Zum Inhalt springen

Regulatory Landscape

AI Act – KI-Governance für Finanzdienstleister

AI Act als KI-Governance-, Risiko- und Dokumentationsrahmen für Finanzdienstleister einordnen.

Management-Zusammenfassung

  • Der AI Act verfolgt einen risikobasierten Ansatz: verbotene Praktiken, Hochrisiko-KI, Transparenzpflichten und KI-Kompetenz.
  • Finanzdienstleister müssen KI-Systeme inventarisieren, klassifizieren und in das bestehende Risikomanagement integrieren.
  • Hochrisiko-KI-Systeme erfordern ein Risikomanagementsystem, Daten-Governance, technische Dokumentation und menschliche Aufsicht.
  • KI-Kompetenz muss institutsweit sichergestellt werden.
Update

AI Act Omnibus — Politische Einigung am 7. Mai 2026

Der AI Act Omnibus (Digital Simplification Package) wurde politisch geeinigt und bringt folgende Änderungen:

  • Hochrisiko-Fristen: Anwendung ab 2. Dezember 2027 (Bereiche) / 2. August 2028 (Produkte)
  • Verbot von KI-generierten nicht-einvernehmlichen Inhalten (Nudification-Apps)
  • KMU-Erleichterungen auf kleine Mid-Caps (SMCs) ausgeweitet
  • AI Office-Befugnisse gestärkt, Aufsicht zentralisiert
  • Regulatorische Sandboxen ausgebaut — inkl. EU-Sandbox
  • Formelle Annahme für Q3 2026 erwartet

Quelle: European Commission Press Release

KI-Governance-Rahmen

Die AI-Act-Anforderungen sollten in die bestehende IKT-Governance integriert werden. KI-Risikomanagement, Dokumentation und Überwachung ergänzen das IKT-Risikomanagement nach DORA.

AI-Governance-Karten

AIA-CTRL-001

KI-Inventar

Etabliert

Vollständiges Inventar aller eingesetzten KI-Systeme mit Klassifikation nach AI-Act-Risikokategorien.

Alle KI-Systeme im Unternehmen sind inventarisiert, nach Risikoklasse (verboten, hochrisiko, begrenzt, minimal) kategorisiert und einem verantwortlichen Fachbereich zugeordnet.

Art. 8 Art. 11 DORA MaRisk
Umsetzungsschritte anzeigen
  • KI-Inventarvorlage mit Feldern für Zweck, Risikoklasse, Datenquellen, Einsatzbereich und Verantwortlichen erstellen.
  • Bereichsübergreifende Inventurabfrage bei allen Fachbereichen durchführen.
  • Inventar mindestens halbjährlich aktualisieren und bei neuen KI-Systemen ergänzen.
Vollständiges KI-Inventar mit Risikoklassifikation Aktualisierungsnachweise (halbjährlich)
AIA-CTRL-002

KI-Kompetenz

Gesteuert

Rollenbasiertes Schulungsprogramm zur Sicherstellung ausreichender KI-Kompetenz im Unternehmen.

Alle Mitarbeiter, die mit KI-Systemen arbeiten, verfügen über nachgewiesene KI-Kompetenz entsprechend ihrer Rolle und Verantwortung.

Art. 4 DORA MaRisk
Umsetzungsschritte anzeigen
  • Kompetenzanforderungen je Rolle (Entwickler, Fachanwender, Führungskraft, Compliance) definieren.
  • Schulungsprogramm mit Grundlagen- und Vertiefungsmodulen aufsetzen.
  • Kompetenznachweise dokumentieren und regelmäßig auffrischen.
Schulungsplan und Teilnahmebescheinigungen Kompetenzmatrix je Rolle
AIA-CTRL-003

Hochrisiko-Einstufung

Etabliert

Prüfung und Dokumentation, ob KI-Systeme als Hochrisiko-KI nach AI Act einzustufen sind.

Jedes KI-System durchläuft eine dokumentierte Hochrisiko-Prüfung nach AI Act Anhang III. Die Einstufung wird bei wesentlichen Änderungen überprüft.

Art. 6 Art. 7 Anhang III DORA MaRisk
Umsetzungsschritte anzeigen
  • Prüfschema basierend auf AI Act Anhang III erstellen.
  • Hochrisiko-Prüfung für jedes KI-System vor Inbetriebnahme durchführen.
  • Einstufung bei Systemänderungen, Zweckänderungen oder neuen regulatorischen Vorgaben aktualisieren.
Hochrisiko-Einstufung je KI-System Prüfprotokolle mit Datum und verantwortlicher Stelle
AIA-CTRL-004

KI-Risikobewertung

Initial

Risikomanagementsystem für Hochrisiko-KI-Systeme mit Identifikation, Analyse und Behandlung von Risiken.

Ein kontinuierlicher Risikomanagementprozess für Hochrisiko-KI identifiziert, bewertet und behandelt Risiken für Gesundheit, Sicherheit und Grundrechte.

Art. 9 DORA MaRisk
Umsetzungsschritte anzeigen
  • Risikomanagementsystem für KI nach AI Act Art. 9 aufbauen.
  • Risikoanalyse für jedes Hochrisiko-KI-System vor Marktbetritt durchführen.
  • Risikobehandlungsmaßnahmen ableiten, umsetzen und auf Wirksamkeit prüfen.
KI-Risikobewertung je Hochrisiko-System Risikobehandlungsplan mit Maßnahmenstatus
AIA-CTRL-005

Daten-Governance

Initial

Daten-Governance-Praktiken für Trainings-, Validierungs- und Testdatensätze von KI-Systemen.

Für Hochrisiko-KI-Systeme gelten Daten-Governance-Anforderungen hinsichtlich Herkunft, Umfang, Repräsentativität, Fehlerfreiheit und Vollständigkeit der Datensätze.

Art. 10 DORA MaRisk
Umsetzungsschritte anzeigen
  • Daten-Governance-Richtlinie für KI-Trainingsdaten erstellen.
  • Prüfprozess für Datenqualität, Verzerrungen und ethische Zulässigkeit etablieren.
  • Datenherkunft und -verarbeitung für Prüfzwecke dokumentieren.
Daten-Governance-Richtlinie für KI-Systeme Dokumentation der Trainings-, Validierungs- und Testdatensätze
AIA-CTRL-006

Technische Dokumentation

Etabliert

Erstellung und Pflege der technischen Dokumentation für KI-Systeme nach AI-Act-Vorgaben.

Die technische Dokumentation jedes Hochrisiko-KI-Systems enthält alle nach AI Act Anhang IV geforderten Angaben und wird laufend aktualisiert.

Art. 11 Anhang IV DORA MaRisk
Umsetzungsschritte anzeigen
  • Dokumentationsvorlage nach AI Act Anhang IV erstellen.
  • Für jedes Hochrisiko-KI-System die technische Dokumentation pflegen.
  • Dokumentation vor Inbetriebnahme und bei wesentlichen Änderungen aktualisieren.
Technische Dokumentation je Hochrisiko-KI-System Versionshistorie mit Änderungsdatum
AIA-CTRL-007

Menschliche Aufsicht

Initial

Maßnahmen zur Sicherstellung menschlicher Aufsicht über KI-Systeme.

Hochrisiko-KI-Systeme sind so konzipiert, dass natürliche Personen sie wirksam überwachen, Eingriffe vornehmen und Entscheidungen außer Kraft setzen können.

Art. 14 DORA MaRisk
Umsetzungsschritte anzeigen
  • Aufsichtsmaßnahmen für jedes Hochrisiko-KI-System definieren (Überwachung, Eingriff, Abbruch).
  • Berechtigte und geschulte Aufsichtspersonen benennen.
  • Aufsichtsprotokolle führen und regelmäßig auf Wirksamkeit prüfen.
Aufsichtskonzept je Hochrisiko-KI-System Aufsichtsprotokolle und Eingriffshistorie
AIA-CTRL-008

Aufzeichnung und Logging

Gesteuert

Aufzeichnungspflichten für automatisch generierte Logs bei Hochrisiko-KI-Systemen.

Hochrisiko-KI-Systeme zeichnen Ereignisse automatisch auf. Die Logs ermöglichen die Nachvollziehbarkeit von Entscheidungen und die Identifikation von Anomalien.

Art. 12 DORA MaRisk
Umsetzungsschritte anzeigen
  • Logging-Anforderungen für jedes Hochrisiko-KI-System festlegen.
  • Automatische Protokollierung von Ereignissen (Eingaben, Ausgaben, Systemzustände) implementieren.
  • Logs mindestens 6 Monate aufbewahren und regelmäßig auf Anomalien prüfen.
Logging-Konfiguration und Aufbewahrungsrichtlinie Automatisch generierte Logs mit Zeitstempel
AIA-CTRL-009

Robustheit und Cybersicherheit

Gesteuert

Maßnahmen zur Sicherstellung von Genauigkeit, Robustheit und Cybersicherheit von KI-Systemen, einschließlich Abwehr von Frontier-AI-gestützten Angriffen gemäß ESRB-Warning 07/2026.

Hochrisiko-KI-Systeme sind gegen Missbrauch, Manipulation und cyberangriffe geschützt. Genauigkeit und Robustheit werden kontinuierlich überwacht. Die besondere Beschleunigung von Angriffen durch Frontier-AI-Modelle wird durch angepasste Reaktionszeiten und automatisierte Abwehr berücksichtigt.

Art. 15 DORA MaRisk
Umsetzungsschritte anzeigen
  • Genauigkeits- und Robustheitsschwellen für jedes Hochrisiko-KI-System festlegen.
  • Cybersicherheitsmaßnahmen spezifisch für KI-Systeme (Adversarial Robustness, Model Poisoning, Prompt Injection) umsetzen.
  • Regelmäßige Tests der KI-Sicherheit inklusive Adversarial-ML- und Frontier-AI-Angriffssimulationen durchführen.
  • Automatisierte Abwehrmaßnahmen für KI-spezifische Angriffsmuster implementieren (Model-Isolation, Fallback-Systeme).
  • Patch- und Reaktionszeiten an die durch Frontier-AI verkürzten Exploit-Fenster anpassen (sub-4h-Kritikalitätsfenster).
Genauigkeits- und Robustheitsberichte KI-Sicherheitstests und Penetrationstests inkl. Adversarial ML Frontier-AI-Angriffssimulations-Protokolle Automatisierte Abwehr-Playbooks für KI-Angriffsszenarien
AIA-CTRL-011

Frontier-AI-Cyber-Resilience und strategische Autonomie

Initial

Adressierung der durch Frontier-AI-Modelle entstehenden systemischen Cyberrisiken gemäß ESRB-Warning und ESA-Unterstützungserklärung vom 07.07.2026.

Die Organisation verfügt über einen Frontier-AI-Cyber-Resilience-Plan, der die gesteigerte Geschwindigkeit, Skalierung und Raffinesse von KI-gestützten Angriffen adressiert. Geopolitische Abhängigkeiten von nicht-EU-AI-Providern sind identifiziert und werden gesteuert.

Art. 4 Art. 9 Art. 15 DORA MaRisk
Umsetzungsschritte anzeigen
  • Frontier-AI-Cyber-Resilience-Plan basierend auf ESRB-Warning und ESA-Leitlinien erstellen.
  • Szenarioanalyse zu KI-Augmented-Angriffen (autonome Vulnerability-Discovery, KI-gesteuerte Angriffsketten) durchführen.
  • Sub-hour Incident-Response-Fähigkeit für kritische Systeme aufbauen.
  • Strategische Abhängigkeiten von nicht-EU-Frontier-AI-Providern bewerten und Diversifizierungsstrategie entwickeln.
  • Kompetenzaufbau zu Frontier-AI-Cyber-Risiken im Leitungsorgan und in Schlüsselrollen.
  • Regelmäßiges Reporting an die Geschäftsleitung über Frontier-AI-Bedrohungslage und Abwehrreife.
Frontier-AI-Cyber-Resilience-Plan KI-Augmented-Angriffsszenario-Analyse Incident-Response-Übungsprotokolle mit sub-hour-Zielen AI-Provider-Diversifizierungsstrategie Frontier-AI-Kompetenznachweise des Leitungsorgans
AIA-CTRL-010

Drittparteien-/Anbietersteuerung

Etabliert

Steuerung von KI-Systemen, die von Drittanbietern bezogen werden.

Bezogene KI-Systeme und -Komponenten von Drittanbietern durchlaufen denselben Prüf- und Steuerungsprozess wie Eigenentwicklungen.

Art. 16 Art. 25 DORA MaRisk
Umsetzungsschritte anzeigen
  • Anbieter von KI-Komponenten identifizieren und klassifizieren.
  • Vertragliche Sicherheits- und Dokumentationsanforderungen festlegen.
  • Konformitätserklärungen und CE-Kennzeichnung der Anbieter einfordern und prüfen.
Lieferantenklassifizierung für KI-Komponenten Konformitätserklärungen der KI-Anbieter

DORA-/Cyber-Risk-Anschluss

KI-Systeme in Finanzdienstleistungen berühren mehrere regulatorische Ebenen: Der AI Act regelt KI-spezifische Anforderungen, DORA adressiert die IKT-Resilienz, das Cyber Risk Framework die Cybersicherheit. Gemeinsame Berührungspunkte sind Risikomanagement, technische Dokumentation, Aufzeichnungspflichten und die Steuerung von Drittanbietern.

AI Act

Risikoklassifikation, KI-Kompetenz, Dokumentation, Aufsicht, Robustheit

DORA

IKT-Risikomanagement, Tests, Incident-Response, Drittparteiensteuerung

Cyber Risk

Cyber-Sicherheitsmaßnahmen, Schwachstellenmanagement, Monitoring

Nachweise AI Act

EVD-AIA-001 KI-Inventar (vollständig) KI-Governance · Halbjährlich
EVD-AIA-002 KI-Kompetenznachweise Personalentwicklung · Jährlich
EVD-AIA-003 Hochrisiko-Einstufung je KI-System KI-Governance / Compliance · Bei Änderung
EVD-AIA-004 KI-Risikobewertung Risikocontrolling · Jährlich
EVD-AIA-005 Technische Dokumentation KI-Entwicklung / Datenmanagement · Bei Änderung
EVD-AIA-006 Aufzeichnungen und Logs IT-Betrieb · Kontinuierlich
EVD-AIA-007 Daten-Governance-Nachweise Datenmanagement · Jährlich
EVD-AIA-008 Aufsichtsprotokolle Fachbereich · Kontinuierlich
EVD-AIA-009 KI-Sicherheitstestergebnisse inkl. Adversarial ML IT-Sicherheit · Jährlich
EVD-AIA-010 Frontier-AI-Cyber-Resilience-Plan CISO / KI-Governance · Halbjährlich
EVD-AIA-011 Frontier-AI-Angriffssimulations-Protokolle IT-Sicherheit / Red Team · Halbjährlich
EVD-AIA-012 Frontier-AI-Bedrohungsintelligenz-Report CISO · Quartalsweise

Disclaimer

Hinweis: Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.