KI trifft DORA

Der Einsatz von Künstlicher Intelligenz im Finanzsektor nimmt stetig zu und reicht von der Betrugserkennung über automatisierte Kreditentscheidungen bis hin zu intelligenten Kundenservices. Parallel zu diesen technologischen Fortschritten steigen die regulatorischen Anforderungen an die IT-Sicherheit und die operationelle Stabilität von Finanzunternehmen. Mit der DORA-Verordnung (Digital Operational Resilience Act) hat die Europäische Union einen verbindlichen Rechtsrahmen geschaffen, der seit Januar 2025 gilt und darauf abzielt, die digitale operationelle Resilienz von Finanzinstituten und ihren IT-Dienstleistern zu stärken. KI-Systeme fallen dabei regelmäßig unter den Begriff der Informations- und Kommunikationstechnologie und sind damit unmittelbar vom Anwendungsbereich der DORA-Regulatorik erfasst.

KI kann einen wesentlichen Beitrag zur Erhöhung der digitalen Resilienz leisten, indem sie Cyberangriffe frühzeitig erkennt, Anomalien in Systemen identifiziert oder automatisierte Reaktionen auf Sicherheitsvorfälle ermöglicht. Gleichzeitig entstehen durch den Einsatz von KI neue Risiken, etwa durch intransparente Entscheidungslogiken, fehlerhafte Trainingsdaten, Modellverzerrungen oder die Abhängigkeit von externen Technologieanbietern. DORA adressiert genau diese Risiken, indem sie verlangt, dass KI-Systeme systematisch in das unternehmensweite IKT-Risikomanagement integriert werden. Finanzunternehmen müssen Risiken identifizieren, bewerten und dokumentieren sowie sicherstellen, dass KI-Modelle überwacht, regelmäßig überprüft und kontrolliert eingesetzt werden. KI darf dabei kein isoliertes Innovationsprojekt sein, sondern muss in klar definierte Governance-Strukturen eingebettet werden.

Ein weiterer zentraler Aspekt der DORA-Anforderungen betrifft das Incident Management. Fehlfunktionen oder Sicherheitsvorfälle in KI-gestützten Systemen können erhebliche Auswirkungen auf kritische Geschäftsprozesse haben und unter Umständen meldepflichtige IKT-Incidents darstellen. Unternehmen müssen daher in der Lage sein, Störungen in KI-Systemen frühzeitig zu erkennen, angemessen zu eskalieren und gegenüber Aufsichtsbehörden zu melden. Dies erfordert nicht nur technische Überwachungsmechanismen, sondern auch organisatorische Prozesse, die eine Ursachenanalyse auf Modell-, Daten- und Systemebene ermöglichen.

Darüber hinaus verlangt DORA regelmäßige Tests der digitalen operationellen Resilienz. Für KI-Systeme bedeutet dies, dass sie gezielt auf Ausfallszenarien, Datenmanipulationen oder extreme Eingabewerte getestet werden müssen. Solche Tests sind insbesondere dann relevant, wenn KI in entscheidungskritischen oder kundenrelevanten Prozessen eingesetzt wird. Ziel ist es, Schwachstellen frühzeitig zu identifizieren und sicherzustellen, dass auch unter Stressbedingungen ein stabiler und kontrollierter Betrieb gewährleistet ist.

Besondere Bedeutung kommt zudem dem Management von IKT-Drittparteien zu. Viele KI-Lösungen basieren auf externen Cloud- oder Plattformanbietern, wodurch zusätzliche Abhängigkeiten entstehen. DORA verpflichtet Finanzunternehmen dazu, diese Abhängigkeiten transparent zu machen, vertraglich abzusichern und angemessene Exit-Strategien zu entwickeln. Die regulatorische Verantwortung verbleibt dabei stets beim Finanzunternehmen, auch wenn KI-Funktionen als externer Service bezogen werden.

Schließlich stärkt DORA die Rolle der Geschäftsleitung und des Managements bei der Steuerung digitaler Risiken. Verantwortlichkeiten für KI-Systeme müssen klar definiert, Entscheidungsprozesse dokumentiert und Systeme so gestaltet sein, dass sie gegenüber Aufsichtsbehörden nachvollziehbar und prüfbar sind. In Verbindung mit weiteren Regulierungen wie dem EU AI Act, der DSGVO sowie bestehenden nationalen IT-Aufsichtsanforderungen wird deutlich, dass der Einsatz von KI nur im Rahmen einer integrierten Governance- und Compliance-Strategie nachhaltig erfolgreich sein kann.

Insgesamt zeigt sich, dass DORA den Einsatz von KI nicht einschränkt, sondern in geordnete und sichere Bahnen lenkt. Unternehmen, die KI frühzeitig unter Berücksichtigung der regulatorischen Anforderungen implementieren, erhöhen nicht nur ihre Compliance-Sicherheit, sondern stärken zugleich ihre digitale Widerstandsfähigkeit und Wettbewerbsfähigkeit in einem zunehmend technologiegetriebenen Finanzmarkt.