Navigation

Zielgerichtete Umsetzung der KI-Verordnung zum 2. Februar 2025

12. Februar 2025

Künstliche Intelligenz (KI) kommt bereits in vielen Unternehmen „probeweise“ oder bereits gezielt zur Vereinfachung der täglichen Abläufe und zur Steigerung der Effizienz zum Einsatz. Allen voran stehen Lösungen wie Microsoft Copilot oder ChatGPT von OpenAI. Trotzdem stehen wir beim Einsatz von KI und der Nutzung seiner Chancen erst am Anfang einer sich weiter beschleunigenden Entwicklung.

Doch mit KI sind auch zahlreiche Risiken verbunden. Vor diesem Hintergrund ist seit dem 1. August 2024 ist die EU-Verordnung (EU) 2024/1689 über harmonisierte Vorschriften für künstliche Intelligenz (KI-Verordnung, Englisch: EU AI-Act) in Kraft. Die KI-Verordnung zielt darauf ab, die Risiken für Gesundheit, Sicherheit, Grundrechte, Demokratie, Rechtsstaatlichkeit und Umwelt zu mindern. Sie macht klare Vorgaben für die Entwicklung und Nutzung von KI gesetzt und legt Regeln fest, um den Einsatz von KI-Technologien sicherer und transparenter zu gestalten und das Vertrauen in KI-Systeme zu stärken. 

Als Verordnung musste Deutschland die neuen Regeln nicht erst in deutsches Recht umsetzen. Nach eingeräumten Übergangsfristen gelten nun seit dem 2. Februar 2025 umfassende Regelungen für den Einsatz von KI in Deutschland. Die Sanktionen im Rahmen der KI-Verordnung sind hoch und dienen als starkes Mittel, um die Einhaltung der Vorschriften zu erzwingen.

Die VIVACIS Consulting GmbH möchte sie dabei unterstützen, die Bedingungen der KI-Verordnung zu verstehen, die Einhaltung der hiermit verbunden Vorschriften sicherzustellen und eine dauerhaft, nachhaltige Umsetzung zu gewährleisten.

Unser praxiserprobtes Vorgehen haben wir dabei wie folgt unterteilt:

  • Governance und Compliance gewährleisten:

Alle eingesetzten KI-Systeme müssen den neuen Vorgaben entsprechen. Wir unterstützen sie mit unserer Expertise und unseren hieraus abgeleiteten Empfehlungen gerne dabei, effiziente Governancestrukturen in ihrem Unternehmen zu implementieren, diese im Rahmen ihrer Schriftlich fixierten Ordnung – ggfs. ergänzt um Toolsets – zu verankern und so eine reibungslose und regelkonforme Umsetzung der KI-Verordnung zu erreichen.

  • KI-Fachwissen entwickeln:

Seit dem 2. Februar 2025 gelten KI-Schulungspflichten, die sich aus der KI-Verordnung ergeben und umfassende Kenntnisse und fundiertes Know-how im Umgang mit KI verlangen. Betreiber & Anbieter von KI-Systemen müssen gemäß Art. 4 KI-Verordnung sicherstellen, dass „ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen“.

VIVACIS unterstützt sie gerne dabei ein KI-Schulungskonzept zu entwickeln und regelmäßige interne Schulungen in ihrem Unternehmen durchzuführen.

Sollten wir Interesse geweckt haben oder Fragen zur Umsetzung der KI-Verordnung haben, kommen sie gerne auf uns zu.

  • Ihr Ansprechpartner bei VIVACIS:

Jochen Geck
Mail: jochen.geck@vivacis.de

DORA findet Anwendung und xAITs treten ab

23. Januar 2025


Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (im Folgenden: Digital Operational Resilience Act, DORA) ist am 16. Januar 2023 in Kraft getreten. Sie findet seit dem 17. Januar 2025 Anwendung auf die betroffenen Gesellschaften. Mit DORA, hat die Europäische Union eine finanzsektorweite Regulierung für die Themen Cybersicherheit, Informations- und Kommunikationstechnologie (IKT) – Risiken und digitale operationale Resilienz geschaffen. DORA soll wesentlich dazu beitragen, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der IKT zu stärken. Um Doppelregulierung zu vermeiden, hat die Bundesaufsicht für Finanzdienstleistungsinstitute (BaFin) über ihr Informationsscheiben vom 19. Dezember 2024 – mit der Anwendung von DORA – die aufsichtlichen Anforderungen an die IT (xAIT) zum Ablauf des 16. Januar 2025 für alle Institute und KVGen aufgehoben, die nicht nach dem Finanzmarktdigitalisierungsgesetz (FinMaDig) reguliert sind.
Die BaFin hat zudem zum 16. Dezember 2024 aktualisierte „Bankaufsichtliche Anforderungen an die IT (BAIT)“ veröffentlicht. Mit Ablauf des 16. Januar 2025 werden hiernach Institute, die ab dem 17. Januar 2025 ein Risikomanagement für die IKT nach Artikel 5 bis 15 oder Artikel 16 DORA betreiben müssen, aus dem Anwenderkreis der BAIT ausgenommen. Die neue Fassung der BAIT berücksichtigt damit bereits die Übergangsregelungen und Anforderungen im Zusammenhang mit DORA.

Konkret gilt es zu beachten:

  • Aufhebung KAIT, VAIT und ZAIT (ab 17. Januar 2025)

Die Regelungen aus KAIT, VAIT und ZAIT treten mit Ablauf des 16. Januar 2025 außer Kraft. Ab dem 17. Januar 2025 gelten ausschließlich die DORA-Vorgaben.

  • Reduzierung des Anwenderkreises der BAIT (ab 17. Januar 2025)

Institute, die ab diesem Datum ein IKT-Risikomanagement gemäß DORA (Artikel 5–15 oder Artikel 16) betreiben müssen, fallen nicht mehr unter die BAIT. Kapitel 11 (Kundenbeziehungen mit Zahlungsdienstnutzern) der BAIT wird vollständig gestrichen. Für Unternehmen, die nicht unter den unmittelbaren Anwendungsbereich von DORA fallen, gelten die BAIT weiterhin.

  • Vollständige Aufhebung der BAIT (ab 1. Januar 2027)

Durch das am 27. Dezember 2024 beschlossene FinmaDiG wird der Anwendungsbereich der DORA erweitert. Ab dem 1. Januar 2027 müssen zusätzliche Institute die DORA-Vorgaben umsetzen. Bis dahin bleiben die BAIT für diese Institute in Kraft, um eine Regelungslücke zu vermeiden. Mit Ablauf des 31. Dezember 2026 treten die BAIT endgültig außer Kraft.

Unterstützungsleistungen der VIVACIS bei der planvollen und effizienten Umsetzung der DORA-Vorgaben

  • Unterstützung bei der vollständigen Umsetzung der DORA-Vorgaben

Zur vollständigen Abarbeitung der sich aus der DORA ergebenden Herausforderungen hat die VIVACIS einen Vier-Phasenansatz entwickelt.

Praxiserprobte Templates, ermöglichen – adaptiert auf die jeweiligen Kundenbedarfe – ein zügiges Aufzeigen und Abarbeiten von Handlungsbedarfen.

  • Durchführung DORA-Readiness Checks zur Qualitätssicherung

Wurden von der betroffenen Gesellschaft bereits Umsetzungsmaßnahmen zu DORA vorgenommen, bietet die VIVACIS die Durchführung eines DORA-Readiness Checks zur Qualitätssicherung an. Dieser gliedert sich in vier Projektschritte:

Schritt 1: Projekt-Kick-Off

Schritt 2: Review Betroffenheitsanalyse
Anschließend führt die VIVACIS einen Review der bisher erstellten Betroffenheitsanalyse durch. Ergebnisse des Reviews werden schriftlich dokumentiert, anschließend besprochen und finalisiert.

Schritt 3: Review GAP-Analyse
Basierend auf den Ergebnissen zur Betroffenheitsanalyse führt die VIVACIS einen Review der bisher gemachten Ergebnisse der GAP-Analyse durch; Themenschwerpunkte sind hierbei u.a.: Governance- und Kontrollrahmen, IKT-Risikomanagementrahmen, Meldewesen (IKT-Vorfälle), Resilienztests Penetrations-, Backup/Restore- & Disaster-Recovery-Tests), IKT-Drittparteien (Vertragswesen/Auslagerung), Berichtswesen. In der Bewertung der VIVACIS werden die kundenspezifischen Gegebenheiten sowie ggf. eine Marktrelevanz berücksichtigt sowie die Auswirkungen der Anforderungen auf die Organisation und Prozesse des Kunden beurteilt. Im Rahmen Reviews gibt die VIVACIS auch Hinweise zu ggfs. noch zu regelnden Aspekten.
Die Ergebnisse des Reviews werden schriftlich (in Excel) dokumentiert, anschließend besprochen und finalisiert.

Schritt 4: Review der bereits erstellten DORA-Dokumentation bzw. Umsetzungsmaßnahmen
Zunächst erfolgt ein Festlegen des Dokumentenuniversums (Teile der „Schriftlich Fixierten Ordnung“ (SFO)), welches im Rahmen des Reviews untersucht werden soll. Anschließend erfolgt die Durchführung des Reviews durch die VIVACIS hinsichtlich:
– der definierten SFO zu DORA,
– dem angedachten Dienstleister-Setup und Vertragswesen (ggfs. unter Einschaltung eines Legal Advisor),
– der erstellten von Fach und IT-Konzepte (z.B. Testing).

Die Ergebnisse des Reviews werden schriftlich dokumentiert, anschließend besprochen und finalisiert.

  • Operative Übernahme der Funktion des IKT-Risikomanagers

Nach erfolgter Umsetzung der DORA-Anforderungen übernimmt die VIVACIS die Funktion des IKT-Risikomanager gemäß DORA. Zur Untermauerung unserer Dienstleistungskompetenz hat sich hierzu das DORA-Team der VIVACIS erfolgreich als „IKT-Manager/-in Digital Operational Resilience Act (DORA)“ zertifizieren lassen.

  • Ihr Ansprechpartner bei VIVACIS

Wir unterstützen und beraten Ihr Unternehmen bei der Überprüfung bzw. Umsetzung der Anforderungen aus der neuen Regulierung. Erfahren Sie mehr über unser Dienstleistungsangebot – oder sprechen Sie uns an:

Anna Schäfer
jeweils zertifizierte Datenschutzbeauftragte, Informationssicherheitsbeauftragte und IKT-Risikomanagerin
Mail: anna.schaefer@vivacis.de

Zusatztermin Webcast: Fit4DORA – Hintergründe, Ziele und Herangehensweise

3. November 2023

Am 16. Januar 2023 ist der „Digital Operational Resilience Act“ (VO (EU) 2022/2554 vom 14. Dezember 2022) – kurz DORA – in Kraft getreten. Die Verordnung wurde von der EU-Kommission im Wesentlichen mit dem Ziel verabschiedet, die bestehenden Regeln im Bereich Betriebsstabilität digitaler Systeme im Finanzsektor EU-weit zu harmonisieren und die Informations- und Kommunikationstechnologie (IKT) im gesamten EU-Finanzsektor widerstandsfähiger zu machen. Nun haben die in Deutschland vom Geltungsbereich der Verordnung betroffenen Unternehmen nur weniger als zwei Jahre Zeit, die DORA-Anforderungen, die durch weitere Rechtsakte in Teilen noch spezifiziert werden, umzusetzen. Dies ist eine enorme Herausforderung, die es neben den laufenden Umsetzungsmaßnahmen zur Compliance mit Verwaltungsvorgaben beispielsweise aus KAIT, BAIT und VAIT zu stemmen gilt.

Getreu dem Motto „Jetzt wird’s ernst“ werden wir im Rahmen eines Webcast die wesentlichen Zielsetzungen und Inhalte von DORA darstellen und erläutern. Wir geben Ihnen einen Ausblick auf die zu bearbeitenden Themenfelder in Ihrem Unternehmen sowie Empfehlungen zu einer möglichen Herangehensweise für die Bewältigung der bevorstehenden Transformation.

Aufgrund der großen Nachfrage bei unserer letzten Veranstaltung, bieten wir gerne einen weiteren Termin wie folgt an:

Datum:Donnerstag, den 9. November 2023
Zeit:11:30 Uhr bis 12:00 Uhr
Referent:innen:Expert:innen von Luther Rechtsanwaltsgesellschaft mbH,
KnowledgeRiver GmbH und VIVACIS Consulting GmbH
Plattform:Microsoft Teams

Falls Sie gerne an unserer, für Sie kostenfreien, Online-Veranstaltung teilnehmen möchten, melden Sie sich gerne bei uns (claudia.ahner@vivacis.de). Sie erhalten anschließend einen Link, mit dem Sie dem Meeting beitreten können.

Wir freuen uns über Ihr Interesse!

Webcast: Fit4DORA – Hintergründe, Ziele und Herangehensweise

15. September 2023

Am 16. Januar 2023 ist der „Digital Operational Resilience Act“ (VO (EU) 2022/2554 vom 14. Dezember 2022) – kurz DORA – in Kraft getreten. Die Verordnung wurde von der EU-Kommission im Wesentlichen mit dem Ziel verabschiedet, die bestehenden Regeln im Bereich Betriebsstabilität digitaler Systeme im Finanzsektor EU-weit zu harmonisieren und die Informations- und Kommunikationstechnologie (IKT) im gesamten EU-Finanzsektor widerstandsfähiger zu machen. Nun haben die in Deutschland vom Geltungsbereich der Verordnung betroffenen Unternehmen nur weniger als zwei Jahre Zeit, die DORA-Anforderungen, die durch weitere Rechtsakte in Teilen noch spezifiziert werden, umzusetzen. Dies ist eine enorme Herausforderung, die es neben den laufenden Umsetzungsmaßnahmen zur Compliance mit Verwaltungsvorgaben beispielsweise aus KAIT, BAIT und VAIT zu stemmen gilt.

Getreu dem Motto „Jetzt wird’s ernst“ werden wir im Rahmen eines Webcast die wesentlichen Zielsetzungen und Inhalte von DORA darstellen und erläutern. Wir geben Ihnen einen Ausblick auf die zu bearbeitenden Themenfelder in Ihrem Unternehmen sowie Empfehlungen zu einer möglichen Herangehensweise für die Bewältigung der bevorstehenden Transformation.

Der Fokus der Veranstaltung richtet sich vor allem auf kleine und mittlere Wertpapierinstitute sowie Kapitalverwaltungsgesellschaften.

Datum:Freitag, 29. September 2023
Zeit:11:30 Uhr bis 12:00 Uhr
Referent:innen:Expert:innen von Luther Rechtsanwaltsgesellschaft mbH,
KnowledgeRiver GmbH und VIVACIS Consulting GmbH
Plattform:Microsoft Teams

Falls Sie gerne an unserer, für Sie kostenfreien, Online-Veranstaltung teilnehmen möchten, melden Sie sich gerne bei uns (claudia.ahner@vivacis.de). Sie erhalten anschließend einen Link, mit dem Sie dem Meeting beitreten können.

Wir freuen uns über Ihr Interesse!

Webcast: Jetzt wird’s ernst – Neues Aufsichtsregime für Wertpapierinstitute ist in Kraft getreten

1. Juli 2021

am 26. Juni 2021 ist das neue Wertpapiergesetz (WpIG) in Verbindung mit dem IFR in Kraft getreten und beschäftigt kleine bis große Wertpapierhäuser. Hiervon betroffen sind alle Finanzdienstleister, die ihren Sitz in Deutschland haben und bisher vom KWG und MiFID II Regime erfasst sind. Dabei handelt es sich insbesondere um alle Anlagevermittler, Anlageberater, Abschlussvermittler und Portfolioverwalter.

Getreu dem Motto „Jetzt wird’s ernst“ werden wir im Rahmen unseres Webcasts wichtige Neuerungen sowie die zukünftige Entwicklung der Aufsicht von Wertpapierinstituten darstellen. Dabei werden aus Compliance-Sicht u.a. folgende Fragen behandelt:

Welche To-Do´s haben sich aus der neuen Regulierung ergeben?
Wo besteht derzeit noch Anpassungsbedarf?
Wo wird die regulatorische Reise zukünftig hingehen?

Der Fokus der Veranstaltung auf unserer neuen Webinar-Plattform richtet sich vor allem auf kleine und mittlere Wertpapierinstitute.

Datum: Donnerstag, 8. Juli 2021
Zeit:      11:30 Uhr bis 12:00 Uhr
Experte:                  Aaron Otomann, VIVACIS Consulting GmbH
Plattform:Microsoft Teams

Falls Sie gerne an unserer, für Sie kostenfreien, Online-Veranstaltung teilnehmen möchten, melden Sie sich gerne bei uns (claudia.ahner@vivacis.de).  Sie erhalten anschließend einen Link, mit dem Sie dem Meeting beitreten können.

Wir freuen uns über Ihr Interesse!