Bis zur Hauptfrist August 2026 müssen Unternehmen ihre KI-Anwendungen inventarisiert, bewertet und dokumentiert haben. Dazu gehören insbesondere:

  • ein KI-Inventar mit Risikoklassifikation (niedrig, transparent, hoch, unzulässig),
  • definierte Rollen und Verantwortlichkeiten (z. B. nach RACI-Modell),
  • ein Freigabeprozess für neue KI-Use-Cases,
  • Policies zu Datenzugriff, Logging, Dokumentation und Incident-Management,
  • Nachweise über AI Literacy (Grundkompetenzen im Umgang mit KI).

Ab 2025 gelten bereits erste Teilpflichten – etwa Transparenz bei General-Purpose-AI (z. B. GPT-Modelle).