Die BaFin hat mit ihrer Orientierungshilfe zu IKT-Risiken beim Einsatz von KI in Finanzinstituten erstmals ein Rahmenwerk veröffentlicht, das Institute bei der Umsetzung regulatorischer Anforderungen im KI-Kontext unterstützen soll. Dies ist konsequent, da die BaFin im Rahmen der Umsetzung der EU-KI-Verordnung zusätzliche Aufsichtsaufgaben von der Bundesnetzagentur übernimmt. Zugleich wird betont, dass die KI-Kompetenz und Schulung in den Instituten deutlich ausgebaut werden muss.
Im Mittelpunkt stehen das IKT-Risikomanagement sowie das IKT-Drittparteienrisikomanagement, einschließlich der relevanten Delegierten Verordnungen zum IKT-Risikomanagement (RTS RMF) und zur Untervergabe von IKT-Dienstleistungen bei kritischen oder wichtigen Funktionen (RTS Untervergabe/Verlagerungsketten).
Die Orientierungshilfe richtet sich insbesondere an von der BaFin beaufsichtigte Unternehmen, die die Anforderungen an das IKT-Risikomanagement gemäß Art. 5 bis 15 DORA erfüllen müssen.
Da Entwicklung und Betrieb von KI-Systemen erhebliche Risiken mit sich bringen können, liegt der regulatorische Fokus auf den IKT-Risiken. KI-Systeme werden dabei – analog zu klassischen IKT-Systemen – nach Risikoprofil, Komplexität und unterstützten Funktionen bewertet, etwa bei der Verarbeitung sensibler Daten oder im Umfeld kritischer bzw. wichtiger Funktionen.
Nicht berücksichtigt werden Angriffe „von innen“, also Risiken durch das KI-System selbst. Zudem fehlen zentrale Kriterien zur Einhaltung der EU-KI-Verordnung und deren spezifische Relevanz für Finanzinstitute. Die BaFin plant jedoch, die Orientierungshilfe fortlaufend weiterzuentwickeln.
Im Seminar werden die wesentlichen Inhalte der Orientierungshilfe vorgestellt und anhand ausgewählter Praxisbeispiele erläutert.
