Regulatory Landscape
AI Act – KI-Governance für Finanzdienstleister
AI Act als KI-Governance-, Risiko- und Dokumentationsrahmen für Finanzdienstleister einordnen.
Management-Zusammenfassung
- Der AI Act verfolgt einen risikobasierten Ansatz: verbotene Praktiken, Hochrisiko-KI, Transparenzpflichten und KI-Kompetenz.
- Finanzdienstleister müssen KI-Systeme inventarisieren, klassifizieren und in das bestehende Risikomanagement integrieren.
- Hochrisiko-KI-Systeme erfordern ein Risikomanagementsystem, Daten-Governance, technische Dokumentation und menschliche Aufsicht.
- KI-Kompetenz muss institutsweit sichergestellt werden.
AI Act Omnibus — Politische Einigung am 7. Mai 2026
Der AI Act Omnibus (Digital Simplification Package) wurde politisch geeinigt und bringt folgende Änderungen:
- Hochrisiko-Fristen: Anwendung ab 2. Dezember 2027 (Bereiche) / 2. August 2028 (Produkte)
- Verbot von KI-generierten nicht-einvernehmlichen Inhalten (Nudification-Apps)
- KMU-Erleichterungen auf kleine Mid-Caps (SMCs) ausgeweitet
- AI Office-Befugnisse gestärkt, Aufsicht zentralisiert
- Regulatorische Sandboxen ausgebaut — inkl. EU-Sandbox
- Formelle Annahme für Q3 2026 erwartet
KI-Governance-Rahmen
Die AI-Act-Anforderungen sollten in die bestehende IKT-Governance integriert werden. KI-Risikomanagement, Dokumentation und Überwachung ergänzen das IKT-Risikomanagement nach DORA.
AI-Governance-Karten
KI-Inventar
EtabliertVollständiges Inventar aller eingesetzten KI-Systeme mit Klassifikation nach AI-Act-Risikokategorien.
Alle KI-Systeme im Unternehmen sind inventarisiert, nach Risikoklasse (verboten, hochrisiko, begrenzt, minimal) kategorisiert und einem verantwortlichen Fachbereich zugeordnet.
Umsetzungsschritte anzeigen
- KI-Inventarvorlage mit Feldern für Zweck, Risikoklasse, Datenquellen, Einsatzbereich und Verantwortlichen erstellen.
- Bereichsübergreifende Inventurabfrage bei allen Fachbereichen durchführen.
- Inventar mindestens halbjährlich aktualisieren und bei neuen KI-Systemen ergänzen.
KI-Kompetenz
GesteuertRollenbasiertes Schulungsprogramm zur Sicherstellung ausreichender KI-Kompetenz im Unternehmen.
Alle Mitarbeiter, die mit KI-Systemen arbeiten, verfügen über nachgewiesene KI-Kompetenz entsprechend ihrer Rolle und Verantwortung.
Umsetzungsschritte anzeigen
- Kompetenzanforderungen je Rolle (Entwickler, Fachanwender, Führungskraft, Compliance) definieren.
- Schulungsprogramm mit Grundlagen- und Vertiefungsmodulen aufsetzen.
- Kompetenznachweise dokumentieren und regelmäßig auffrischen.
Hochrisiko-Einstufung
EtabliertPrüfung und Dokumentation, ob KI-Systeme als Hochrisiko-KI nach AI Act einzustufen sind.
Jedes KI-System durchläuft eine dokumentierte Hochrisiko-Prüfung nach AI Act Anhang III. Die Einstufung wird bei wesentlichen Änderungen überprüft.
Umsetzungsschritte anzeigen
- Prüfschema basierend auf AI Act Anhang III erstellen.
- Hochrisiko-Prüfung für jedes KI-System vor Inbetriebnahme durchführen.
- Einstufung bei Systemänderungen, Zweckänderungen oder neuen regulatorischen Vorgaben aktualisieren.
KI-Risikobewertung
InitialRisikomanagementsystem für Hochrisiko-KI-Systeme mit Identifikation, Analyse und Behandlung von Risiken.
Ein kontinuierlicher Risikomanagementprozess für Hochrisiko-KI identifiziert, bewertet und behandelt Risiken für Gesundheit, Sicherheit und Grundrechte.
Umsetzungsschritte anzeigen
- Risikomanagementsystem für KI nach AI Act Art. 9 aufbauen.
- Risikoanalyse für jedes Hochrisiko-KI-System vor Marktbetritt durchführen.
- Risikobehandlungsmaßnahmen ableiten, umsetzen und auf Wirksamkeit prüfen.
Daten-Governance
InitialDaten-Governance-Praktiken für Trainings-, Validierungs- und Testdatensätze von KI-Systemen.
Für Hochrisiko-KI-Systeme gelten Daten-Governance-Anforderungen hinsichtlich Herkunft, Umfang, Repräsentativität, Fehlerfreiheit und Vollständigkeit der Datensätze.
Umsetzungsschritte anzeigen
- Daten-Governance-Richtlinie für KI-Trainingsdaten erstellen.
- Prüfprozess für Datenqualität, Verzerrungen und ethische Zulässigkeit etablieren.
- Datenherkunft und -verarbeitung für Prüfzwecke dokumentieren.
Technische Dokumentation
EtabliertErstellung und Pflege der technischen Dokumentation für KI-Systeme nach AI-Act-Vorgaben.
Die technische Dokumentation jedes Hochrisiko-KI-Systems enthält alle nach AI Act Anhang IV geforderten Angaben und wird laufend aktualisiert.
Umsetzungsschritte anzeigen
- Dokumentationsvorlage nach AI Act Anhang IV erstellen.
- Für jedes Hochrisiko-KI-System die technische Dokumentation pflegen.
- Dokumentation vor Inbetriebnahme und bei wesentlichen Änderungen aktualisieren.
Menschliche Aufsicht
InitialMaßnahmen zur Sicherstellung menschlicher Aufsicht über KI-Systeme.
Hochrisiko-KI-Systeme sind so konzipiert, dass natürliche Personen sie wirksam überwachen, Eingriffe vornehmen und Entscheidungen außer Kraft setzen können.
Umsetzungsschritte anzeigen
- Aufsichtsmaßnahmen für jedes Hochrisiko-KI-System definieren (Überwachung, Eingriff, Abbruch).
- Berechtigte und geschulte Aufsichtspersonen benennen.
- Aufsichtsprotokolle führen und regelmäßig auf Wirksamkeit prüfen.
Aufzeichnung und Logging
GesteuertAufzeichnungspflichten für automatisch generierte Logs bei Hochrisiko-KI-Systemen.
Hochrisiko-KI-Systeme zeichnen Ereignisse automatisch auf. Die Logs ermöglichen die Nachvollziehbarkeit von Entscheidungen und die Identifikation von Anomalien.
Umsetzungsschritte anzeigen
- Logging-Anforderungen für jedes Hochrisiko-KI-System festlegen.
- Automatische Protokollierung von Ereignissen (Eingaben, Ausgaben, Systemzustände) implementieren.
- Logs mindestens 6 Monate aufbewahren und regelmäßig auf Anomalien prüfen.
Robustheit und Cybersicherheit
GesteuertMaßnahmen zur Sicherstellung von Genauigkeit, Robustheit und Cybersicherheit von KI-Systemen, einschließlich Abwehr von Frontier-AI-gestützten Angriffen gemäß ESRB-Warning 07/2026.
Hochrisiko-KI-Systeme sind gegen Missbrauch, Manipulation und cyberangriffe geschützt. Genauigkeit und Robustheit werden kontinuierlich überwacht. Die besondere Beschleunigung von Angriffen durch Frontier-AI-Modelle wird durch angepasste Reaktionszeiten und automatisierte Abwehr berücksichtigt.
Umsetzungsschritte anzeigen
- Genauigkeits- und Robustheitsschwellen für jedes Hochrisiko-KI-System festlegen.
- Cybersicherheitsmaßnahmen spezifisch für KI-Systeme (Adversarial Robustness, Model Poisoning, Prompt Injection) umsetzen.
- Regelmäßige Tests der KI-Sicherheit inklusive Adversarial-ML- und Frontier-AI-Angriffssimulationen durchführen.
- Automatisierte Abwehrmaßnahmen für KI-spezifische Angriffsmuster implementieren (Model-Isolation, Fallback-Systeme).
- Patch- und Reaktionszeiten an die durch Frontier-AI verkürzten Exploit-Fenster anpassen (sub-4h-Kritikalitätsfenster).
Frontier-AI-Cyber-Resilience und strategische Autonomie
InitialAdressierung der durch Frontier-AI-Modelle entstehenden systemischen Cyberrisiken gemäß ESRB-Warning und ESA-Unterstützungserklärung vom 07.07.2026.
Die Organisation verfügt über einen Frontier-AI-Cyber-Resilience-Plan, der die gesteigerte Geschwindigkeit, Skalierung und Raffinesse von KI-gestützten Angriffen adressiert. Geopolitische Abhängigkeiten von nicht-EU-AI-Providern sind identifiziert und werden gesteuert.
Umsetzungsschritte anzeigen
- Frontier-AI-Cyber-Resilience-Plan basierend auf ESRB-Warning und ESA-Leitlinien erstellen.
- Szenarioanalyse zu KI-Augmented-Angriffen (autonome Vulnerability-Discovery, KI-gesteuerte Angriffsketten) durchführen.
- Sub-hour Incident-Response-Fähigkeit für kritische Systeme aufbauen.
- Strategische Abhängigkeiten von nicht-EU-Frontier-AI-Providern bewerten und Diversifizierungsstrategie entwickeln.
- Kompetenzaufbau zu Frontier-AI-Cyber-Risiken im Leitungsorgan und in Schlüsselrollen.
- Regelmäßiges Reporting an die Geschäftsleitung über Frontier-AI-Bedrohungslage und Abwehrreife.
Drittparteien-/Anbietersteuerung
EtabliertSteuerung von KI-Systemen, die von Drittanbietern bezogen werden.
Bezogene KI-Systeme und -Komponenten von Drittanbietern durchlaufen denselben Prüf- und Steuerungsprozess wie Eigenentwicklungen.
Umsetzungsschritte anzeigen
- Anbieter von KI-Komponenten identifizieren und klassifizieren.
- Vertragliche Sicherheits- und Dokumentationsanforderungen festlegen.
- Konformitätserklärungen und CE-Kennzeichnung der Anbieter einfordern und prüfen.
DORA-/Cyber-Risk-Anschluss
KI-Systeme in Finanzdienstleistungen berühren mehrere regulatorische Ebenen: Der AI Act regelt KI-spezifische Anforderungen, DORA adressiert die IKT-Resilienz, das Cyber Risk Framework die Cybersicherheit. Gemeinsame Berührungspunkte sind Risikomanagement, technische Dokumentation, Aufzeichnungspflichten und die Steuerung von Drittanbietern.
AI Act
Risikoklassifikation, KI-Kompetenz, Dokumentation, Aufsicht, Robustheit
DORA
IKT-Risikomanagement, Tests, Incident-Response, Drittparteiensteuerung
Cyber Risk
Cyber-Sicherheitsmaßnahmen, Schwachstellenmanagement, Monitoring