DORA und KI-Governance
im Finanzsektor

Für DORA-erfasste Finanzunternehmen stellt sich nicht nur die Frage, ob KI genutzt wird, sondern wie AI-Systeme sauber in bestehende ICT-Risikostrukturen, Nachweise und Review-Prozesse eingebettet werden.

Warum KI kein isoliertes Silo sein darf

DORA (Digital Operational Resilience Act) verlangt von Finanzunternehmen eine durchgängige Steuerung ihrer ICT-Risiken – einschließlich der Risiken, die durch den Einsatz von KI-Systemen entstehen. GenAI-Werkzeuge wie Copilot sind keine eigenständigen IT-Systeme, sondern greifen tief in bestehende Datenflüsse, Berechtigungen und Informationsstrukturen ein.

Das bedeutet: AI-Governance darf nicht als separates Projekt neben der bestehenden ICT-Risikostruktur stehen, sondern muss an sie anschließen – mit gemeinsamen Inventaren, konsistenten Risikoklassifikationen und nachvollziehbaren Controls.

AI-Inventar und ICT-Risikostruktur

Ein AI-Inventar bildet die Grundlage für die DORA-konforme Einordnung von KI-Systemen. Es erfasst, welche AI-Systeme im Einsatz sind, welche Daten sie verarbeiten, wer verantwortlich ist und wie sie in die bestehende ICT-Risikolandschaft einzuordnen sind.

Reemento baut das AI-Inventar so auf, dass es an bestehende ICT-Risikoinventare, Informationsverbünde und Schutzbedarfsfeststellungen anschlussfähig ist – ohne Parallelstrukturen zu schaffen.

  • KI-Systeme als ICT-Assets erfasst und klassifiziert
  • Ownership und Verantwortlichkeiten dokumentiert
  • Risikoklassifikation an MaRisk/BAIT-Strukturen angebunden
  • Gap-Analyse gegenüber DORA-Anforderungen

Detection, Response, Evidence und Review

DORA verlangt nicht nur präventive Maßnahmen, sondern auch Fähigkeiten zur Erkennung, Reaktion und Nachweisführung. Für AI-Governance bedeutet das:

Detection: Shadow AI und unkontrollierte GenAI-Nutzung im M365-Tenant sichtbar machen. Welche Copilot-Funktionen werden genutzt, auf welche Daten wird zugegriffen, wo entstehen Oversharing-Risiken?

Response: Controls in Purview, Entra und SharePoint so konfigurieren, dass Risiken dort gesteuert werden, wo sie entstehen – nicht nur auf Papier.

Evidence: Ein Evidence Pack, das Anforderungen auf Controls, Nachweise und Ablageorte mappt – so aufbereitet, dass Revision und Aufsicht damit arbeiten können.

Review: Quarterly Reviews, Wirksamkeitstests und Regulatory Monitoring als Teil des laufenden Operating Models.

Reemento als operative Übersetzung im M365-Stack

Reemento liefert keine DORA-Rechtsberatung und keine pauschale Konformitätsbescheinigung. Reemento übersetzt die operativen Anforderungen, die aus DORA für den KI-Einsatz im Microsoft-365-Umfeld entstehen, in ein funktionierendes System aus Inventar, Controls, Evidence und laufender Steuerung.

Quick Scan

Erstbewertung der AI-Governance-Lage mit DORA-Bezug in 3–5 Tagen.

AI Control Baseline

Inventar, Risikoklassifikation und DORA-/Governance-Zuordnung in 2–3 Wochen.

Governance Sprint

Controls, Evidence Pack und Operating Model operativ aufgebaut in 4–6 Wochen.

Reemento liefert keine Rechtsberatung und keine pauschale DORA-Konformitätsbescheinigung. Ziel ist eine belastbare operative Grundlage, die den Anschluss an bestehende ICT-Risikostrukturen herstellt.

DORA-Anforderungen operativ übersetzen

Im kostenlosen Erstgespräch klären wir, wie Ihre AI-Governance an bestehende ICT-Risikostrukturen anschließen kann.

Erstgespräch buchen Nachricht senden