Über 3.600 DORA-relevante Finanzinstitute sowie ca. 29.000 deutsche Unternehmen – meist im Mittelstand – setzen heute schon teils erfolgreich KI/ AI ein. Dabei ist der Grad der Nutzung unterschiedlich – den unterschiedlich genutzten von eigen entwickelten Modellen, generativer KI bis hin zu KI-Funktionalitäten in Standardprogrammen. Bezüglich der KI-Compliance besteht eine große Unsicherheit, da eine Vielzahl von Erfordernissen zu berücksichtigen sind. Diese reichen vom Datenschutz nach der DSGVO, der EU-KI Verordnung bis hin zu speziellen Anforderungen wie für die Finanzindustrie mit der BaFin-Orientierungshilfe zu KI.
Mit unseren KI-Compliance-Checks und auch GAP-Analysen bieten wir für die Institute maßgeschneiderte Lösungsansätze eine große Hilfestellung. Sowohl KI-bezogene Fachabteilungen als auch Betriebsorganisation, IT, Informationssicherheit und Interne Revision nutzen unsere vielfältigen Tools und Lösungsansätze.
In führenden Bildungseinrichtungen schulen wir mit knapp 70 Seminarformaten zu KI und Cyberresilienz. Wir decken die Kompetenz selbst ab und unterschieden uns dadurch von Plattformanbietern, die jeweils für sich betrachtet nur kleine Teilaspekte abdecken. Oftmals fehlt dabei der zusammenhängende Blick.
Im Folgenden stellen wir eine kleine Auswahl unserer KI-Checks vor, um einen Überblick für den Praxiseinsatz zu geben.
KI und Datenschutz
Die Datenschutzerfordernisse bei der Umsetzung und der täglichen Nutzung von KI werden regelmäßig unterschätzt. Sowohl die Datenschutz-Überwachungsbehörden (Landesaufgabe) mit Schwerpunkt „Datenschutz“ als auch die Bankenaufsicht (Deutschland sowie EU-weit) mit Schwerpunkt „Informationssicherheit/ IKT-Risikomanagement“ prüfen regelmäßig die Einhaltung der Erfordernisse. Wir stellen in unseren Lösungen und Trainings einen auf den BITCOM-Leitfaden „Künstliche Intelligenz & Datenschutz“ ausgerichtete Checkliste dar.
Auf dessen Basis können sowohl GAP-Analysen für die eigene Umsetzung als auch Revisionsprüfungen (in- und externe Revision) durchgeführt werden.
KI und EU KI-Verordnung
Im Rahmen der Jahresabschlussprüfung werden immer mehr Vorstände und Geschäftsleiter gefragt, ob sie mit dem KI-Einsatz unter die EU-Erfordernisse der Hochrisikorelevanz fallen oder nicht. An dem Ergebnis richtet sich die Umsetzung der KI-Compliance Erfordernisse aus der EU KI-Verordnung aus.
Wir setzen ein Tool zur Bestimmung der Hochrisikorelevanz ein. Zusätzlich stellen wir den Instituten im Rahmen unserer Projekte einen umfassenden EU-Compliance-Check zu Verfügung, um die Relevanz und Umsetzungsmöglichkeiten aus der EU KI-Verordnung zu bestimmen.
BaFin-Orientierungshilfe zu IKT-Risiken beim Einsatz von KI
Die BaFin hat mit der Orientierungshilfe zu IKT-Risiken beim Einsatz von KI in Finanzinstituten erstmals ein Rahmenwerk zur Unterstützung der Finanzinstitute bei der Umsetzung von regulatorischen Anforderungen im Kontext der KI veröffentlicht. Im Fokus des Prüfungsleitfadens steht das IKT-Risikomanagement und das IKT-Drittparteienrisikomanagement, inklusive der Delegierten Verordnung zum IKT-Risikomanagement (RTS RMF) sowie der Delegierten Verordnung zur Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen (RTS-Untervergabe/ Verlagerungsketten).
Auf Basis unserer Checkliste können sowohl GAP-Analysen für die eigene Umsetzung als auch Revisionsprüfungen (in- und externe Revision) durchgeführt werden. Die Anforderungen an das IKT-Risikomanagement gemäß Art. 5 bis 15 DORA richtet sich vorwiegend an DORA-pflichtige Finanzinstitute. Auf Basis unserer Checkliste können sowohl GAP-Analysen für die eigene Umsetzung als auch Revisionsprüfungen (in- und externe Revision) durchgeführt werden. Die Anforderungen an das IKT-Risikomanagement gemäß Art. 5 bis 15 DORA richtet sich vorwiegend an DORA-pflichtige Finanzinstitute.
Vorbereitung zur Zertifizierung KI-Managementsystem nach ISO 42001
Finanzinstitute und der Mittelstand mit KI-Nutzung – insbesondere Unternehmen im Mehrmandantenbereich für die Finanzindustrie, Dienstleistungsindustrie und weitere Branchen wie Rechenzentren und IT-Dienstleister haben im Rahmen Ihrer Mandantenberichterstattung auf die Umsetzung von KI-Erfordernissen einzugehen. Viele Institute halten hierbei typische Standards ein wie nach ISO 42001, der u.a. vom TÜV zertifiziert wird.
Hierfür haben wir in unserem KI-LAB für die Umsetzung und Vorbereitung zur KI-Zertifizierung nach ISO IEC 42001 2023 einen KI-Check entwickelt, der neben den Erfordernissen aus der ISO 42001 viele praktische Hinweise für die Umsetzung enthält.
Weiterhin bieten wir im Bereich der IT-Regulatorik und der NIS2-Umsetzung sowie der DORA-Umsetzung eine Vielzahl von Checklisten und GAP-Analysen an, um die Erfordernisse in den Unternehmen zielgerichtet zu erfassen und die Verschwendung von Umsetzungsressourcen zu vermeiden.
Unser Ziel liegt in der Effizienz und Compliance des jeweiligen Mandanten.