BDO: BaFin presenterar vägledning om AI under DORA

BaFin, Tysklands federala finansinspektion, har publicerat ett vägledningsdokument som syftar till att ge ökad klarhet kring användningen av artificiell intelligens (AI) inom den finansiella och försäkringsbranschen. Guiden behandlar hur AI-system måste integreras och hanteras i enlighet med regelverk som EU:s AI Act och DORA (Digital Operational Resilience Act).

Integrationen av AI i den finansiella sektorn har ökat markant, och omfattar nu stora delar av värdekedjan. Detta medför dock ökade risker. BaFin betonar att AI-system bör ses som nätverks- och informationssystem (NIS) i linje med DORA. Detta innebär att AI-komponenter måste inkluderas i företagets befintliga ramverk för riskhantering av informations- och kommunikationsteknik (IKT). Fokus ligger på hela livscykeln för AI, från utveckling och träning till drift och avveckling.

Vägledningen klargör att företagsledningen och riskhanteringsavdelningar måste se till att AI inte isoleras som ett separat innovationsområde. Istället ska det vara en integrerad del av den övergripande IKT-riskhanteringen. Dokumentet betonar vikten av operationell motståndskraft (resiliens) mot driftstörningar, manipulation och cyberattacker, utöver algoritmens transparens. Detta gäller särskilt större finansiella institut som omfattas av DORA:s fullständiga krav.

BaFins initiativ syftar till att överbrygga klyftan mellan de abstrakta kraven i AI Act och den operativa verkligheten i datacenter och molnmiljöer inom finanssektorn. Genom att klassificera AI-system som IKT-tillgångar säkerställer tillsynsmyndigheten att befintliga regler för digital operativ motståndskraft tillämpas. Mindre aktörer kan komma att omfattas av en förenklad tillämpning av reglerna, beroende på deras verksamhet.