I
Impetora
Antwort

DORA und KI-Outsourcing

Der Digital Operational Resilience Act (Verordnung (EU) 2022/2554) gilt seit dem 17. Januar 2025 für nahezu alle Finanz-Unternehmen in der EU. KI-Dienste fallen klar unter ‚IKT-Dienstleistungen‘ und damit unter das volle DORA-Auslagerungsregime. Wer 2026 KI in einer Bank, Versicherung oder einem Wertpapierdienstleister einsetzt, muss Verträge, Audit-Rechte, Konzentrations-Risiko und Exit-Strategie sauber belegen können, sonst eskaliert die nächste Aufsichtsprüfung.

Anwendungsbereich von DORA

DORA gilt für mehr als 22 000 Finanzunternehmen in der EU. Banken, Versicherungen, Zahlungsdienstleister, Krypto-Anbieter, Vermögensverwalter und kritische IKT-Drittparteien. Der Geltungsbereich ist breiter als jede frühere Auslagerungs-Vorschrift, und KI-Anbieter zählen ohne Ausnahme dazu.

Was DORA von KI-Anbietern verlangt

Schriftliche Verträge mit Mindestklauseln, Test- und Audit-Rechte, Berichts-Pflichten bei Vorfällen innerhalb von vier Stunden, klare Exit-Klauseln und übertragbare Daten in offenen Formaten. Subunternehmer-Ketten müssen vollständig offengelegt werden.

Konzentrations-Risiko

Wer einen einzigen KI-Anbieter für mehrere kritische Funktionen nutzt, muss das Konzentrations-Risiko aktiv steuern. Aufsichtsbehörden fordern dokumentierte Alternativen und nachweisbare Wechsel-Fähigkeit. BaFin-Erwartungen liegen hier deutlich höher als vor 2025.

Audit- und Zugriffsrechte

DORA verlangt direkte Vor-Ort-Audit-Rechte und Zugriff auf System-Logs, Modell-Versionen und Trainingsdaten-Beschreibungen. Ein Anbieter, der das nicht vertraglich zusichert, ist für regulierte Finanz-Unternehmen nicht beschaffbar.

Exit und Übertragbarkeit

Verträge müssen ein dokumentiertes Exit-Szenario mit Test-Lauf enthalten. Ohne übertragbare Daten und ohne reproduzierbare Modelle ist ein Anbieter-Wechsel binnen DORA-Frist faktisch unmöglich. Das ist eines der Top-3-Findings in BaFin-Prüfungen 2025/2026.

Verbindung zu BAIT, MaRisk, VAIT, MaGo

DORA überlagert die nationalen Erwartungen, ersetzt sie aber nicht. Banken bleiben an BAIT und MaRisk gebunden, Versicherer an VAIT und MaGo. Eine KI-Auslagerung muss alle vier Regelwerke zugleich erfüllen, und das ist die häufigste Schwachstelle in der Praxis.

Beratungsgespräch buchenVollständige englische Fassung lesen

Diese deutsche Fassung wird laufend ausgebaut. Für ein konkretes Projekt nutzen Sie bitte das Beratungsgespräch oder schreiben an info@ainora.lt.

Discovery-Gespräch

Discovery-Gespräch buchen

Erzählen Sie uns, was Sie bauen möchten. Wir antworten innerhalb eines Werktages.

30-minütiges Gespräch. Kostenfrei. Unverbindlich.