Ist meine KI-App nach dem EU-KI-Gesetz verboten?

Social Scoring, unterschwellige Manipulation, biometrische Echtzeit-Identifizierung im öffentlichen Raum und Emotionserkennung am Arbeitsplatz sind nach Artikel 5 vollständig verboten. Regula scannt Ihren Code auf Muster, die diesen verbotenen Verwendungen entsprechen.

Gilt das EU-KI-Gesetz für mein Unternehmen, wenn ich außerhalb der EU bin?

Ja. Artikel 2 Absatz 1 Buchstabe c gilt extraterritorial. Wenn die Ausgabe Ihres KI-Systems in der EU verwendet wird, gilt die Verordnung unabhängig davon, wo Ihr Unternehmen ansässig ist. Dies betrifft VAE, UK, USA, Brasilien und jeden Nicht-EU-Anbieter oder -Betreiber.

Was macht ein KI-System nach dem EU-KI-Gesetz hochriskant?

Anhang III listet acht Hochrisiko-Kategorien auf, darunter Kreditbewertung, Personaleinstellung, Gesundheitsdienstleistungen, Bildungsbewertung, Strafverfolgung, Grenzkontrolle, wesentliche Dienstleistungen und Integrität demokratischer Prozesse. Regula erkennt Codemuster, die jeder Kategorie entsprechen.

Wann wird das EU-KI-Gesetz durchgesetzt?

Artikel-5-Verbote gelten seit dem 2. Februar 2025. GPAI-Pflichten (Artikel 51-55) gelten seit dem 2. August 2025. Hochrisiko-Pflichten (Artikel 9-15) gelten ab dem 2. August 2026. Ein vorgeschlagener Digital Omnibus könnte einige Anhang-III-Fristen auf Dezember 2027 verschieben. Der erste Trilog scheiterte am 28. April 2026 nach 12 Stunden Verhandlung. Nächster Trilog voraussichtlich Mitte Mai. Noch nicht Gesetz.

Ist Regula kostenlos?

Ja. Regula ist Open Source unter der Apache-2.0-Lizenz. Kein Konto, kein API-Schlüssel, kein Verkaufsgespräch. Installieren Sie mit pipx install regula-ai (siehe docs/installation.md für uv- und pip-Alternativen) und führen Sie es lokal auf Ihrer Codebasis aus. Die vollständige CLI, alle 61 Befehle (einschließlich `regula handoff` für Garak/Giskard/Promptfoo-Scoping und `regula regwatch` für Delta-Log-Drift-Warnungen), alle 389 Risikomuster und alle 12 Compliance-Framework-Zuordnungen sind kostenlos.

Welche Bußgelder drohen nach dem EU-KI-Gesetz?

Verbotene KI-Praktiken (Artikel 5) werden mit Bußgeldern bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes bestraft, je nachdem, welcher Betrag höher ist. Hochrisiko-Verstöße werden mit bis zu 15 Millionen Euro oder 3% des Umsatzes bestraft. Verstöße gegen Informationspflichten werden mit bis zu 7,5 Millionen Euro oder 1% des Umsatzes bestraft.

Kann Regula KI-Modelle auf Bias testen?

Regula enthält einen optionalen Bias-Evaluierungsbefehl (regula bias), der CrowS-Pairs- und BBQ-Stereotyp-Benchmarks gegen ein lokales Ollama-Modell ausführt, mit statistischen Konfidenzintervallen. Es ist ein Entwicklungszeit-Ausgangspunkt für die Artikel-10-Bias-Dokumentation, kein Produktions-Fairness-Testing-Tool. Für produktionsreife Bias-Messung nutzen Sie dedizierte Plattformen wie IBM watsonx.governance oder Fiddler AI.

Überschneidet sich das EU-KI-Gesetz mit DSGVO, DORA oder NIS2?

Ja, erheblich. Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten, müssen sowohl das KI-Gesetz als auch die DSGVO gleichzeitig einhalten. DORA gilt, wenn KI in Finanzdienstleistungen eingesetzt wird, und NIS2 gilt für Betreiber wesentlicher Dienste. Regula bildet jeden KI-Gesetz-Artikel auf die entsprechenden DSGVO-, DORA-, NIS2-, ISO-42001- und 8 weitere Framework-Pflichten in einem einzigen Scan ab. Führen Sie regula gap --project . aus, um zu sehen, wo sich Ihre Pflichten über alle 12 zugeordneten Frameworks überschneiden.

Funktioniert Regula mit KI-generiertem Code von Cursor, Claude Code oder Lovable?

Ja. Regula scannt Quellcode-Dateien unabhängig davon, wer oder was sie geschrieben hat. KI-generierter Code unterliegt denselben EU-KI-Gesetz-Pflichten wie handgeschriebener Code — Artikel 2 unterscheidet nicht nach Urheberschaft. Führen Sie regula check . für jedes Projekt aus. Wenn Sie Cursor oder Claude Code verwenden, fügen Sie regula assess in Ihren Chat ein, um schnell die Anwendbarkeit zu prüfen, ohne Ihren Editor zu verlassen.

Was sollte ich jetzt tun, um mich auf das EU-KI-Gesetz vorzubereiten?

Drei Schritte, unter fünf Minuten: (1) Installieren Sie mit pipx install regula-ai, (2) führen Sie regula assess aus, um zu prüfen, ob das Gesetz für Ihr Produkt gilt, (3) falls ja, führen Sie regula check . aus, um Ihre Risikostufe und Befunde zu sehen. Von dort aus erstellt regula plan einen priorisierten Maßnahmenplan mit Aufwandsschätzungen, und regula gap zeigt Ihre Compliance-Lage pro Artikel. Kein Konto, kein API-Schlüssel, keine Daten verlassen Ihren Rechner.

Open-Source-CLI · v1.7.1 · Apache 2.0

Ist Ihre KI-App in Europa hochriskant?

Ein Befehl zeigt Ihnen, in welche EU-KI-Gesetz-Risikostufe Ihr Code fällt, warum, und was zu beheben ist. 30 Sekunden, kostenlos, kein Konto.

kein Konto, kein API-Schlüssel · GitHub ↗

Vollständig offline. Kein API-Schlüssel. Kein Konto. Ihr Code verlässt nie Ihren Rechner.

check

plan

gap

comply

$ regula check . --explain

Classification: HIGH-RISK
  Annex III, Category 5

WHY:
  scoring.py:23 — essential_services
    Code: score = model.predict(applicant)
    Legal basis: Annex III — Articles 9-15
    False positive if: not a credit decision

ROLE: DEPLOYER (confidence: high)
  - OpenAI API usage detected

OBLIGATIONS:
  [HIGH] Art. 9  Risk management   — 40-60h
  [HIGH] Art. 14 Human oversight  — 16-24h
  Total: 160-324h | Deadline: Aug 2026
  ⚠ Omnibus may delay to Dec 2027 (not yet law)

$ regula plan .

COMPLIANCE PLAN  ·  HIGH-RISK (Annex III, Category 5)

Priority 1 — Risk Management System (Art. 9)
  Effort: 40–60h
  × No risk assessment file found
  × No model evaluation documented

Priority 2 — Human Oversight (Art. 14)
  Effort: 16–24h
  × No review-before-action pattern detected
  × No override mechanism found

Priority 3 — Technical Documentation (Art. 11)
  Effort: 8–12h
  ✓ Annex IV template: regula docs .

Total: 64–96h estimated effort

$ regula gap .

COMPLIANCE GAP ASSESSMENT

Art. 9  Risk management    ██░░░░░░░░  20%  FAIL
Art. 10 Data governance    ████░░░░░░  40%  WARN
Art. 11 Documentation      ██████░░░░  60%  WARN
Art. 12 Record-keeping     ████████░░  80%  PASS
Art. 13 Transparency       ░░░░░░░░░░   0%  FAIL
Art. 14 Human oversight    ███░░░░░░░  30%  FAIL
Art. 15 Accuracy           █████░░░░░  50%  WARN

Run: regula plan . for a prioritised fix list

$ regula comply

EU AI Act Compliance Checklist
  Overall compliance score: 42/100

  × Article 9   Risk Management              20%  NEEDS WORK
  ~ Article 10  Data Governance              40%  PARTIAL
  ~ Article 11  Technical Documentation      60%  PARTIAL
  ✓ Article 12  Record-Keeping              80%  PASS
  × Article 13  Transparency                 0%  NOT FOUND
  × Article 14  Human Oversight             30%  NEEDS WORK
  ~ Article 15  Accuracy & Robustness       50%  PARTIAL

  1/7 obligations have strong evidence

Run: regula comply --article 9 for deep-dive

Für wen ist das?

Entwickler, die KI-Produkte ausliefern, und die Unternehmen, die sie nutzen.

Wenn Sie das Unternehmen leiten

Kennen Sie Ihr rechtliches Risiko?

Wenn Ihr Team KI baut oder nutzt, kann das EU-KI-Gesetz gelten, auch außerhalb der EU. Die meisten Tools fallen unter begrenztes oder minimales Risiko. Entwickeln Sie mit Claude Code oder Cursor? Fügen Sie regula assess in Ihren Chat ein. Haben Sie einen Entwickler? Senden Sie ihm diese Seite.

Wenn Sie den Code schreiben

EU-Nutzer? Das KI-Gesetz gilt für Sie.

Artikel 2 gilt extraterritorial. Die meisten Chatbots und Produktivitätstools sind begrenztes Risiko: eine Transparenzoffenlegung, mehr nicht. Scannen Sie zur Bestätigung.

Funktioniert mit KI-generiertem Code (Cursor, Lovable, Bolt, Claude Code)
Generiert Anhang-IV-Dokumentation aus Ihrem tatsächlichen Code
CI/CD-Integration · JSON · SARIF · 12 Compliance-Frameworks

regula check .

Wenn Sie Compliance prüfen

Überprüfbare Nachweise, keine Selbstbescheinigung.

Regula generiert signierte, zeitgestempelte Nachweispakete mit SHA-256-Integritätsmanifesten. Jedes Ergebnis ist auf eine Datei und Zeile rückverfolgbar. Überprüfen Sie die Kette selbst.

Was Regula Ihnen sagt

Das EU-KI-Gesetz ordnet jedes KI-System in eine Risikostufe ein. Regula scannt Ihren Code, sagt Ihnen, welche Stufe gilt, und liefert die Maßnahmenliste.

Verboten

Social Scoring · Emotionserkennung · Biometrie in Echtzeit · Unterschwellige Manipulation

Art. 5: vollständig verboten →

Hochrisiko

Kreditbewertung · Beschäftigung · Gesundheitsdienstleistungen · Bildung · Strafverfolgung

Art. 9–15 gelten →

Begrenztes Risiko

Chatbots · Synthetische Inhalte · Emotionserkennung · Deep Fakes

Transparenzregeln →

Minimales Risiko

Spamfilter · KI-Spiele · Einfache Empfehlungen · Suchranking

Keine Pflichten →

Regula sagt Ihnen, wo Ihr Code steht, und genau warum.

2026–27

Hochrisiko-Pflichten beginnen August 2026, oder Dezember 2027, wenn der Digital Omnibus verabschiedet wird. Der erste Trilog scheiterte am 28. April 2026 nach 12 Stunden Verhandlung; nächster Trilog voraussichtlich Mitte Mai. Die Frist August 2026 bleibt rechtlich bindend, bis der Omnibus formal verabschiedet wird. (noch nicht Gesetz) So oder so: die Anforderungen ändern sich nicht. Sie müssen wissen, wo Sie stehen.

So funktioniert es

Drei Schritte. Kein Konto, kein API-Schlüssel, keine Daten verlassen Ihren Rechner.

Schritt 1

Installieren

pipx install regula-ai
Funktioniert auf jedem Betriebssystem. Andere Methoden ↗

Schritt 2

Scannen

regula
Konformitätsbewertung, Befunde und nächste Schritte.

Schritt 3

Handeln

regula comply
Pflichtencheckliste mit Bestanden/Nicht-Bestanden pro Artikel.

389

Risikomuster geprüft

Programmiersprachen

Compliance-Frameworks

externe Abhängigkeiten

Was es tut

Regula kombiniert Code-Scanning mit Governance-Fragebögen. Es liest Ihren Code auf Risikomuster und bietet strukturierte Selbstbewertungen für organisatorische Pflichten, die Code nicht verifizieren kann. Es generiert Artefakte, die ein Auditor prüfen kann, nicht nur Ergebnislisten.

Bewertung

Konformitätslücken

Was fehlt in Ihrer Codebasis?

Risikomanagement, Daten-Governance, Protokollierung, Transparenz, menschliche Aufsicht, Genauigkeit. Pro Artikel bewertet mit Aufwandsschätzungen.

regula gap .

Sicherheit

Ist Ihr KI-Code sicher?

Prompt-Injection, unsicheres Laden von Modellen, unvalidierte KI-Ausgabe, hartcodierte Schlüssel und andere KI-spezifische Schwachstellen.

regula check . · regula guardrails .

Aufsicht

Analyse menschlicher Aufsicht

Verfolgt KI-Ausgaben über Dateien hinweg. Prüft, ob jeder Pfad zu einem nutzergerichteten Endpunkt eine menschliche Überprüfungsstufe durchläuft.

regula oversight .

Nachweise

Dokumentation

Können Sie Konformität nachweisen?

Anhang-IV-Dokumentation, generiert aus Ihrem tatsächlichen Code. Funktionen, Abhängigkeiten und Protokollabdeckung bereits ausgefüllt.

regula docs . · regula conform .

Nachweise

Konformitätsbewertungspaket

Artikel-43-Nachweise: 26 Dateien zugeordnet zu Artikeln 9–15, artikelweise Bereitschaftsbewertungen, SHA-256-Integritäts-Hashes.

regula conform . · regula evidence-pack .

Integrität

Manipulationssicher & signiert

SHA-256-Manifest + Ed25519-Signierung + RFC-3161-Zeitstempel. Beweisen Sie, wann die Bewertung erstellt wurde und dass sie nicht verändert wurde.

regula evidence-pack --sign --timestamp .

KI-BOM

KI-Stückliste

CycloneDX 1.7 KI-BOMs mit Modellherkunft, GPAI-Stufen-Annotationen nach Art. 51–55 und erkannten Trainingsdatensätzen.

regula sbom --ai-bom .

Integration

Regulierungsübergreifend

DSGVO + DORA + NIS2 Überschneidung

Jeder KI-Gesetz-Artikel ist den entsprechenden DSGVO-, DORA- und NIS2-Pflichten zugeordnet. Ein Scan deckt Anforderungen über alle vier Verordnungen ab.

regula gap .

API

REST-API für GRC-Tools

Sieben HTTP-Endpunkte mit dem gleichen JSON-Format wie die CLI. Regula in ServiceNow, Jira oder Ihre eigene GRC-Plattform einbinden.

regula api-server --port 8487

Dashboard

Web-Dashboard

Governance-Status auf einen Blick. Risikoverteilung, Compliance-Lücken pro Artikel, interaktive Selbstbewertung und Export als JSON/SARIF/HTML. Kein Terminal nötig.

localhost:8487/v1/dashboard

61 Befehle insgesamt · Python, JS, TS, Java, Go, Rust, C, C++ · Cross-Maps zu ISO 42001, NIST AI RMF, OWASP LLM Top 10, EU CRA und 7 weiteren Frameworks. Vollständige CLI-Referenz →

Läuft wo Sie arbeiten

Terminal, CI/CD, Editor, Pre-Commit. Ein Tool, jeder Workflow.

Terminal

pipx install regula-ai && regula check .

CI/CD

GitHub Action: kuzivaai/getregula@v1 mit SARIF-Upload

VS Code

Inline-WARN/BLOCK-Dekoratoren. Scan beim Speichern.

Claude Code / Cursor

MCP-Server: regula mcp-server

Pre-Commit

regula install pre-commit

DSGVO-Doppelkonformität

regula gdpr — 14 Muster, 4 KI-Gesetz/DSGVO-Hotspots

Wo Regula in den Markt passt

Ein entwicklerseitiger Static-Scanner. Eines von mehreren Tools im EU-KI-Gesetz-Ökosystem. Jedes löst einen anderen Teil des Problems.

Governance-SaaS

Vertrieb kontaktieren

Credo AI, Saidot, Enzai, IBM watsonx.governance, Microsoft Purview. Evidenz-Workflows, Kontrollbibliotheken, kontinuierliche Überwachung, Richtlinien-Updates durch Rechtsexperten. Gebaut für Compliance-Abteilungen, nicht für Entwickler. Keine veröffentlichten Preise.

Runtime-Tests

Open Source

Garak, Giskard, Promptfoo. Prompt-Injection-, Jailbreak- und Bias-Red-Teaming gegen laufende Modelle. Ergänzend zu Regula, nicht überlappend. Sie testen Verhalten; Regula liest Code.

Regula

Kostenlos & Open Source

Static-Code-Scanner. Läuft auf Ihrem Laptop mit einem Befehl. Python-Kern nur aus der Standardbibliothek, null Produktionsabhängigkeiten, vollständig offline. pipx install regula-ai, Projekt scannen, klare Antwort erhalten. Apache-2.0-Lizenz.

	Regula	AIR Blackbox	Systima Comply	EuConform	Enterprise SaaS
Ansatz	Statischer Code-Scan	Scan + Runtime-Trust-Layer	AST-basierter Scan	Fragebogen + Bias-Evaluierung	Plattform / Dashboard
Sprachen	8 Familien	Python	JS/TS	Kein Code-Scanner	Kein Code-Scanner
Erkennungsmuster	389	39 Prüfungen	37+ Frameworks	Fragebogen	Variiert
Abhängigkeiten	Null (stdlib)	Mehrere	npm	Next.js + Ollama	SaaS
Offline	Vollständig offline	Lokal	Lokal	Lokal + Ollama	Cloud
Evidenzsignierung	Ed25519 + RFC 3161	—	—	—	Variiert
Framework-Zuordnungen	12	3	EU AI Act	EU AI Act	Mehrere
CI/CD-Integration	GitHub Action + SARIF	GitHub Action	GitHub Action	—	Nativ
Anhang-IV-Doku	Kostenlos	—	—	PDF-Berichte	Integriert
Preis	Kostenlos (Apache 2.0)	Kostenlos (Apache 2.0)	Kostenlos (Apache 2.0)	Kostenlos (MIT + EUPL)	30.000–200.000 €/Jahr

Wählen Sie das Tool, dessen Sprachabdeckung und Kompromisse zu Ihrem Stack passen. Regula deckt die meisten Sprachen und Framework-Zuordnungen unter den oben genannten Open-Source-Optionen ab. Für Runtime-Agent-Governance siehe Microsofts Agent Governance Toolkit.

Was Regula nicht tut

Ein Konformitätstool, das seine Fähigkeiten übertreibt, ist schlimmer als gar kein Tool. Hier ist, was Regula tatsächlich ist, und was nicht.

Keine Rechtsberatung

Regula identifiziert Risikoindikatoren im Code für die Überprüfung durch Entwickler. Es stellt keine Konformität fest. Ein qualifizierter Rechtsanwalt sollte jede Klassifizierung prüfen, bevor Sie darauf handeln.

Mustererkennung, nicht Verständnis

83,5% Präzision auf Produktionscode (blind-gelabelter Zufallskorpus, N=115). 0 Falsch-Positive auf BLOCK-Stufe (der CI-Standard). 15,2% Präzision auf KI-Bibliotheks-Quellcode — dem schwierigsten Korpus, da diese Bibliotheken KI implementieren, anstatt sie für regulierte Entscheidungen zu nutzen. Veröffentlichter Benchmark →

Gerüste, nicht Substanz

Anhang-IV-Dokumente, Evidenzpakete und Governance-Gerüste sind vorausgefüllte Vorlagen. Ein Mensch muss sie mit inhaltlicher Substanz vervollständigen. Regula kann nicht verifizieren, dass ein Risikomanagementsystem tatsächlich funktioniert.

Vollständige Einschränkungen →

Aktuelles aus dem Blog

Analysen zu KI-Regulierung und Compliance-Mustern.

Trilogue

Finden Sie heraus, wo Sie stehen

Ein Befehl. Dauert 30 Sekunden. Kein Konto nötig.

Noch nicht bereit zum Installieren? Lassen Sie sich benachrichtigen, wenn Fristen sich ändern.

Kein Spam. Nur Hauptversionen und EU-KI-Gesetz-Fristen.