Ist meine KI-App nach dem EU-KI-Gesetz verboten?

Social Scoring, unterschwellige Manipulation, biometrische Echtzeit-Identifizierung im öffentlichen Raum und Emotionserkennung am Arbeitsplatz sind nach Artikel 5 vollständig verboten. Regula scannt Ihren Code auf Muster, die diesen verbotenen Verwendungen entsprechen.

Gilt das EU-KI-Gesetz für mein Unternehmen, wenn ich außerhalb der EU bin?

Ja. Artikel 2 Absatz 1 Buchstabe c gilt extraterritorial. Wenn die Ausgabe Ihres KI-Systems in der EU verwendet wird, gilt die Verordnung unabhängig davon, wo Ihr Unternehmen ansässig ist. Dies betrifft VAE, UK, USA, Brasilien und jeden Nicht-EU-Anbieter oder -Betreiber.

Was macht ein KI-System nach dem EU-KI-Gesetz hochriskant?

Anhang III listet acht Hochrisiko-Kategorien auf, darunter Kreditbewertung, Personaleinstellung, medizinische Diagnose, Bildungsbewertung, Strafverfolgung, Grenzkontrolle, wesentliche Dienstleistungen und Integrität demokratischer Prozesse. Regula erkennt Codemuster, die jeder Kategorie entsprechen.

Wann wird das EU-KI-Gesetz durchgesetzt?

Artikel-5-Verbote gelten seit dem 2. Februar 2025. GPAI-Pflichten (Artikel 53-55) gelten seit dem 2. August 2025. Hochrisiko-Pflichten (Artikel 9-15) gelten ab dem 2. August 2026. Ein vorgeschlagener Digital Omnibus könnte einige Anhang-III-Fristen auf Dezember 2027 verschieben, ist aber noch nicht Gesetz.

Ist Regula kostenlos?

Ja. Regula ist Open Source unter der MIT-Lizenz. Kein Konto, kein API-Schlüssel, kein Verkaufsgespräch. Installieren Sie mit pipx install regula-ai und führen Sie es lokal auf Ihrer Codebasis aus. Die vollständige CLI, alle 55 Befehle, alle 404 Risikomuster und alle 12 Compliance-Framework-Zuordnungen sind kostenlos.

Welche Bußgelder drohen nach dem EU-KI-Gesetz?

Verbotene KI-Praktiken (Artikel 5) werden mit Bußgeldern bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes bestraft, je nachdem, welcher Betrag höher ist. Hochrisiko-Verstöße werden mit bis zu 15 Millionen Euro oder 3% des Umsatzes bestraft. Verstöße gegen Informationspflichten werden mit bis zu 7,5 Millionen Euro oder 1% des Umsatzes bestraft.

Kann Regula KI-Modelle auf Bias testen?

Regula enthält einen optionalen Bias-Evaluierungsbefehl (regula bias), der CrowS-Pairs- und BBQ-Stereotyp-Benchmarks gegen ein lokales Ollama-Modell ausführt, mit statistischen Konfidenzintervallen. Es ist ein Entwicklungszeit-Ausgangspunkt für die Artikel-10-Bias-Dokumentation, kein Produktions-Fairness-Testing-Tool. Für produktionsreife Bias-Messung nutzen Sie dedizierte Plattformen wie IBM watsonx.governance oder Fiddler AI.

Open-Source-CLI · v1.7.0 · MIT + DRL 1.1

Finden Sie heraus, ob Ihr KI-System hochriskant ist — bevor die Aufsichtsbehörden es tun.

Kostenloser Open-Source-Scanner, der Ihnen zeigt, in welche EU-KI-Gesetz-Risikostufe Sie fallen, warum, und was zu tun ist. Kein Konto, kein API-Key, keine Berater.

$ pipx install regula-ai kopieren

Auf GitHub ansehen

$ regula check . --lang de

Regula Scan: zahlungs-ml-service
───────────────────────────────────────
  Geprüfte Dateien:    47
  Verboten:            0
  Hochrisiko:          2       # Art. 6 Kreditbewertung
  Zugangsdaten:        0
  Stufe BLOCKIEREN:    0
  Stufe WARNUNG:       2
───────────────────────────────────────
  ✔ Keine verbotenen Praktiken (Art. 5)
  ⚠ 2 Hochrisiko: Art. 9 Risikomanagement prüfen

404

Risikomuster

Sprachen

Compliance-Frameworks

Abhängigkeiten

2026–27

Hochrisiko-Pflichten beginnen August 2026 — oder Dezember 2027, wenn der Digital Omnibus verabschiedet wird (Parlament stimmte 569–45 dafür, März 2026). So oder so: die Anforderungen ändern sich nicht. Sie müssen wissen, wo Sie stehen.

Vier Schritte zur Konformitätsübersicht

Installieren, prüfen, überprüfen. Keine Konfiguration, keine API-Schlüssel, kein Konto.

01 — Installieren

Ein Befehl

Von PyPI. Keine Konfiguration nötig, kein Netzwerkzugang erforderlich. Funktioniert vollständig offline.

pipx install regula-ai

02 — Prüfen

Auf Ihren Code richten

Erkennt KI-Bibliotheksimporte, Modelldateien, API-Muster. Klassifiziert nach EU-KI-Gesetz-Risikostufen mit Konfidenzwertung. regula scannt automatisch und zeigt Konformitätsbewertung + nächste Schritte.

regula

03 — Überprüfen

Befunde bearbeiten

Konformitätslückenanalyse für Artikel 9–15. Alle 9 Abschnitte gemäß Anhang IV. SARIF für CI/CD-Gates.

regula gap --project .

04 — Evidenzpaket

Ein Befehl, ein Ordner

Bündelt Scan-Ergebnisse, Lückenanalyse, Anhang-IV-Entwurf, Abhängigkeitsbericht, Prüfpfad und Maßnahmenplan in einem überprüfbaren Paket mit SHA-256-Integritätsprüfsummen.

regula evidence-pack

Was Regula Ihnen sagt

Das EU-KI-Gesetz ordnet jedes KI-System in eine Risikostufe ein. Regula scannt Ihren Code, sagt Ihnen, welche Stufe gilt, und liefert die Maßnahmenliste.

Verboten

Social Scoring · Emotionserkennung · Biometrie in Echtzeit · Unterschwellige Manipulation

Art. 5 — vollständig verboten →

Hochrisiko

Kreditbewertung · Beschäftigung · Medizinische Diagnose · Bildung · Strafverfolgung

Art. 9–15 gelten →

Begrenztes Risiko

Chatbots · Synthetische Inhalte · Emotionserkennung · Deep Fakes

Transparenzregeln →

Minimales Risiko

Spamfilter · KI-Spiele · Einfache Empfehlungen · Suchranking

Keine Pflichten →

Regula sagt Ihnen, wo Ihr Code steht — und genau warum.

Für wen ist das?

Entwickler, die KI-Produkte ausliefern — und die Unternehmen, die sie nutzen.

Wenn Sie das Unternehmen leiten

Kennen Sie Ihr rechtliches Risiko?

Wenn Ihr Team KI baut oder nutzt, kann das EU-KI-Gesetz gelten — auch außerhalb der EU. Die meisten Tools fallen unter begrenztes oder minimales Risiko. Senden Sie diese Seite an Ihren Entwickler. Ein Befehl. Sie erhalten einen Bericht für Ihren Vorstand.

↗ Link kopieren und an Ihren Entwickler senden

▶ regula assess ausführen — kein Code nötig

Wenn Sie den Code schreiben

EU-Nutzer? Das KI-Gesetz gilt für Sie.

Artikel 2 gilt extraterritorial. Die meisten Chatbots und Produktivitätstools sind begrenztes Risiko — eine Transparenzoffenlegung, mehr nicht. Scannen Sie zur Bestätigung.

Funktioniert mit KI-generiertem Code (Cursor, Lovable, Bolt, Claude Code)
Generiert Anhang-IV-Dokumentation aus Ihrem tatsächlichen Code
CI/CD-Integration · JSON · SARIF · 12 Compliance-Frameworks

regula check .

Wenn Sie Compliance prüfen

Überprüfbare Nachweise, keine Selbstbescheinigung.

Regula generiert signierte, zeitgestempelte Nachweispakete mit SHA-256-Integritätsmanifesten. Jedes Ergebnis ist auf eine Datei und Zeile rückverfolgbar. Überprüfen Sie die Kette selbst.

▶ regula evidence-pack --sign .

Über die Klassifizierung hinaus

Regula liest Ihren Code direkt — keinen Fragebogen.

Konformitätslücken

Was fehlt in Ihrer Codebasis?

Risikomanagement, Daten-Governance, Protokollierung, Transparenz, menschliche Aufsicht, Genauigkeit — pro Artikel bewertet mit Aufwandsschätzungen.

Dokumentation

Können Sie Konformität nachweisen?

Generiert automatisch Anhang-IV-Dokumentation aus Ihrem tatsächlichen Code — Funktionen, Abhängigkeiten und Protokollabdeckung bereits ausgefüllt.

Sicherheit

Ist Ihr KI-Code sicher?

Prüft auf Prompt-Injection, unsicheres Laden von Modellen, unvalidierte KI-Ausgabe, hartcodierte Schlüssel und andere KI-spezifische Schwachstellen.

Für Audits gebaut, nicht nur für Scans

Regula generiert Nachweise, die ein Auditor unabhängig verifizieren kann — nicht nur Ergebnislisten.

Integrität

Manipulationssichere Nachweise

Jedes Nachweispaket enthält ein SHA-256-Manifest. Dateien werden bei der Erstellung inhaltsgehasht. Jede Änderung bricht die Kette.

regula evidence-pack . · regula verify pack/

Signierung

Kryptografische Nichtabstreitbarkeit

Signieren Sie Nachweispakete mit Ed25519-Schlüsseln und RFC-3161-Zeitstempeln. Beweisen Sie, wann die Bewertung erstellt wurde und dass sie nicht verändert wurde.

regula evidence-pack --sign --timestamp .

Regulierungsübergreifend

DSGVO + DORA + NIS2 Überschneidung

Jeder KI-Gesetz-Artikel ist den entsprechenden DSGVO-, DORA- und NIS2-Pflichten zugeordnet. Ein Scan deckt Anforderungen über alle vier Verordnungen ab.

regula gap .

Aktualität

Regulatorische Veralterungswarnungen

regula regwatch vergleicht Ihren letzten Scan mit dem aktuellen Regulierungsstand und warnt, wenn Ihre Compliance-Position veraltet sein könnte.

regula regwatch

Audit-Trail

Hash-verkettetes Ereignisprotokoll

Append-only, hash-verkettetes Audit-Protokoll. Jeder Scan, jedes Ergebnis und jede Unterdrückung wird mit einer verifizierbaren Integritätskette aufgezeichnet.

regula audit log · regula audit verify

Kostenloser Anhang IV

Dokumentation, nicht nur Erkennung

Generieren Sie Anhang-IV-Dokumentation, Model Cards, QMS-Gerüste und KMU-vereinfachte Konformitätspakete — kostenlos, aus Ihrem tatsächlichen Code.

regula docs . · regula conform --sme .

EU-AI-Act-Fristen und wichtige Release-Updates erhalten.

55 CLI-Befehle

Alles aus einer einzigen Binärdatei.

regula assess Einige Ja/Nein-Fragen — Risikostufe ermitteln

regula check . Risikoindikatoren scannen

regula comply EU-KI-Gesetz-Pflichtencheckliste mit Status pro Artikel

regula gap --project . Konformitätslückenanalyse für Artikel 9–15

regula register . Annex-VIII-Registrierungspaket (Art. 49)

regula conform . Artikel-43-Konformitätsbewertung — 26 Dateien, artikelweise zugeordnet

regula oversight . Artikel-14-Analyse — dateiübergreifende menschliche Aufsicht

regula sbom --ai-bom . KI-Stückliste — CycloneDX 1.7 ML-BOM

regula bias Stereotyp-Bias-Bewertung — CrowS-Pairs + BBQ mit Konfidenzintervallen (erfordert Ollama)

regula docs --qms Anhang-IV- & QMS-Dokumente erstellen

regula deps --project . Abhängigkeits-Lieferkette

regula baseline compare CI/CD inkrementelle Konformität

regula inventory Modellregister & GPAI-Stufen

regula plan --project . Priorisierter Maßnahmenplan

regula quickstart 60-Sekunden-Einführung

regula doctor Installations- und Gesundheitsprüfung

regula governance KI-Governance-Gerüst — KI-Rolle, Aufsicht, Risikobewertung, Verantwortlichkeit

regula model-card Modellkarten-Gerüst — Verwendungszweck, Einschränkungen, Bias-Risiken, Evaluierung

12 Konformitätsrahmenwerke

Jedes Risikomuster ist mehreren Rahmen zugeordnet, damit ein Scan mehrere Audits abdeckt.

EU AI Act (2024/1689)

NIST AI RMF 1.0

NIST CSF 2.0

ISO/IEC 42001:2023

ISO 27001:2022

SOC 2

OWASP LLM Top 10

MITRE ATLAS

CRA

ICO / DSIT

LGPD (Brasilien)

Marco Legal IA (Brasilien)

Colorado SB-205

Canada AIDA

Singapore AI Governance

OECD AI Principles

South Korea AI Basic Act

Was Regula nicht tut

Ein Konformitätstool, das seine Fähigkeiten übertreibt, ist schlimmer als gar kein Tool. Hier ist, was Regula tatsächlich ist — und was nicht.

Keine Rechtsberatung

Regula identifiziert Risikoindikatoren im Code für die Überprüfung durch Entwickler. Es stellt keine Konformität fest. Ein qualifizierter Rechtsanwalt sollte jede Klassifizierung prüfen, bevor Sie darauf handeln.

Mustererkennung, nicht Verständnis

15,2% Präzision bei Open-Source-Codebasen auf INFO-Stufe. 0 Falsch-Positive auf BLOCK-Stufe (der CI-Standard). Veröffentlichter Benchmark →

Gerüste, nicht Substanz

Anhang-IV-Dokumente, Evidenzpakete und Governance-Gerüste sind vorausgefüllte Vorlagen. Ein Mensch muss sie mit inhaltlicher Substanz vervollständigen. Regula kann nicht verifizieren, dass ein Risikomanagementsystem tatsächlich funktioniert.

Vollständige Einschränkungen →

Wir scannen uns selbst

Regulas eigene Codebasis wird bei jedem Commit gescannt. Hier ist, was passiert.

71 von 85 Quelldateien unterdrückt

83,5% von Regulas eigenen Python-Dateien erfordern # regula-ignore-Kommentare. Ein Konformitätstool, das verbotene Praktiken bespricht, muss das Vokabular verbotener Praktiken enthalten. Das ist strukturell, kein Fehler.

0 aktive Befunde, 31 unterdrückt

Fünf Dateien enthalten Vokabular verbotener Praktiken (sie erklären, dokumentieren oder erkennen diese Praktiken). Alle fünf werden über # regula-ignore unterdrückt. Der Scan meldet null aktive verbotene Befunde — die Unterdrückung funktioniert, und jede Unterdrückung ist eine dokumentierte Governance-Entscheidung.

Was das bedeutet

Ein Tool zu haben ist nicht dasselbe wie Governance zu haben. Jede Unterdrückung ist eine Mikro-Governance-Entscheidung, die menschliches Urteilsvermögen über Kontext, Absicht und Zweck erfordert — genau das, was das EU-KI-Gesetz verlangt.

Wo Regula in den Markt passt.

Ein entwicklerseitiger Static-Scanner. Eines von mehreren Tools im EU-KI-Gesetz-Ökosystem — jedes löst einen anderen Teil des Problems.

Governance-SaaS

Vertrieb kontaktieren

Credo AI, Saidot, Enzai, IBM watsonx.governance, Microsoft Purview. Evidenz-Workflows, Kontrollbibliotheken, kontinuierliche Überwachung, Richtlinien-Updates durch Rechtsexperten. Gebaut für Compliance-Abteilungen, nicht für Entwickler. Keine veröffentlichten Preise.

Runtime-Tests

Open Source

Garak, Giskard, Promptfoo. Prompt-Injection-, Jailbreak- und Bias-Red-Teaming gegen laufende Modelle. Ergänzend zu Regula, nicht überlappend — sie testen Verhalten, Regula liest Code.

Regula

Kostenlos & Open Source

Static-Code-Scanner. Läuft auf Ihrem Laptop mit einem Befehl. Python-Kern nur aus der Standardbibliothek, null Produktionsabhängigkeiten, vollständig offline. pipx install regula-ai, Projekt scannen, klare Antwort erhalten. MIT-Lizenz.

	Regula	AIR Blackbox	Systima Comply	EuConform	Enterprise SaaS
Ansatz	Static code scan	Scan + runtime trust layers	AST-based scan	Questionnaire + bias eval	Platform / dashboard
Sprachen	8 families	Python	JS/TS	N/A	N/A
Erkennungsmuster	404	48 checks	37+ frameworks	Questionnaire	Varies
Abhängigkeiten	Zero (stdlib)	Multiple	npm	Next.js + Ollama	SaaS
Offline	Fully offline	Local	Local	Local + Ollama	Cloud
Evidenzsignierung	Ed25519 + RFC 3161	—	—	—	Varies
Framework-Zuordnungen	12	3	EU AI Act	EU AI Act	Multiple
CI/CD-Integration	GitHub Action + SARIF	GitHub Action	GitHub Action	—	Native
Anhang-IV-Doku	Free	—	—	PDF reports	Built-in
Preis	Free (MIT)	Free (Apache 2.0)	Free (OSS)	Free (MIT + EUPL)	$30K–$200K/yr

Wählen Sie das Tool, dessen Sprachabdeckung und Kompromisse zu Ihrem Stack passen. Regula deckt die meisten Sprachen und Framework-Zuordnungen unter den oben genannten Open-Source-Optionen ab. Für Runtime-Agent-Governance siehe Microsofts Agent Governance Toolkit.

Aktuelles aus dem Blog

Analysen zu KI-Regulierung und Compliance-Mustern.

Regulation