Drei Verordnungen, eine Herausforderung: Sicherung Ihrer KI-Systeme
Europäische Organisationen, die KI einsetzen, sehen sich einer noch nie dagewesenen Konvergenz regulatorischer Anforderungen gegenüber. Der EU AI Act, DORA (Digital Operational Resilience Act) und NIS2 (Network and Information Security Directive) behandeln jeweils unterschiedliche Aspekte des Technologierisikos – ihre Anforderungen überschneiden sich jedoch zunehmend, wenn es um KI-Systeme geht.
Für CISOs, Compliance-Beauftragte und AI-Governance-Teams ist das Verständnis der Wechselwirkungen dieser Verordnungen nicht nur eine akademische Übung. Es ist der Unterschied zwischen dem Aufbau eines kohärenten Compliance-Programms und dem Ertrinken in doppelten Anstrengungen.
Der EU AI Act: KI-spezifische Anforderungen
Der EU AI Act ist die weltweit erste umfassende KI-Verordnung. Für Hochrisiko-KI-Systeme schreibt er vor:
- Risikomanagementsysteme, die Risiken während des gesamten KI-Lebenszyklus identifizieren, analysieren und mindern
- Data Governance, die sicherstellt, dass Trainings-, Validierungs- und Testdatensätze relevant, repräsentativ und fehlerfrei sind
- Technische Dokumentation, die die Bewertung der Konformität des KI-Systems ermöglicht
- Transparenzverpflichtungen, die sicherstellen, dass Nutzer verstehen, dass sie mit KI interagieren und deren Ergebnisse interpretieren können
- Menschliche Aufsicht, die es Menschen ermöglicht, KI-Entscheidungen zu überwachen, einzugreifen und außer Kraft zu setzen
- Genauigkeit, Robustheit und Cybersicherheit, die dem Zweck und Risikoniveau des KI-Systems angemessen sind
Das Gesetz führt auch Verpflichtungen für KI-Modelle für allgemeine Zwecke ein, einschließlich Transparenzanforderungen, technischer Dokumentation und – für Modelle mit systemischem Risiko – adversarialem Testing und Vorfallsmeldung.
DORA: Digitale Resilienz für Finanzdienstleistungen
DORA gilt für Finanzunternehmen in der gesamten EU und ihre kritischen IKT-Dienstleister. Seine Relevanz für KI ergibt sich aus mehreren Bereichen:
- IKT-Risikomanagement: KI-Systeme sind IKT-Assets. DORA erfordert umfassende Fähigkeiten zur Risikoidentifikation, zum Schutz, zur Erkennung, Reaktion und Wiederherstellung für alle IKT-Systeme – einschließlich KI
- Vorfallsmeldung: Größere IKT-Vorfälle müssen den zuständigen Behörden gemeldet werden. Dies umfasst KI-Ausfälle oder Sicherheitsverletzungen, die Finanzdienstleistungen beeinträchtigen
- Prüfung der digitalen operationellen Resilienz: Finanzunternehmen müssen ihre IKT-Systeme regelmäßig testen, einschließlich bedrohungsbasierter Penetrationstests. KI-Systeme fallen eindeutig in den Anwendungsbereich
- Drittpartei-Risikomanagement: Finanzunternehmen müssen Risiken von IKT-Drittanbietern verwalten, einschließlich KI-Anbietern und cloudbasierten ML-Diensten
NIS2: Erweiterung des Sicherheitsnetzes
NIS2 erweitert den Anwendungsbereich der EU-Cybersicherheitsanforderungen erheblich auf wesentliche und wichtige Einrichtungen in 18 Sektoren. Die Auswirkungen auf KI umfassen:
- Cybersicherheits-Risikomanagement: Einrichtungen müssen geeignete technische, operative und organisatorische Maßnahmen implementieren, um Risiken für ihre Netz- und Informationssysteme zu verwalten – einschließlich KI-Komponenten
- Lieferkettensicherheit: NIS2 erfordert ausdrücklich die Bewertung der Sicherheit von Lieferketten, was direkt für KI-Modell- und Datenlieferketten relevant ist
- Vorfallsmeldung: Erhebliche Vorfälle müssen innerhalb von 24 Stunden gemeldet werden, mit einer vollständigen Vorfallsmeldung innerhalb von 72 Stunden
- Verantwortlichkeit der Leitungsorgane: Das Seniormanagement muss Cybersicherheits-Risikomanagementmaßnahmen genehmigen und kann für Nichteinhaltung persönlich haftbar gemacht werden
Wo die Verordnungen bei KI konvergieren
Risikobewertung und -management
Alle drei Verordnungen erfordern eine systematische Risikobewertung. Anstatt drei separate Bewertungen durchzuführen, sollten Organisationen einen einheitlichen KI-Risikomanagement-Rahmen entwickeln, der die spezifischen Anforderungen jeder Verordnung erfüllt. Das NIST AI Risk Management Framework bietet eine nützliche Grundlage, die auf EU-Regulierungsanforderungen abgebildet werden kann.
Vorfallsreaktion und -meldung
Ein KI-Sicherheitsvorfall kann gleichzeitig Meldepflichten gemäß allen drei Verordnungen auslösen. Ein kompromittiertes KI-Modell in einem Finanzinstitut könnte einen Ausfall eines Hochrisiko-KI-Systems (EU AI Act), einen größeren IKT-Vorfall (DORA) und einen erheblichen Sicherheitsvorfall (NIS2) darstellen. Ihr Vorfallsreaktionsprozess muss alle anwendbaren Meldefristen und -anforderungen berücksichtigen.
Drittpartei- und Lieferkettenrisiko
Alle drei Verordnungen behandeln Lieferketten- und Lieferantenrisiken, jedoch aus unterschiedlichen Blickwinkeln. Ein kohärenter Ansatz bewertet KI-Anbieter anhand der kombinierten Anforderungen: Sicherheitspraktiken (NIS2), operative Resilienz (DORA) und KI-spezifische Schutzmaßnahmen (EU AI Act).
Testing und Assurance
Regelmäßige Tests sind in allen drei Rahmenwerken vorgeschrieben. KI-spezifische Penetrationstests, adversariale Robustheitsbewertungen und operative Resilienztests können so konzipiert werden, dass sie mehrere regulatorische Anforderungen gleichzeitig erfüllen.
Aufbau einer einheitlichen Compliance-Strategie
Schritt 1: KI-System-Inventar
Erstellen Sie ein umfassendes Verzeichnis aller verwendeten KI-Systeme, ihrer Risikoklassifizierungen gemäß EU AI Act, ihrer Relevanz für DORA-regulierte Aktivitäten und ihrer Verbindung zu NIS2-abgedeckten Diensten. Dieses Inventar wird zur Grundlage für alle Compliance-Aktivitäten.
Schritt 2: Integrierte Risikobewertung
Führen Sie eine einzelne, gründliche Risikobewertung durch, die jedes KI-System den Anforderungen aller anwendbaren Verordnungen zuordnet. Identifizieren Sie gemeinsame Kontrollen, die mehrere Anforderungen erfüllen, und heben Sie verordnungsspezifische Lücken hervor.
Schritt 3: Kontrollrahmen
Implementieren Sie technische und organisatorische Kontrollen, die die Gesamtheit der Anforderungen erfüllen. Gut konzipierte KI-Sicherheitskontrollen – Modellüberwachung, Zugriffsmanagement, Data Governance, Vorfallsreaktion – erfüllen natürlich Anforderungen über alle drei Verordnungen hinweg.
Schritt 4: Kontinuierliche Compliance-Überwachung
Verordnungen entwickeln sich weiter, KI-Systeme ändern sich und neue Risiken entstehen. Implementieren Sie eine kontinuierliche Überwachung, die den Compliance-Status über alle anwendbaren Rahmenwerke hinweg verfolgt und vor entstehenden Lücken warnt.
Wie LittleData helfen kann
Die LittleData.ai-Plattform bietet integriertes Compliance-Tracking über den EU AI Act, DORA, NIS2 und andere Rahmenwerke hinweg, einschließlich ISO 42001 und NIST AI RMF. Unsere Dashboards geben Ihnen einen einheitlichen Überblick über Ihre Compliance-Situation, heben Lücken hervor und verfolgen den Fortschritt bei der Behebung.
Unsere AI-Sicherheitsdienstleistungen umfassen regulatorische Lückenanalysen, Kontrollimplementierung und fortlaufende Compliance-Unterstützung, die auf die spezifische Regulierungslandschaft Ihrer Organisation zugeschnitten ist.
Kontaktieren Sie unser Compliance-Team, um zu besprechen, wie wir Ihnen helfen können, die konvergierende Regulierungslandschaft für KI zu navigieren.