KI im Fokus der Aufsicht: IKT-Risikomanagement konsequent steuern statt isoliert regulieren

Der regulatorische Ausgangspunkt für die BaFin-Orientierungshilfe ist der Digital Operational Resilience Act (DORA). DORA verfolgt einen bewusst technologieneutralen Ansatz und ordnet KI-Systeme nicht als eigene Kategorie ein, sondern fasst sie unter dem Begriff der Netzwerk- und Informationssysteme zusammen. Ein KI-System wird dabei als Kombination aus Hard- und Software sowie der zugrunde liegenden IKT-Infrastruktur verstanden. Entscheidend sind somit nicht Autonomie oder Lernfähigkeit, sondern die aus Betrieb, Integration und Abhängigkeiten resultierenden IKT-Risiken.

Die Konsequenz dieses Ansatzes ist klar: KI-Systeme sind wie andere IKT-Assets vollständig in den IKT-Risikomanagementrahmen nach DORA zu integrieren. Dies gilt unabhängig davon, ob es sich um selbst entwickelte Modelle, zugekaufte Softwarelösungen oder cloudbasierte KI-Dienste handelt. Der Fokus liegt auf Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung – also auf der operativen Resilienz im laufenden Betrieb.

Parallel dazu existiert mit dem EU AI Act ein weiteres regulatorisches Rahmenwerk, das insbesondere auf ethische, rechtliche und inhaltliche Risiken von KI abzielt. Für Finanzunternehmen ist vor allem relevant, dass viele Anwendungsfälle – etwa Kredit-Scoring oder Pricing – als Hochrisiko-KI-Systeme eingestuft werden können. Die BaFin-Orientierungshilfe grenzt sich hier bewusst ab und konzentriert sich ausschließlich auf die IKT-Risiken im Sinne von DORA.

Mit ihrer Orientierungshilfe nimmt die BaFin eine konsequent lebenszyklusorientierte Perspektive ein. IKT-Risiken sollen nicht punktuell oder an einzelnen Prozessschritten betrachtet werden, sondern entlang des gesamten KI-Lebenszyklus – von der Datenbeschaffung über Entwicklung und Test, den produktiven Betrieb bis hin zur Stilllegung von KI-Systemen.

Zentral ist dabei die klare Verortung von KI im bestehenden IKT-Risikomanagementrahmen nach DORA. KI-Systeme sind als Informations- und IKT-Assets zu identifizieren, zu klassifizieren, zu dokumentieren und regelmäßig zu überwachen. Abhängig von ihrer Kritikalität – insbesondere bei Unterstützung kritischer oder wichtiger Funktionen – steigen die Anforderungen an Governance, Sicherheit, Tests und Resilienzmaßnahmen.

Ein weiterer Schwerpunkt liegt auf Governance und Organisation. Die BaFin betont die Verantwortung des Leitungsorgans für den Einsatz von KI. Dieses muss nicht nur die strategische Ausrichtung genehmigen, sondern auch über ausreichende Kenntnisse verfügen, um KI-bezogene IKT-Risiken verstehen und überwachen zu können. KI wird damit explizit zu einem Thema der Gesamtunternehmenssteuerung und nicht zu einer isolierten Aufgabe von IT- oder Innovationsbereichen.

Die Orientierungshilfe konkretisiert die allgemeinen DORA-Anforderungen entlang mehrerer Themenfelder:

• Governance und Verantwortlichkeiten: Klare Zuständigkeiten, Einbettung in bestehende Kontrollstrukturen und – abhängig von der Kritikalität – eine explizite KI-Strategie.
• Entwicklung und Test: Anwendung etablierter Software-Engineering-Standards, strenges Änderungsmanagement, dokumentierte Tests sowie der kontrollierte Einsatz von Open-Source- und Drittanbieterkomponenten.
• Betrieb und Stilllegung: Kontinuierliches Monitoring, Protokollierung von KI-Entscheidungen, Berücksichtigung von KI-Systemen im IKT-Geschäftsfortführungsmanagement sowie geregelte Deinstallation und Datenentsorgung.
• Cyber- und Datensicherheit: Schutz vor KI-spezifischen Angriffen wie Data Poisoning, Model Drift oder adversarialen Angriffen sowie robuste Zugriffskonzepte und Verschlüsselungsmechanismen.
• Drittparteienrisiken: Besondere Aufmerksamkeit bei cloudbasierten KI-Lösungen, inklusive Due Diligence, Auditierbarkeit und Exit-Strategien.

Die BaFin macht damit deutlich, dass KI-Systeme nicht nur technisch leistungsfähig, sondern auch dauerhaft beherrschbar sein müssen.

Die Orientierungshilfe ist bewusst als nicht verbindliche Hilfestellung ausgestaltet, entfaltet aber dennoch erhebliche praktische Relevanz. Sie übersetzt abstrakte DORA-Anforderungen in einen konkreten Erwartungshorizont für den Umgang mit KI im Finanzsektor. Besonders hervorzuheben ist der klare Perspektivwechsel: KI wird nicht als Sonderfall behandelt, sondern als integraler Bestandteil der bestehenden IKT-Landschaft.

Diese Einordnung ist aus Compliance- und Risikosicht konsequent. Sie verhindert parallele KI-Schattenstrukturen und fördert die Nutzung vorhandener Governance- und Kontrollmechanismen. Gleichzeitig bleibt der risikobasierte und verhältnismäßige Ansatz von DORA gewahrt. Nicht jede KI-Anwendung erfordert denselben Kontrollaufwand – entscheidend sind Kritikalität, Datenbezug und Auswirkungen auf Geschäftsprozesse.

Für Finanzunternehmen bedeutet dies jedoch auch: Reine Innovationslogik reicht nicht mehr aus. KI-Projekte müssen von Beginn an regulatorisch mitgedacht und sauber in bestehende IKT-Risikomanagementprozesse integriert werden.

Vor diesem Hintergrund positioniert sich die movisco AG als Umsetzungs- und Transformationsberater mit klarem Fokus auf DORA, KI-Governance und IKT-Risikomanagement. Unser Ansatz zielt darauf ab, regulatorische Anforderungen nicht isoliert zu interpretieren, sondern praxisnah in bestehende Organisations-, Risiko- und IT-Strukturen zu integrieren.

Konkret unterstützt movisco Finanzunternehmen unter anderem bei:

• der Einordnung und Klassifizierung von KI-Anwendungen im DORA-Kontext,
• der Weiterentwicklung bestehender IKT-Risikomanagementrahmen um KI-spezifische Risikodimensionen,
• dem Aufbau robuster Governance-Modelle für KI entlang des gesamten Lebenszyklus,
• der Gestaltung von Drittparteien- und Cloud-Governance für KI-Lösungen,
• sowie der operativen Umsetzung von Dokumentations-, Test- und Kontrollanforderungen.

Unser Ziel ist es, regulatorische Sicherheit mit technologischer Zukunftsfähigkeit zu verbinden. Ein professionell aufgesetztes Governance- und Kontrollframework für KI stärkt nicht nur die Aufsichtskonformität, sondern schafft Vertrauen, Transparenz und die Grundlage für einen nachhaltigen und skalierbaren Einsatz von KI im Finanzsektor.

Die BaFin-Orientierungshilfe macht deutlich: KI ist kein Sonderfall mehr, sondern Teil des operativen Kerngeschäfts – mit allen daraus resultierenden IKT-Risiken. Wer DORA-konformes IKT-Risikomanagement als Enabler versteht, kann KI verantwortungsvoll einsetzen und regulatorische Anforderungen in einen echten Wettbewerbsvorteil verwandeln.