scoring, manipulative AI, real-time biometric surveillance	Banned from Aug. 2025
High Risk	AI in recruitment, credit scoring, critical infrastructure	Strict obligations
Limited Risk	Chatbots, AI-generated content, deepfakes	Transparency obligations
Minimal Risk	AI spam filters, simple recommendation algorithms	No specific obligations

Practical Example

Using an AI tool to pre-screen job applications? That falls under "High Risk" — with documentation and transparency obligations that you as the deployer must meet, not the tool provider.

What Concretely Affects SMEs

Typical situation in a company without a dedicated AI team:

Sales uses an AI-powered email assistant
HR introduced a recruitment tool with AI scoring
Finance uses automated forecasting tools
Several employees use ChatGPT privately for work tasks
Nobody has an overview of all AI systems in use

This is precisely what we encounter in almost every Quick Scan. The real problem is not the EU AI Act — it's the lack of transparency about your own AI usage.

The Three Steps That Matter Now

Step 1: Create an AI Inventory

Which AI systems are used where, by whom, and for what — officially and unofficially? This first step takes 2–5 days in practice and often produces surprises, even for management.

Step 2: Risk Classification and Responsibilities

Once the inventory exists, systems can be assigned to the four risk classes. For each system from "limited risk" upward: who is internally responsible? What documentation is required? How are users informed?

Step 3: Build a Basic Governance Structure

An internal AI policy (1–2 pages), clear responsibilities, and a brief onboarding for all AI users. Not complex bureaucracy — minimal structure that is actually followed.

Good News

SMEs under 250 employees benefit from reduced requirements under the EU AI Act — especially for high-risk AI. The basic obligations (inventory, transparency, governance) apply to all deployers regardless of size.

The Most Common Mistakes

"We're waiting for the final interpretation." — The prohibitions and first transparency obligations are already in force. Waiting costs structure that will be more expensive to build later.

"This is an IT topic." — AI governance is a leadership topic. Who is allowed to use which AI? Who is liable? IT cannot answer these questions alone.

"We don't have anything critical." — You only know that once you have an inventory.

Companies that build structure now won't face pressure in 12 months. Leadership needs structure before technology can work.

To find out where your company stands today, start with our AI Readiness Check — or speak with us directly.

État : mars 2026

Cet article est régulièrement mis à jour. Prochaine échéance importante : août 2026 (application complète du Règlement IA de l’UE pour les systèmes d’IA à haut risque).

Avis important

Cet article est fourni à titre informatif et ne remplace pas un conseil juridique. Pour une évaluation contraignante de vos obligations au titre du Règlement IA de l’UE, nous recommandons de consulter des avocats spécialisés en droit des technologies de l’information.

Le 2 août 2025, les premières dispositions contraignantes du Règlement européen sur l’IA sont entrées en vigueur. Depuis, des interdictions concernant certaines applications d’IA s’appliquent dans toute l’UE — et de nombreuses PME ne s’en aperçoivent que lorsqu’elles sont confrontées à des questions de clients ou à des demandes d’audit.

La réaction la plus fréquente que nous entendons lors de nos premiers entretiens : « Cela ne nous concerne pas — nous n’utilisons que ChatGPT pour rédiger des textes. » Cette appréciation est erronée dans de nombreux cas. Et le risque réside moins dans les amendes que dans l’absence de capacité de pilotage — c’est-à-dire que personne dans l’entreprise ne sait comment l’IA est réellement utilisée ni qui en est responsable.

Réponse rapide : Le Règlement IA de l’UE est en vigueur depuis août 2025. Les PME sont presque toujours classées comme « déployeurs » et doivent agir en trois étapes : inventorier les systèmes d’IA, classifier les risques et mettre en place une politique IA interne. Agir maintenant garantit la capacité de pilotage et évite des amendes pouvant atteindre 35 millions d’euros.

Qu’est-ce que le Règlement IA de l’UE — en 90 secondes

Le Règlement IA de l’UE est la première réglementation complète au monde en matière d’intelligence artificielle. Il classe les systèmes d’IA par catégorie de risque et définit les obligations des développeurs, importateurs et déployeurs.

Point essentiel pour les PME : vous êtes presque toujours un « déployeur » — c’est-à-dire une entreprise qui utilise un système d’IA à des fins professionnelles propres. Cela s’applique même si vous n’utilisez qu’un outil commercial tel qu’un chatbot IA, un outil de recrutement ou un système de prévision — sans développer votre propre IA.

Les quatre classes de risque — et leur signification

Classe	Exemples	Risque pour les PME
Risque inacceptable	Notation sociale, IA manipulatrice, surveillance biométrique en temps réel	Interdit depuis août 2025
Risque élevé	IA dans le recrutement, l’évaluation de crédit, les infrastructures critiques	Obligations strictes
Risque limité	Chatbots, contenus générés par l’IA, deepfakes	Obligations de transparence
Risque minimal	Filtres anti-spam IA, algorithmes de recommandation simples	Aucune obligation spécifique

Exemple pratique

Vous utilisez un outil d’IA pour présélectionner des candidatures ? Cela relève du « risque élevé » — avec des obligations de documentation et de transparence que vous, en tant que déployeur, devez respecter, et non le fournisseur de l’outil.

Ce qui concerne concrètement les PME

Situation typique dans une entreprise sans équipe IA dédiée :

Le service commercial utilise un assistant e-mail assisté par l’IA
Les RH ont introduit un outil de recrutement avec scoring IA
La comptabilité utilise des outils de prévision automatisés
Plusieurs collaborateurs utilisent ChatGPT à titre privé pour des tâches professionnelles
Personne ne dispose d’une vue d’ensemble de tous les systèmes d’IA en usage

C’est précisément ce que nous constatons dans la quasi-totalité de nos Quick Scans. Le véritable problème n’est pas le Règlement IA de l’UE — c’est le manque de transparence sur votre propre utilisation de l’IA.

Les trois étapes décisives à entreprendre maintenant

Étape 1 : Établir un inventaire IA

Quels systèmes d’IA sont utilisés où, par qui et dans quel but — de manière officielle et informelle ? Cette première étape prend 2 à 5 jours en pratique et réserve souvent des surprises, y compris pour la direction.

Étape 2 : Classification des risques et attribution des responsabilités

Une fois l’inventaire établi, les systèmes utilisés peuvent être classés dans les quatre catégories de risque. Pour chaque système à partir du « risque limité » : qui est responsable en interne ? Quelle documentation est requise ? Comment les utilisateurs sont-ils informés ?

Étape 3 : Mettre en place une structure de gouvernance de base

Une politique IA interne (1 à 2 pages), des responsabilités clairement définies et une brève formation pour tous les utilisateurs d’IA. Pas de bureaucratie complexe — une structure minimale qui est réellement appliquée.

Bonne nouvelle

Les petites entreprises bénéficient d’exigences réduites dans le cadre du Règlement IA de l’UE — en particulier pour l’IA à haut risque. Les obligations fondamentales (inventaire, transparence, gouvernance) s’appliquent toutefois à tous les déployeurs.

Les erreurs les plus fréquentes

« Nous attendons l’interprétation définitive. » — Les interdictions et les premières obligations de transparence sont déjà en vigueur. Attendre coûte de la structure qui sera plus coûteuse à construire ultérieurement.

« C’est un sujet IT. » — La gouvernance de l’IA est un sujet de direction. Qui est autorisé à utiliser quelle IA ? Qui est responsable ? Le service informatique ne peut pas répondre seul à ces questions.

« Nous n’avons rien de critique. » — Vous ne le saurez que lorsque vous disposerez d’un inventaire.

Les entreprises qui mettent en place une structure dès maintenant ne subiront aucune pression dans 12 mois. Le leadership a besoin de structure avant que la technologie puisse produire ses effets.

Pour découvrir où en est votre entreprise aujourd’hui, commencez par notre bilan de Readiness IA — ou échangez directement avec nous.

VON ANJA ŻALIK — PASSEND ZU DIESEM ARTIKEL

→ Change Management bei KI-Einführung: Warum der Mensch zuerst kommt

ÜBER DEN AUTOR

Dariusz Piotr Żalik

Senior Partner — KI-Strategie & Umsetzung

Dariusz kennt den Moment, wenn KI bereits im Unternehmen läuft — aber niemand genau weiß, wie.

EU AI Act 2026: Was KMU jetzt konkret tun müssen

Was ist der EU AI Act — in 90 Sekunden

Die vier Risikoklassen — und was sie bedeuten

Was KMU konkret betrifft

Die drei Schritte, die jetzt entscheidend sind

Schritt 1: KI-Inventar erstellen

Schritt 2: Risikoeinstufung und Zuständigkeiten

Schritt 3: Governance-Grundstruktur aufbauen

Die häufigsten Fehler

Czym jest unijny akt o SI — w 90 sekund

Cztery klasy ryzyka — co oznaczają dla MŚP

Co konkretnie dotyczy MŚP

Trzy kroki, które są teraz kluczowe

Krok 1: Inwentaryzacja AI

Krok 2: Klasyfikacja ryzyka i odpowiedzialność

Krok 3: Podstawowa struktura governance

Najczęstsze błędy

What Is the EU AI Act — in 90 Seconds

The Four Risk Classes — and What They Mean

What Concretely Affects SMEs

The Three Steps That Matter Now

Step 1: Create an AI Inventory

Step 2: Risk Classification and Responsibilities

Step 3: Build a Basic Governance Structure

The Most Common Mistakes

Qu’est-ce que le Règlement IA de l’UE — en 90 secondes

Les quatre classes de risque — et leur signification

Ce qui concerne concrètement les PME

Les trois étapes décisives à entreprendre maintenant

Étape 1 : Établir un inventaire IA

Étape 2 : Classification des risques et attribution des responsabilités

Étape 3 : Mettre en place une structure de gouvernance de base

Les erreurs les plus fréquentes

Wie sieht das bei
Ihrem Unternehmen aus?

EU AI Act 2026: Was KMU jetzt konkret tun müssen

Was ist der EU AI Act — in 90 Sekunden

Die vier Risikoklassen — und was sie bedeuten

Was KMU konkret betrifft

Die drei Schritte, die jetzt entscheidend sind

Schritt 1: KI-Inventar erstellen

Schritt 2: Risikoeinstufung und Zuständigkeiten

Schritt 3: Governance-Grundstruktur aufbauen

Die häufigsten Fehler

Czym jest unijny akt o SI — w 90 sekund

Cztery klasy ryzyka — co oznaczają dla MŚP

Co konkretnie dotyczy MŚP

Trzy kroki, które są teraz kluczowe

Krok 1: Inwentaryzacja AI

Krok 2: Klasyfikacja ryzyka i odpowiedzialność

Krok 3: Podstawowa struktura governance

Najczęstsze błędy

What Is the EU AI Act — in 90 Seconds

The Four Risk Classes — and What They Mean

What Concretely Affects SMEs

The Three Steps That Matter Now

Step 1: Create an AI Inventory

Step 2: Risk Classification and Responsibilities

Step 3: Build a Basic Governance Structure

The Most Common Mistakes

Qu’est-ce que le Règlement IA de l’UE — en 90 secondes

Les quatre classes de risque — et leur signification

Ce qui concerne concrètement les PME

Les trois étapes décisives à entreprendre maintenant

Étape 1 : Établir un inventaire IA

Étape 2 : Classification des risques et attribution des responsabilités

Étape 3 : Mettre en place une structure de gouvernance de base

Les erreurs les plus fréquentes

Wie sieht das beiIhrem Unternehmen aus?

Verwandte Artikel

Wie sieht das bei
Ihrem Unternehmen aus?