Board & JST Evidence
Board & JST Evidence Pack
Strukturierte Evidence-Kategorien für die nachweisbare Umsetzung der aufsichtlichen Erwartungen an KI-Cyber-Resilienz – für Vorstand, Gesamtbanksteuerung und Prüfung.
7
Hohe Prüfungsrelevanz
3
Mittlere Prüfungsrelevanz
40
Erforderliche Dokumente
10
Evidence-Kategorien
KI-Cyber-Strategie & Governance
EVI-AI-01
Nachweise zur KI-Cyber-Sicherheitsstrategie, Governance-Struktur und Rollenverteilung.
Erforderliche Dokumente
- • KI-Cyber-Sicherheitsstrategie
- • KI-Governance-Richtlinie
- • Rollen- und Verantwortlichkeitsmatrix
- • Vorstandsbeschluss zur KI-Cyber-Strategie
Eigentümer & Prüfungszyklus
Verantwortlich
Vorstand / CISO
Prüfungszyklus
Jährlich
Angriffsflächenanalyse & -management
EVI-AI-02
Nachweise zur systematischen Erfassung, Bewertung und Reduzierung der KI-bedingten Angriffsfläche.
Erforderliche Dokumente
- • Angriffsflächenanalyse (KI-spezifisch)
- • Asset-Inventar mit KI-Komponenten
- • Priorisierungsmatrix
- • Massnahmenplan zur Angriffsflächenreduzierung
Eigentümer & Prüfungszyklus
Verantwortlich
CISO / IT-Sicherheit
Prüfungszyklus
Quartalsweise
Vulnerability & Patch Readiness
EVI-AI-03
Nachweise zur Patch-Fähigkeit und Einhaltung der aufsichtlich erwarteten Zeitfenster.
Erforderliche Dokumente
- • Patch-Readiness-Bericht
- • Schwachstellenmanagement-Richtlinie
- • Patch-Zyklus-Dokumentation
- • Abweichungsanalyse und Risikoakzeptanz
Eigentümer & Prüfungszyklus
Verantwortlich
CISO / IT-Betrieb
Prüfungszyklus
Monatlich
KI-Detection-Coverage
EVI-AI-04
Nachweise zur Erkennungsabdeckung von KI-spezifischen Angriffsmustern.
Erforderliche Dokumente
- • Detection-Coverage-Matrix
- • SIEM-Regelwerke für KI-Angriffe
- • Lückenanalyse und Verbesserungsplan
- • Testnachweise für Detection-Regeln
Eigentümer & Prüfungszyklus
Verantwortlich
SOC / CISO
Prüfungszyklus
Quartalsweise
Third-Party-KI-Readiness
EVI-AI-05
Nachweise zur Bewertung und Überwachung der KI-Cyber-Readiness kritischer Dienstleister.
Erforderliche Dokumente
- • KI-Readiness-Bewertung je Dienstleister
- • Vertragsklauseln zu KI-Sicherheit
- • Lieferketten-Risikomatrix
- • Auditberichte zu KI-Dienstleistern
Eigentümer & Prüfungszyklus
Verantwortlich
Auslagerungsmanagement / CISO
Prüfungszyklus
Jährlich
Defence-in-Depth-Reifegrad KI
EVI-AI-06
Nachweise zur mehrschichtigen Verteidigungsarchitektur für KI-Umgebungen.
Erforderliche Dokumente
- • Defence-in-Depth-Architekturzeichnung (KI)
- • Reifegradbewertung je Verteidigungsschicht
- • Massnahmenplan zur Lückenschliessung
- • Penetrationstestberichte für KI-Umgebungen
Eigentümer & Prüfungszyklus
Verantwortlich
CISO / Sicherheitsarchitektur
Prüfungszyklus
Jährlich
KI-Cyber-Krisenmanagement
EVI-AI-07
Nachweise zur Vorbereitung auf KI-spezifische Cyber-Krisen inkl. Übungen und Szenarien.
Erforderliche Dokumente
- • KI-Cyber-Krisenszenarien
- • Übungsdokumentation
- • Nachbereitungsberichte
- • Verbesserungsmassnahmen aus Übungen
Eigentümer & Prüfungszyklus
Verantwortlich
BCM / CISO
Prüfungszyklus
Jährlich
KI-Cyber-Kompetenz & Personal
EVI-AI-08
Nachweise zur personellen Ausstattung und Qualifizierung im KI-Cyber-Bereich.
Erforderliche Dokumente
- • Skill-Gap-Analyse KI-Cyber
- • Qualifizierungsplan
- • Stellenbesetzungsnachweise
- • Schulungsnachweise und Zertifikate
Eigentümer & Prüfungszyklus
Verantwortlich
CISO / Personalabteilung
Prüfungszyklus
Jährlich
Open-Source-KI-Resilience
EVI-AI-09
Nachweise zum Management von Open-Source-Risiken in KI-Umgebungen.
Erforderliche Dokumente
- • OSS-KI-Inventar
- • SBOMs für KI-Anwendungen
- • Lizenzregister KI-Komponenten
- • OSS-Sicherheitsrichtlinie
Eigentümer & Prüfungszyklus
Verantwortlich
DevSecOps / CISO
Prüfungszyklus
Quartalsweise
JST- und Board-Reporting zu KI-Cyber
EVI-AI-10
Nachweise zur Berichterstattung an Vorstand und Gesamtbanksteuerung über KI-Cyber-Risiken.
Erforderliche Dokumente
- • KI-Cyber-Monatsbericht an Vorstand
- • JST-KI-Cyber-Dashboard
- • Entscheidungsvorlagen
- • Protokolle der Vorstandssitzungen zu KI-Cyber
Eigentümer & Prüfungszyklus
Verantwortlich
Vorstand / CISO
Prüfungszyklus
Monatlich
Board-Evidence aufbauen?
Vereinbaren Sie ein Pilotgespräch für den Board & JST Evidence Pack.
Pilotgespräch anfragen