NIST AI Risk Management Framework
Das NIST AI Risk Management Framework (AI RMF 1.0) wurde im Januar 2023 vom US-Standardisierungs-Institut veröffentlicht und 2024 um ein Generative-AI-Profil ergänzt. Es ist freiwillig und nicht rechtsverbindlich, hat aber weltweite Wirkung. Auch in Europa nutzen viele globale Unternehmen weltweit das NIST-Vokabular intern und stützen sich darauf, wenn sie EU-KI-Verordnung-Pflichten technisch umsetzen. Wer beide Welten bedient, braucht ein klares Mapping.
Aufbau des Frameworks
Das AI RMF ist um vier Funktionen aufgebaut: Govern, Map, Measure, Manage. Govern legt Strukturen und Verantwortungen fest. Map identifiziert Kontext und Risiken. Measure bewertet Risiken und Performance. Manage steuert die priorisierten Risiken über den Lebenszyklus. Jede Funktion hat Sub-Kategorien mit Soll-Aussagen.
Generative-AI-Profil
Das 2024 ergänzte Profil adressiert spezifische Risiken von generativer KI: Halluzination, Datenleckage über Prompt-Eingaben, schädliche Inhalte, Modell-Verzerrung, geistiges Eigentum, Lieferketten-Risiken. Es ist die nützlichste Quelle für strukturierte Foundation-Model-Risiko-Analyse, die heute frei verfügbar ist.
Mapping zur EU-KI-Verordnung
Govern entspricht weitgehend Art. 9 (Risikomanagement-System) und Art. 17 (Qualitäts-Management-System). Map deckt Art. 9 (Risikoanalyse) und Art. 13 (Transparenz). Measure deckt Art. 15 (Genauigkeit, Robustheit, Cybersicherheit). Manage entspricht Art. 9 Abs. 5 (laufende Risiko-Behandlung). Die Lücken liegen bei Konformitätsbewertung und CE-Kennzeichnung, die NIST nicht kennt.
Mapping zu ISO/IEC 42001
ISO 42001 Anhang A 38 Kontrollen lassen sich auf NIST-Sub-Kategorien abbilden. Beide Rahmen sind ergänzend, kein Konflikt. In der Praxis: ISO 42001 ist das Managementsystem, NIST AI RMF die Risiko-Methodik darunter. AI Office und EU-Standardisierungsorganisationen erkennen das an.
Praktische Anwendung
Wer im Unternehmen schon NIST CSF (Cybersecurity Framework) einsetzt, profitiert vom gleichen Vokabular. Risiko-Bewertungen nach AI RMF lassen sich in bestehende GRC-Werkzeuge importieren. Der grösste Mehrwert liegt im Generative-AI-Profil, das EU-KI-Verordnung-Verpflichtete als Operationalisierungs-Hilfe verwenden.
Grenzen
Das Framework ist freiwillig und ersetzt keine rechtliche Bewertung. EU-Unternehmen brauchen weiterhin DSGVO-Folgenabschätzung, EU-KI-Verordnung-Konformitätsbewertung und gegebenenfalls DORA- oder NIS-2-Pflichten-Erfüllung. NIST AI RMF strukturiert die technische Arbeit, ersetzt aber keine Aufsichts-Anzeige.
Diese deutsche Fassung wird laufend ausgebaut. Für ein konkretes Projekt nutzen Sie bitte das Beratungsgespräch oder schreiben an info@ainora.lt.