Zum Inhalt springen

Board & JST Evidence

Board & JST Evidence Pack

Strukturierte Evidence-Kategorien für die nachweisbare Umsetzung der aufsichtlichen Erwartungen an KI-Cyber-Resilienz – für Vorstand, Gesamtbanksteuerung und Prüfung.

Note: Diese Inhalte sind generische Umsetzungshilfen und ersetzen keine Rechtsberatung, keine aufsichtsrechtliche Auslegung, keine aufsichtsverbindliche Einreichung und keine institutsspezifische Prüfung.

7

Hohe Prüfungsrelevanz

3

Mittlere Prüfungsrelevanz

40

Erforderliche Dokumente

10

Evidence-Kategorien

KI-Cyber-Strategie & Governance

EVI-AI-01

Hoch – Grundlage der aufsichtlichen Prüfung Jährlich

Nachweise zur KI-Cyber-Sicherheitsstrategie, Governance-Struktur und Rollenverteilung.

Erforderliche Dokumente

  • KI-Cyber-Sicherheitsstrategie
  • KI-Governance-Richtlinie
  • Rollen- und Verantwortlichkeitsmatrix
  • Vorstandsbeschluss zur KI-Cyber-Strategie

Eigentümer & Prüfungszyklus

Verantwortlich

Vorstand / CISO

Prüfungszyklus

Jährlich

Angriffsflächenanalyse & -management

EVI-AI-02

Hoch – Schlüsselthema des ECB CEO Letter Quartalsweise

Nachweise zur systematischen Erfassung, Bewertung und Reduzierung der KI-bedingten Angriffsfläche.

Erforderliche Dokumente

  • Angriffsflächenanalyse (KI-spezifisch)
  • Asset-Inventar mit KI-Komponenten
  • Priorisierungsmatrix
  • Massnahmenplan zur Angriffsflächenreduzierung

Eigentümer & Prüfungszyklus

Verantwortlich

CISO / IT-Sicherheit

Prüfungszyklus

Quartalsweise

Vulnerability & Patch Readiness

EVI-AI-03

Hoch – DORA Art. 10, ECB CEO Letter Monatlich

Nachweise zur Patch-Fähigkeit und Einhaltung der aufsichtlich erwarteten Zeitfenster.

Erforderliche Dokumente

  • Patch-Readiness-Bericht
  • Schwachstellenmanagement-Richtlinie
  • Patch-Zyklus-Dokumentation
  • Abweichungsanalyse und Risikoakzeptanz

Eigentümer & Prüfungszyklus

Verantwortlich

CISO / IT-Betrieb

Prüfungszyklus

Monatlich

KI-Detection-Coverage

EVI-AI-04

Hoch – Aufsichtliche Erwartung an AI-enabled Detection Quartalsweise

Nachweise zur Erkennungsabdeckung von KI-spezifischen Angriffsmustern.

Erforderliche Dokumente

  • Detection-Coverage-Matrix
  • SIEM-Regelwerke für KI-Angriffe
  • Lückenanalyse und Verbesserungsplan
  • Testnachweise für Detection-Regeln

Eigentümer & Prüfungszyklus

Verantwortlich

SOC / CISO

Prüfungszyklus

Quartalsweise

Third-Party-KI-Readiness

EVI-AI-05

Hoch – DORA Art. 28-30, EU Action Plan Jährlich

Nachweise zur Bewertung und Überwachung der KI-Cyber-Readiness kritischer Dienstleister.

Erforderliche Dokumente

  • KI-Readiness-Bewertung je Dienstleister
  • Vertragsklauseln zu KI-Sicherheit
  • Lieferketten-Risikomatrix
  • Auditberichte zu KI-Dienstleistern

Eigentümer & Prüfungszyklus

Verantwortlich

Auslagerungsmanagement / CISO

Prüfungszyklus

Jährlich

Defence-in-Depth-Reifegrad KI

EVI-AI-06

Mittel – Bestätigende Evidenz für Gesamtsicherheit Jährlich

Nachweise zur mehrschichtigen Verteidigungsarchitektur für KI-Umgebungen.

Erforderliche Dokumente

  • Defence-in-Depth-Architekturzeichnung (KI)
  • Reifegradbewertung je Verteidigungsschicht
  • Massnahmenplan zur Lückenschliessung
  • Penetrationstestberichte für KI-Umgebungen

Eigentümer & Prüfungszyklus

Verantwortlich

CISO / Sicherheitsarchitektur

Prüfungszyklus

Jährlich

KI-Cyber-Krisenmanagement

EVI-AI-07

Hoch – DORA Art. 24-27, ECB CEO Letter Jährlich

Nachweise zur Vorbereitung auf KI-spezifische Cyber-Krisen inkl. Übungen und Szenarien.

Erforderliche Dokumente

  • KI-Cyber-Krisenszenarien
  • Übungsdokumentation
  • Nachbereitungsberichte
  • Verbesserungsmassnahmen aus Übungen

Eigentümer & Prüfungszyklus

Verantwortlich

BCM / CISO

Prüfungszyklus

Jährlich

KI-Cyber-Kompetenz & Personal

EVI-AI-08

Mittel – Personalausstattung als Prüfungsgegenstand Jährlich

Nachweise zur personellen Ausstattung und Qualifizierung im KI-Cyber-Bereich.

Erforderliche Dokumente

  • Skill-Gap-Analyse KI-Cyber
  • Qualifizierungsplan
  • Stellenbesetzungsnachweise
  • Schulungsnachweise und Zertifikate

Eigentümer & Prüfungszyklus

Verantwortlich

CISO / Personalabteilung

Prüfungszyklus

Jährlich

Open-Source-KI-Resilience

EVI-AI-09

Mittel – DORA Art. 8-9, Supply-Chain-Sicherheit Quartalsweise

Nachweise zum Management von Open-Source-Risiken in KI-Umgebungen.

Erforderliche Dokumente

  • OSS-KI-Inventar
  • SBOMs für KI-Anwendungen
  • Lizenzregister KI-Komponenten
  • OSS-Sicherheitsrichtlinie

Eigentümer & Prüfungszyklus

Verantwortlich

DevSecOps / CISO

Prüfungszyklus

Quartalsweise

JST- und Board-Reporting zu KI-Cyber

EVI-AI-10

Hoch – Management-Reporting als Prüfungsgegenstand Monatlich

Nachweise zur Berichterstattung an Vorstand und Gesamtbanksteuerung über KI-Cyber-Risiken.

Erforderliche Dokumente

  • KI-Cyber-Monatsbericht an Vorstand
  • JST-KI-Cyber-Dashboard
  • Entscheidungsvorlagen
  • Protokolle der Vorstandssitzungen zu KI-Cyber

Eigentümer & Prüfungszyklus

Verantwortlich

Vorstand / CISO

Prüfungszyklus

Monatlich

Board-Evidence aufbauen?

Vereinbaren Sie ein Pilotgespräch für den Board & JST Evidence Pack.

Pilotgespräch anfragen