Zum Inhalt springen

Third-Party AI Readiness

Third-Party AI Cyber Readiness Check

Systematische Bewertung der KI-Cyber-Readiness von Drittanbietern und Dienstleistern gemäss EU Action Plan und ECB CEO Letter.

Note: Diese Inhalte sind generische Umsetzungshilfen und ersetzen keine Rechtsberatung, keine aufsichtsrechtliche Auslegung, keine aufsichtsverbindliche Einreichung und keine institutsspezifische Prüfung.

3

Hohes/Kritisches KI-Risiko

1

Niedriges KI-Risiko

6

Dienstleister-Typen

30

Prüfkriterien

Cloud-AI-Plattform (z.B. Azure AI, AWS SageMaker, GCP Vertex)

KI-Risiko: hoch Kritikalität: kritisch

Prüfkriterien

  • KI-Modell-Isolation zwischen Mandanten
  • Verschlüsselung von Trainingsdaten
  • Zertifizierungen (ISO 27001, SOC 2, PCI DSS)
  • KI-spezifisches Incident-Response-Verfahren
  • Transparenz über KI-Sicherheitsmassnahmen

Erforderliche Nachweise

ISO 27001 Zertifikat, SOC 2 Bericht, KI-Sicherheitsrichtlinie

KI-Modell-Anbieter (API-basierte LLMs, Embedding-Modelle)

KI-Risiko: kritisch Kritikalität: kritisch

Prüfkriterien

  • Modellherkunft und Trainingsdaten-Transparenz
  • Input-/Output-Filtermechanismen
  • Datenschutz-Folgenabschätzung (DPIA)
  • Vertragliche Regelung zu Model Extraction
  • SLA für Sicherheitsupdates und Patches

Erforderliche Nachweise

Modellkarte (Model Card), DPIA, Sicherheits-SLA

KI-Entwicklungsplattform (Jupyter, MLFlow, Weights & Biases)

KI-Risiko: mittel Kritikalität: hoch

Prüfkriterien

  • Zugriffskontrollen und Authentifizierung
  • Datenverschlüsselung (Ruhend, in Transit)
  • Audit-Logging aller Aktivitäten
  • Sicherheitsupdates und Patch-Management
  • Multi-Tenant-Isolation

Erforderliche Nachweise

SOC 2 Bericht, Pentest-Berichte, Sicherheitsdokumentation

KI-Komponenten im Auslagerungsvertrag (SaaS mit KI-Funktionen)

KI-Risiko: hoch Kritikalität: hoch

Prüfkriterien

  • KI-Funktionen im Leistungsumfang eindeutig definiert
  • Haftung für KI-Fehlentscheidungen geregelt
  • Auditrechte für KI-Prozesse
  • Datenschutz und Datenherkunft der KI-Komponente
  • Exit-Szenario bei Ausfall des KI-Dienstes

Erforderliche Nachweise

Vertragsklauseln, Notfallkonzept, Auditleistungsvereinbarung

Open-Source-KI-Bibliotheken mit Wartungsvertrag

KI-Risiko: mittel Kritikalität: mittel

Prüfkriterien

  • Wartungs- und Support-Umfang
  • SLA für Sicherheitsupdates
  • SBOM-Bereitstellung
  • Transparenz über bekannte Schwachstellen
  • Kommunikationsweg bei kritischen CVEs

Erforderliche Nachweise

Wartungsvertrag, SBOM, CVE-Reporting-Prozess

KI-Beratungs- und Integrationsdienstleister

KI-Risiko: niedrig Kritikalität: mittel

Prüfkriterien

  • Sicherheitsqualifikation der Berater
  • Zugriff auf sensible Daten und Systeme
  • NDA und Vertraulichkeitsvereinbarungen
  • Sicherheitsreview der erstellten KI-Lösungen
  • Haftungsregelung für KI-Fehlfunktionen

Erforderliche Nachweise

Sicherheitszertifikate, Referenzen, Haftungsvereinbarung

Third-Party Readiness prüfen?

Vereinbaren Sie ein Pilotgespräch für den Third-Party AI Cyber Readiness Check.

Pilotgespräch anfragen