Readiness assessment for the Artificial Intelligence Act : with a requirements catalogue in the field of critical infrastructure

Abstract

The integration of Artificial Intelligence (AI) into critical infrastructure presents both opportunities and challenges. Compliance with regulations, such as the EU's Artificial Intelligence Act, is therefore crucial but can be challenging and resource intensive. This thesis aims to address this issue by developing a requirements catalogue for AI system providers in critical infrastructure to assess compliance with the AI Act. The research explored AI's application in infrastructure domains like water, electricity, heating, gas, and road traffic management. The Design Science Research framework, along with a Systematic Literature Review (SLR), the Technology Acceptance Model, and the System Usability Scale, were used as methodological approaches. Interviews and surveys with Information Security experts evaluated the usefulness of the catalogue. The SLR revealed that AI has been integrated into all critical infrastructure domains, with road traffic management showing the most significant concentration. The developed requirements catalogue was well accepted, with high perceived usefulness and ease of use, supported by an average SUS score of 92.9%. It offers several benefits to organisations seeking compliance, including time and resource savings, a clear presentation of requirements, shared understanding among team members and aid in contextualising requirements. Visualisations such as spider graphs and heatmaps enhance the interpretation of requirements and identify areas requiring further action. The catalogue also calculates the maturity level as an indicator of overall compliance. In conclusion, this thesis emphasises the valuable role of the requirements catalogue in navigating AI integration into critical infrastructure, providing clarity and guidance throughout the compliance process.

Die Integration von künstlicher Intelligenz (KI) in kritische Infrastrukturen bietet immense Chancen und stellt zugleich bedeutende Herausforderungen dar. Der Artificial Intelligence Act der EU zielt darauf ab, diese Systeme zu regulieren. Compliance mit dieser Verordnung ist jedoch anspruchsvoll und ressourcenintensiv. In dieser Arbeit wurde ein Anforderungskatalog für Anbieter von KI-Systemen in kritischer Infrastruktur entwickelt, um die Einhaltung der Verordnung zu bewerten. Die Forschung untersuchte Anwendungsbereiche von KI in Bereichen wie Wasser-, Strom-, Heizungs-, Gasversorgung und Verkehrsmanagement. Methodisch wurden das Design-Science-Research-Framework, eine systematische Literaturrecherche, das Technologieakzeptanzmodell und die System Usability Scale verwendet. Interviews und Umfragen mit Informationssicherheitsexperten führten zu einer Bewertung der Nützlichkeit des Katalogs. Die Ergebnisse der systematischen Literaturrecherche zeigten, dass KI in allen Bereichen der kritischen Infrastruktur integriert ist, wobei das Verkehrsmanagement die größte Konzentration demonstriert. Der entwickelte Anforderungskatalog wurde als hilfreiches Tool mit hoher Benutzerfreundlichkeit wahrgenommen. Er bietet Vorteile wie Zeit- und Ressourceneinsparungen, klare Darstellung der Anforderungen, gemeinsames Verständnis und Kontextualisierung der Anforderungen. Visualisierungen wie Spider-Graphen und Heatmaps verbessern zusätzlich die Interpretation der Anforderungen. Der Katalog berechnet auch den Reifegrad als Indikator für die Gesamt-Compliance. Zusammenfassend betont diese Arbeit die wertvolle Rolle des Anforderungskatalogs bei der Navigation durch die komplexe Landschaft der KI-Anforderungen und als Leitfaden für die Integration von KI in kritische Infrastrukturen.