Stand: Januar 2026
Lesezeit: ca. 5 Minuten

Das Wichtigste zu DORA und KI auf einen Blick

Die BaFin hat eine Orientierungshilfe veröffentlicht, die Finanzunternehmen dabei unterstützen soll, die Anforderungen des Digital Operational Resilience Act (DORA) im Umgang mit KI-Systemen umzusetzen. Die Leitlinien richten sich insbesondere an CRR-Institute und Solvency II Versicherer und betrachten ausschließlich die IKT-Risiken, die durch den Einsatz von KI in der technischen Infrastruktur entstehen. Der Fokus liegt auf Governance, Entwicklung, Betrieb, Cyber- und Datensicherheit sowie Meldepflichten bei schwerwiegenden Vorfällen.

Kerndaten des DORA-KI-Leitfadens

Die Orientierungshilfe definiert KI-Systeme gemäß der EU-KI-Verordnung als Kombination aus Hard- und Software, deren Risikoprofil analog zu anderen IKT-Assets bewertet werden muss. Sie strukturiert die Betrachtung entlang des gesamten KI-Lebenszyklus, von der Entwicklung über den Betrieb bis zur Stilllegung. Besonderes Augenmerk liegt auf Cloud-Szenarien, Drittanbieter-Management, Sicherheitsmaßnahmen und Governance-Anforderungen.

Hintergrund und Ziele

Die Nutzung von KI erstreckt sich über die gesamte Wertschöpfungskette von Finanzunternehmen – von Kreditvergabe über Risikomodellierung, Kundenkommunikation bis hin zur Schadenbearbeitung. Dadurch entstehen spezifische IKT-Risiken, die unabhängig von den fachlichen Prozessen auftreten. Mit der Orientierungshilfe möchte die BaFin Unternehmen unverbindlich unterstützen, die regulatorischen Anforderungen des DORA einzuhalten. Ziel ist es, die Resilienz von KI-Systemen zu erhöhen, Governance-Strukturen zu stärken und Risiken frühzeitig zu identifizieren.

Wesentlicher Regelungsinhalt

Die Leitlinien betonen die Notwendigkeit einer klaren KI-Strategie, definierter Verantwortlichkeiten im Leitungsorgan und adäquater Kenntnisse der Entscheidungsträger. Unternehmen sollen sicherstellen, dass Prozesse, Kompetenzen und Kontrollen für den Einsatz von KI geeignet sind. Der IKT-Risikomanagementrahmen nach DORA ist vollständig auf KI-Systeme anzuwenden und umfasst die Identifikation, Prävention, Erkennung sowie Reaktion und Wiederherstellung bei KI-bezogenen Vorfällen.

Für die Entwicklung von KI-Systemen werden Anforderungen an Softwareentwicklung, Testverfahren, Dokumentation, Quellcodeprüfungen sowie den Umgang mit Open-Source-Bibliotheken und maschinell generiertem Code beschrieben. Generative KI wird als besonders herausfordernd bewertet, da Testbarkeit, interne Modellstruktur und externe Modelländerungen schwer kontrollierbar sind.
Im operativen Betrieb werden klare Prozesse für Installation, Monitoring, Zugriffskontrolle, Protokollierung und sichere Stilllegung gefordert. Cloud-Spezifika, Risiken durch Drittparteien, Unterauftragsketten, Datenabflüsse, Vendor Lock-in sowie SLAs, Auditrechte und Exit-Strategien sind zentrale Punkte. Cyber- und Datensicherheitsmaßnahmen umfassen Netzwerksegmentierung, Zugriffskontrollen, Verschlüsselung, kontinuierliche Überwachung, Resilienztests und Schutz vor KI-spezifischen Angriffen.
Zusätzlich beschreibt die BaFin Meldepflichten für schwerwiegende IKT-Vorfälle, die auch KI-Systeme betreffen können. Eine Fallstudie illustriert exemplarisch Risiken und Maßnahmen beim Betrieb eines LLM-basierten KI-Assistenten in on-premise, Cloud im eigenen Tenant und Cloud außerhalb des Tenants.

Sanktionen und Durchsetzung

Obwohl die Orientierungshilfe unverbindlich ist, unterstreicht die BaFin, dass Nichteinhaltung von Governance- und Sicherheitsanforderungen im Rahmen von DORA zu aufsichtsrechtlichen Maßnahmen führen kann. Unternehmen müssen daher eine geeignete Dokumentation und Nachweisführung sicherstellen, um sowohl regulatorische Anforderungen als auch Sicherheitsrisiken abzudecken.

Quelle