Diese Übersicht enthält die wichtigsten Fachbegriffe rund um EU AI Act, NIS-2 und KI-Modelle. Sie ist als Nachschlagewerk gedacht — für Einsteiger:innen ebenso wie für Profis, die einen Begriff schnell konsistent erklären müssen.
EU AI Act
AI Act. Verordnung (EU) 2024/1689 zur Regulierung Künstlicher Intelligenz im Binnenmarkt. Erste umfassende KI-Verordnung weltweit, beschlossen 2024, in Stufen anwendbar bis 2027.
AI Office. Im Apparat der EU-Kommission angesiedelte Stelle, die GPAI-Modelle beaufsichtigt, Leitlinien herausgibt und Streitfragen auslegt. Operativ seit Frühjahr 2024.
Artikel 50 EU AI Act. Transparenz-Verpflichtungen — Chatbot-Kennzeichnung, KI-Wasserzeichen, Deepfake-Disclaimer, Information bei Emotionserkennung. Vollumfänglich anwendbar ab 2. August 2026.
Anhang III. Liste der Hochrisiko-KI-Anwendungen — HR/Bewerbungs-Screening, Kreditvergabe, Bildung, Strafverfolgung, Migration, kritische Infrastruktur, biometrische Identifikation. Vollumfänglich anwendbar ab 2. August 2027.
GPAI. General-Purpose AI — Modelle, die für eine breite Palette von Aufgaben verwendet werden können und als Grundlage für viele andere KI-Anwendungen dienen. Eigene Pflichten in Art. 53 ff. AI Act.
Code of Practice (GPAI). Freiwilliger Compliance-Leitfaden für GPAI-Anbieter, von unabhängigen Expert:innen erarbeitet. Unterzeichner gelten als compliant gegenüber den entsprechenden AI-Act-Pflichten.
Konformitätsvermutung. Rechtliches Prinzip: Wer einem harmonisierten Standard oder einem anerkannten Code of Practice folgt, gilt vermutungshalber als regelkonform. Beweislast kehrt um.
Foundation Model. Großes, allgemeines KI-Modell, das durch Training auf breiten Datensätzen erlernt und für diverse Downstream-Aufgaben angepasst werden kann. Häufig synonym mit GPAI verwendet.
Systemisches Risiko. Im AI-Act-Kontext: GPAI-Modelle mit sehr hohen Trainings-Compute-Werten (Schwelle bei 10^25 FLOP) oder besonderer Reichweite. Strengere Pflichten als „normale“ GPAI.
NIS-2 / Cybersicherheit
NIS-2-Richtlinie. Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union. Nachfolgerin der NIS-Richtlinie von 2016. Umsetzungsfrist war Oktober 2024; nationale Umsetzungsgesetze treten gestaffelt in Kraft.
NISG 2026. Österreichisches Netz- und Informationssystemsicherheitsgesetz 2026 — nationale Umsetzung der NIS-2-Richtlinie. Beschlossen 12. Dezember 2025, in Kraft ab 1. Oktober 2026.
Wesentliche Einrichtung. NIS-2-Begriff für Unternehmen ab 250 Mitarbeitenden oder 50 Mio. € Jahresumsatz in den 11 hoch-kritischen Sektoren (Energie, Verkehr, Banken, Gesundheit, Trinkwasser, digitale Infrastruktur, ICT-Dienste, öffentliche Verwaltung, Raumfahrt, etc.).
Wichtige Einrichtung. NIS-2-Begriff für Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz in den 7 weiteren kritischen Sektoren (Post, Abfall, Chemikalien, Lebensmittel, etc.). Niedrigere Sanktionsobergrenzen als wesentliche Einrichtungen.
KRITIS. Kritische Infrastrukturen — in Deutschland geregelt im BSI-Gesetz und der KRITIS-Verordnung. In Österreich umgesetzt im NISG. KRITIS-Betreiber sind eine Teilmenge der NIS-2-Adressaten mit zusätzlichen Pflichten.
Meldepflicht. NIS-2-Pflicht zur Meldung erheblicher Sicherheitsvorfälle. Erstmeldung binnen 24 Stunden, Update binnen 72 Stunden, Abschlussbericht binnen einem Monat.
Lieferkettensicherheit. NIS-2-Anforderung, dass betroffene Einrichtungen ihre Sub-Lieferanten auf Cybersicherheits-Eignung prüfen und vertraglich verpflichten. Treibt NIS-2-Anforderungen die Wertschöpfungskette nach unten.
CERT. Computer Emergency Response Team — Reaktionsteam für IT-Sicherheitsvorfälle. CERT.at ist das nationale CERT Österreichs (betrieben durch nic.at), CERT-Bund ist Teil des BSI in Deutschland.
CSIRT. Computer Security Incident Response Team — Sammelbegriff für Inzident-Reaktions-Teams. CERT.at ist gleichzeitig das österreichische nationale CSIRT.
ENISA. European Union Agency for Cybersecurity — die EU-Cybersicherheitsbehörde. Sitz in Athen und Heraklion. Veröffentlicht Standards, Threat-Reports, Best-Practice-Guidelines.
BSI. Bundesamt für Sicherheit in der Informationstechnik — die deutsche Cybersicherheits-Behörde. Sitz in Bonn. Veröffentlicht WID-Warnungen, IT-Grundschutz, BSI-Standards.
NIS-Anlaufstelle. In Österreich die Behörde für die NIS-Umsetzung, organisatorisch im Bundesministerium für Inneres angesiedelt. Erreichbar über nis.gv.at.
Datenschutz und angrenzende Rechtsakte
DSGVO. Datenschutz-Grundverordnung (EU) 2016/679 — anwendbar seit Mai 2018. Bleibt parallel zum AI Act gültig; KI-Anwendungen mit personenbezogenen Daten unterliegen beiden Regelwerken.
EDPB. European Data Protection Board — Gremium der nationalen Datenschutzbehörden, gibt Leitlinien zur DSGVO und zunehmend auch zu AI-Act-Fragen heraus.
EDPS. European Data Protection Supervisor — die EU-Datenschutzbeauftragte, prüft EU-Institutionen und gibt Stellungnahmen zu Gesetzesvorhaben ab.
Data Act. Verordnung (EU) 2023/2854 über harmonisierte Vorschriften für den fairen Datenzugang. Anwendbar ab September 2025; eigene Pflichten für Hersteller vernetzter Produkte.
Technik
MCP. Model Context Protocol — offener Standard von Anthropic zur Anbindung von KI-Modellen an externe Tools, Datenquellen und Dienste. Ermöglicht „echte“ Agent-Funktionalität.
RAG. Retrieval-Augmented Generation — Architekturmuster, bei dem ein KI-Modell vor der Antwortgenerierung externe Wissensquellen abfragt. Mittel der Wahl gegen Halluzinationen.
Fine-Tuning. Anpassung eines vortrainierten Modells auf spezifische Daten oder Aufgaben. Im AI-Act-Kontext relevant, weil substantielles Fine-Tuning den Anwender in die GPAI-Anbieter-Rolle befördern kann.
Inference. Die produktive Anwendung eines trainierten Modells — also „das Modell antworten lassen“. Im Gegensatz zum Training, das die Modell-Parameter erlernt.
Token. Kleinste Verarbeitungseinheit in einem Sprachmodell — typischerweise ein Wort-Teil. Kosten und Kontextfenster werden in Tokens gemessen.
Glossar Stand: 25. Mai 2026. Hinweise auf fehlende Begriffe, Korrekturen oder ergänzende Definitionen jederzeit über die Kontaktseite oder unser Fider-Board willkommen. Kennzeichnung gemäß Art. 50 EU AI Act: Recherche und Erstentwurf durch KI-assistierte Kuratierung, redaktionelle Freigabe durch Lumi AI News Editorial.