Illinois verabschiedet wegweisendes KI-Sicherheitsgesetz – erster Bundesstaat mit verpflichtenden Audits für Frontier-Modelle

Die Abgeordneten von Illinois haben am Mittwoch ein wegweisendes KI-Sicherheitsgesetz an Gouverneur J.B. Pritzker überwiesen, nachdem es das Repräsentantenhaus mit 110 zu 0 und den Senat mit 52 zu 5 Stimmen passiert hatte – Pritzker hat öffentlich erklärt, dass er es unterzeichnen werde. Wenn er dies tut, wird Illinois der erste Bundesstaat der USA, der unabhängige Sicherheitsaudits durch Dritte für große Frontier-KI-Entwickler vorschreibt.

Was der Gesetzentwurf vorsieht

Senatsgesetzentwurf 315, offiziell als 'Gesetz über Sicherheitsmaßnahmen für Künstliche Intelligenz' (Artificial Intelligence Safety Measures Act) bezeichnet, gilt für KI-Entwickler mit einem Jahresumsatz von mehr als 500 Millionen US-Dollar. Davon betroffen sind unter anderem Anthropic, OpenAI, Google DeepMind und Meta AI.

Die betroffenen Unternehmen müssen einen veröffentlichten Rahmen schaffen und jährlich aktualisieren, der die Bewertung katastrophaler Risiken, Risikominderungsstrategien, Cybersicherheitspraktiken, interne Governance und Bewertungen durch Dritte abdeckt. Über die Veröffentlichung von Rahmenwerken hinaus müssen sie offenlegen, wie sie 'kritische Sicherheitsvorfälle' identifizieren und darauf reagieren – und diese Vorfälle innerhalb von 72 Stunden nach ausreichendem Grund zur Annahme, dass einer eingetreten ist, der Illinois Emergency Management Agency und dem Generalstaatsanwalt melden. Stellt der Vorfall ein unmittelbares Risiko von Tod oder schwerer körperlicher Schädigung dar, verkürzt sich diese Frist auf 24 Stunden.

Die Auditpflicht ist die bedeutendste Bestimmung des Gesetzes. Ab dem 1. Januar 2028 müssen große Entwickler jährliche unabhängige Sicherheitsaudits durch Dritte durchführen lassen – eine Anforderung, die es auf Bundesebene oder in keinem anderen US-Bundesstaat gibt.

Das Gesetz enthält auch Whistleblower-Schutz für Mitarbeiter, die Sicherheitsbedenken äußern, und verpflichtet Unternehmen zur Einrichtung eines anonymen internen Meldeverfahrens. Der Generalstaatsanwalt von Illinois erhält zivilrechtliche Durchsetzungsbefugnisse gegen nicht konforme Unternehmen.

Die Politik hinter der Abstimmung

Die hauptverantwortliche Senatorin für den Gesetzentwurf, die Demokratin Mary Edly-Allen aus Grayslake, hat die derzeitige KI-Regulierungslandschaft als 'Wilden Westen' bezeichnet. Der Abgeordnete Daniel Didech, der den Gesetzentwurf im Repräsentantenhaus einbrachte, sagte vor seinen Kollegen im Plenum, KI habe 'das Potenzial, die Lebensqualität der Menschen weltweit drastisch zu verbessern, jedoch nur, wenn sie verantwortungsvoll eingesetzt und entwickelt wird.'

Die nahezu einstimmige Abstimmung im Repräsentantenhaus (110 zu 0) spiegelt eine ungewöhnlich breite überparteiliche Einigung wider. Die Demokraten in Illinois bringen in dieser Sitzung ein Paket KI-bezogener Gesetze auf den Weg und bezeichnen diese explizit als Antwort auf die Untätigkeit des Bundes bei der KI-Regulierung. Illinois orientiert sich dabei an ähnlichen Gesetzen in New York und Kalifornien, mit dem Ziel, einen faktischen nationalen Standard für Bundesstaaten zu schaffen, die ihn übernehmen möchten.

Was es für die Branche bedeutet

Ein 72-Stunden-Fenster für die Meldung von Vorfällen ist bemerkenswert streng – beispielsweise strenger als die 72-Stunden-Meldepflicht gemäß der DSGVO und vergleichbar mit den SEC-Regeln zur Meldung von Cybersicherheitsvorfällen. Für KI-Unternehmen wird die Definition dessen, was einen 'kritischen Sicherheitsvorfall' ausmacht, eine große Herausforderung bei der Umsetzung darstellen.

Die verpflichtenden jährlichen Audits stellen eine erhebliche Compliance-Belastung dar. Derzeit gibt es kein etabliertes Audit-Ökosystem für Sicherheitspraktiken von Frontier-KI, was bedeutet, dass Unternehmen und externe Prüfer vor dem Inkrafttreten 2028 Methodiken von Grund auf entwickeln müssen. Diese Lücke wird sofort zum Fokus von Standardisierungsgremien, Wirtschaftsprüfungsgesellschaften und der Branche selbst werden.

Das Gesetz wurde mit Unterstützung mehrerer KI-Unternehmen verabschiedet, was darauf hindeutet, dass die Branche eine Regulierung auf Bundesstaatsebene einem Flickenteppich restriktiverer lokaler Gesetze vorzieht – oder als Absicherung gegen weniger vorhersehbare Bundesgesetze. Wie Capitol News Illinois berichtete, bezeichnen Befürworter SB 315 als 'nur den ersten Schritt'.