BaFin gibt Orientierungshilfe zu KI unter DORA heraus
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat eine Orientierungshilfe zur Integration künstlicher Intelligenz (KI) in Finanz- und Versicherungsunternehmen veröffentlicht. Das Dokument klärt die Anwendung der EU-KI-Verordnung und des DORA-Gesetzes auf KI-Systeme.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat eine neue Orientierungshilfe herausgegeben, die sich mit der Implementierung und dem Management von Systemen künstlicher Intelligenz (KI) im Finanz- und Versicherungssektor befasst. Die Richtlinie soll die Schnittstelle zwischen den Anforderungen der EU-KI-Verordnung (AI Act) und des Digital Operational Resilience Act (DORA) für KI-Systeme verdeutlichen.
Der Einsatz von KI in der Wertschöpfungskette von Finanzinstituten, von internen Kontrollsystemen bis zur Kundeninteraktion, nimmt stetig zu. Diese Entwicklung birgt jedoch erhöhte Risiken. Die BaFin betont, dass KI-Systeme nicht als isolierte Innovationsthemen betrachtet werden dürfen. Sie müssen vielmehr vollständig in die bestehenden Rahmenwerke für das Risikomanagement im Bereich Informations- und Kommunikationstechnik (IKT) integriert werden. Die Richtlinie fordert die Berücksichtigung des gesamten Lebenszyklus von KI – von der Entwicklung und dem Training über den laufenden Betrieb bis hin zur sicheren Stilllegung und Datenlöschung.
Die BaFin stuft KI-Systeme technisch als Netzwerk- und Informationssysteme ein, wodurch sie unter den Geltungsbereich von DORA fallen. Dies bedeutet, dass KI-Komponenten denselben Risiken und Managementanforderungen unterliegen wie andere IKT-Assets. Unternehmen müssen die operationelle Widerstandsfähigkeit (Resilienz) von KI-Systemen gegen Ausfälle, Manipulationen (wie „Data Poisoning“) und Cyberangriffe sicherstellen, zusätzlich zur Transparenz des Algorithmus. Dies gilt insbesondere für Kreditinstitute und Versicherungsunternehmen, die den vollständigen DORA-Anforderungen unterliegen.
Die Orientierungshilfe zielt darauf ab, die Kluft zwischen den abstrakten Anforderungen der KI-Verordnung und den praktischen Gegebenheiten in Rechenzentren und Cloud-Umgebungen des Finanzsektors zu überbrücken. Durch die Klassifizierung von KI als IKT-Asset stellt die BaFin sicher, dass die bestehenden Vorschriften zur digitalen operativen Widerstandsfähigkeit angewendet werden. Kleinere Institute, die unter vereinfachte DORA-Anforderungen fallen, können gesondert betrachtet werden.