Häufige Fragen.

Was ist der EU AI Act und ab wann gilt er?

Der EU AI Act (Verordnung (EU) 2024/1689) ist das risikobasierte KI-Gesetz der EU. Die Verbote für KI mit unannehmbarem Risiko gelten seit dem 2. Februar 2025. Der Hauptteil der Pflichten wird am 2. August 2026 anwendbar — einschließlich der Transparenzpflichten (Artikel 50) und der KI-Kompetenz (Artikel 4). Im Rahmen des Digital-Omnibus-Pakets (Position des Europäischen Parlaments im Juni 2026 angenommen, vorbehaltlich finaler Annahme) sollen die Hochrisiko-Pflichten (Anhang III) auf Dezember 2027 verschoben werden.

Welche Systeme gelten als „hochriskant“?

Anhang III nennt acht Kategorien: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Zugang zu wesentlichen Diensten (einschließlich Kredit-Scoring und Versicherungs-Pricing), Strafverfolgung, Migration und Justiz. KI als Sicherheitskomponente in Anhang-I-Produkten (Medizinprodukte, Maschinen usw.) ist per Verweis hochriskant.

Was verlangt Artikel 12 (Logging)?

Artikel 12 verpflichtet Anbieter von Hochrisiko-KI, das automatische Protokollieren von Ereignissen zu ermöglichen, die die Rückverfolgbarkeit über den gesamten Lebenszyklus sicherstellen. Die Noetik-Audit-Kette ist hash-verkettet und append-only; jede Entscheidung wird deterministisch mit Policy-Version, Klassifikation und Verdikt dokumentiert.

Was ist Artikel 14 (menschliche Aufsicht)?

Artikel 14 verlangt, dass Hochrisiko-KI so gestaltet wird, dass natürliche Personen sie während des Betriebs wirksam beaufsichtigen können — verstehen, überwachen, übersteuern oder stoppen. Das Pre-Execution-Gate von Noetik ist die Override-Schicht: Eine Anfrage, die eine harte Policy verletzt, erreicht das Modell nicht.

Wer ist „Anbieter“ und wer „Betreiber“?

Der Anbieter entwickelt das KI-System und bringt es in Verkehr; er trägt die Hauptlast an Dokumentations- und Konformitätspflichten. Der Betreiber setzt das System unter eigener Verantwortung ein, mit Pflichten zur bestimmungsgemäßen Nutzung, zum Logging, zum Monitoring und — in Teilen des öffentlichen Sektors — zur Grundrechte-Folgenabschätzung. Noetik unterstützt beide Rollen.

Was ist ISO/IEC 42001?

ISO/IEC 42001:2023 ist die internationale Management-System-Norm für KI-Managementsysteme (AIMS) — aufgebaut wie ISO 27001 und ISO 9001 mit Plan-Do-Check-Act, Governance und risikobasierten Controls. Sie gilt als führender harmonisierter Standard für die Management-System-Dimension des EU AI Act.

Was ist NIST AI RMF, und welche Funktionen berührt Noetik?

Das NIST AI Risk Management Framework definiert vier Funktionen: Govern, Map, Measure, Manage. Die Policy-Autorenwerkzeuge von Noetik bedienen Govern, die Klassifikatoren und ClarityScore bedienen Measure, das Pre-Execution-Gate bedient Manage. Die Map-Funktion — Kontext, beabsichtigte Verwendung, Auswirkungen — bleibt beim Compliance-Team des Kunden.

Was ist Pre-Execution-Governance?

Pre-Execution-Governance evaluiert jede KI-Anfrage, bevor sie ausgeführt wird, gegen einen deterministischen Policy-Stack. Der Unterschied zum Post-Hoc-Monitoring ist kausal: Pre-Execution entscheidet, was passieren darf; Post-Hoc berichtet, was passiert ist.

Wie funktionieren die Verdikte EXECUTE, HOLD und BLOCK?

Die Engine gibt eines von drei Verdikten zurück. EXECUTE reicht eine klare, regelkonforme Anfrage an das Modell durch. HOLD gibt eine ClarityFeedback™-Rückfrage aus, die den Nutzer bittet, seine eigene Eingabe zu präzisieren oder zu korrigieren — danach wird sie neu bewertet. BLOCK stoppt eine Anfrage, die eine nicht-verhandelbare Verpflichtung — rechtlich, regulatorisch, sicherheitsbezogen — oder die stets aktive Tier-1-Sicherheitsebene verletzt, mit protokollierter Begründung. Die Verdikte werden bei jedem Aufruf in deterministischer Reihenfolge erzeugt; jede Auswertung wird dokumentiert.

Was ist ClarityScore?

ClarityScore ist ein deterministisches numerisches Maß der Eingabe-Klarheit, berechnet aus expliziten strukturellen Signalen (syntaktisch, semantisch, affektiv, policy-bezogen). Zwei gleichwertige Inputs ergeben immer denselben Score, und er steuert die Entscheidung EXECUTE versus HOLD. Der Wert wird zusammen mit dem Verdikt in die Audit-Kette geschrieben.

Was ist eine fälschungssichere Audit-Kette?

Jeder Eintrag ist hash-verkettet mit dem vorhergehenden (Merkle-artig) und mit einem instanzspezifischen Schlüssel signiert. Wer einen früheren Eintrag ändert, invalidiert alle nachfolgenden Hashes — das ist bei jeder Verifikation erkennbar. Die Kette ist append-only und für unabhängige Audits exportierbar.

Ist PREEXEC self-hosted oder SaaS?

PREEXEC wird als self-hosted Engine ausgeliefert. Der Kunde betreibt sie auf eigener Infrastruktur — Bare-Metal, VM oder Container — innerhalb des eigenen Sicherheitsperimeters. Weder Anfrage, Output noch Audit-Daten werden an Noetik Governance Ltd übertragen.

Welche KI-Modelle werden unterstützt?

PREEXEC ist modellunabhängig. Die Engine steuert Anfragen an jedes Large Language Model — OpenAI, Anthropic, Mistral, lokale Llama-Varianten, vom Anbieter gehostete Endpunkte. Die Integration erfolgt über eine Adapter-Schicht; das Modell selbst bleibt unverändert.

Wie steht es um Latenz und Betriebseinfluss?

Die Engine ist deterministisch; der Aufwand wächst mit der Tiefe des Policy-Stacks und der Komplexität der Klassifikatoren. In typischen Konfigurationen liegt der Aufwand pro Aufruf deutlich unterhalb der Modell-Generierung. Kunden führen eigene Latenz-Budgetierungen im Piloten durch.

Auf welche Sektoren konzentriert sich Noetik?

Regulierte Sektoren mit hoher KI-Risikoexposition: Banken und Finanzdienste (Beratungs-Chatbots, Kreditbescheid-Texte — Anhang III), Versicherungen (Underwriting, Pricing — Anhang III), Gesundheitswesen (Clinical Decision Support, in Medizinprodukten eingebettete KI) und öffentliche Verwaltung (Bürger-Dienste, Bescheid-Entscheidungen). Der Policy-Stack wird pro Sektor konfiguriert.