Es gab eine Ära, in der „Governance“ der Stoff für Policies, Organigramme und Audit-Agenden war. Man schrieb Richtlinien, legte Rollen fest, dokumentierte Risiken – und hoffte, dass all das im Ernstfall trägt. Diese Ära endet. Mit dem AI Act und dem Cyber Resilience Act (CRA) rückt die EU Governance an den Ort, an dem sich Wahrheit nicht vertuschen lässt: in die Produktentwicklung und den Betrieb. Plötzlich zählt nicht mehr, ob eine Regel existiert, sondern ob Ihr Produkt – Hardware, Software, Service, Modell – unter Last das hält, was Ihr Governance-Papier verspricht. Governance wird zur Produktprüfung. Wer das als Bürokratie empfindet, hat den Kern verfehlt. Wer es als Chance begreift, baut die Brücke zwischen Recht, Risiko und Ingenieursarbeit – und gewinnt Geschwindigkeit, Vertrauen und Marktzugang.
Der Kipppunkt: Von Papier-Governance zu Prüf-Governance
Warum dieser Bruch? Weil zwei Bewegungen zusammentreffen. Erstens KI-basierte Funktionen durchdringen Produkte quer durch alle Branchen – vom Risiko-Scoring in der Bank über visuelle Inspektionen in der Fertigung bis zu generativen Assistenten in SaaS-Plattformen. Zweitens zwingt die Digitalisierung der Lieferketten praktisch jedes Produkt, „mit dem Internet“ zu sprechen – und damit angreifbar zu sein. Wenn Fehlentscheidungen eines Modells diskriminieren können und eine Schwachstelle im Update-Mechanismus Hunderttausende Geräte trifft, dann reichen schöne Policies nicht mehr. Die EU schlägt daraus zwei Fäden: AI Act (Fokus: verantwortliche KI) und CRA (Fokus: durchgängig sichere Produkte mit digitalen Elementen). Beide Fäden laufen in derselben Mechanik zusammen: Konformität = Fähigkeit + Nachweis. Fähigkeit entsteht in Architektur, Code, Daten und Betrieb. Nachweis entsteht in Tests, Telemetrie und technischer Dokumentation.
