Konformität des AI Act und CIS-Benchmark – zwei Innovationen, die vom Management geschätzt werden
Konformität des AI Act und CIS-Benchmark – zwei Innovationen, die vom Management geschätzt werden
Künstliche Intelligenz hat sich schnell von Piloten zu routinemäßigen Prozessen entwickelt – in den Bereichen Kundensupport, Marketing, Personalwesen und Cybersicherheit. Gleichzeitig wächst der Druck von Regulierungsbehörden und Partnern: Sie wollen sehen, dass Sie KI sicher, transparent und mit klarer Rechenschaftspflicht einsetzen. Das BDO erweitert daher sein Portfolio um zwei praktische Dienstleistungen, die Compliance in die Sprache des Managements übersetzen: die Einhaltung des AI-Gesetzes und die Bewertung des CIS-Benchmarks.
Fristen und Sanktionen sind für das Management entscheidend. Die Verpflichtungen beginnen allmählich zwischen 2025 und 2027, und die Nichteinhaltung kann teurer werden – die BDO verhängt Strafen von bis zu 35 Millionen Euro oder 7 % des Umsatzes. KI-Governance wird daher zu einem Thema für den Vorstand – ähnlich wie Cybersicherheit in den letzten Jahren.
Unabhängig von der Regulierung sollte das Unternehmensmanagement einen klaren Rahmen und Prozesse haben, um KI-Tools effektiv und sicher zu nutzen – sei es intern oder innerhalb von Drittanbieterprodukten während des gesamten Lebenszyklus – vom Onboarding über den allgemeinen Gebrauch bis zur Entwicklung der Generationen.
Auf die Überprüfung folgt ein strukturiertes Verfahren, das typischerweise Folgendes umfasst:
Für die Führung legt CIS-Benchmarking die Cybersicherheit nach Skalierung fest: Statt von Gefühlen erhalten Sie ein klares Bild von Compliance, kritischen Abweichungen und Abhilfeprioritäten (einschließlich der Möglichkeit, die Einhaltung mit spezialisierten Tools zu überprüfen).
Der CIS Benchmark von BDO liefert Ihnen einen "harten Beweis" für Sicherheit – er zeigt schnell die größten Konfigurationsrisiken in Schlüsselsystemen auf und verwandelt sie in eine Prioritäten-Roadmap, die sofort vor der Prüfung und dem Vorstand verwaltet und verteidigt werden kann.
Ein typisches Ergebnis für das Management ist so gestaltet, dass Entscheidungen entsprechend getroffen werden können:
AI Act: Warum es nicht nur ein Thema für Anwälte und IT ist
Das EU-KI-Gesetz ist der erste umfassende Rahmen zur Regulierung von KI und baut auf dem Risikomanagement auf. KI teilt Systeme nach Risikograd ein und legt Wert auf Risikomanagement, Testing, Transparenz und Prüfbarkeit für Hochrisiko-Lösungen. Wichtig ist, dass es nicht nur Unternehmen betrifft, die KI entwickeln oder liefern, sondern auch Organisationen, die "nur" KI nutzen – zum Beispiel in der Personalabteilung, kritischer Infrastruktur oder Sicherheitsüberwachungstools.Fristen und Sanktionen sind für das Management entscheidend. Die Verpflichtungen beginnen allmählich zwischen 2025 und 2027, und die Nichteinhaltung kann teurer werden – die BDO verhängt Strafen von bis zu 35 Millionen Euro oder 7 % des Umsatzes. KI-Governance wird daher zu einem Thema für den Vorstand – ähnlich wie Cybersicherheit in den letzten Jahren.
Unabhängig von der Regulierung sollte das Unternehmensmanagement einen klaren Rahmen und Prozesse haben, um KI-Tools effektiv und sicher zu nutzen – sei es intern oder innerhalb von Drittanbieterprodukten während des gesamten Lebenszyklus – vom Onboarding über den allgemeinen Gebrauch bis zur Entwicklung der Generationen.
Neu: Einhaltung des BDO AI Act – Regulierung in ein handhabbares Projekt verwandeln
Das BDO konzipiert die Einhaltung des KI-Gesetzes so, dass sie als Managementprogramm verstanden werden kann und nicht als endlose juristische Debatte. In der Praxis beginnt es mit einer schnellen "AI-Act-Compliance-Prüfung" – es wird überprüft, ob Sie im Rahmen der Regulierung liegen, welche Rolle Sie in der Wertschöpfungskette spielen (z. B. Anbieter/Implementierer) und welche Arten von KI Sie tatsächlich im Unternehmen einsetzen. Wo der AI Act keine klaren Fragen aufwirft oder aus unserer Sicht nicht ausreicht, lassen wir uns vom international anerkannten KI-Sicherheitsmanagement-Framework des NIST inspirieren.Auf die Überprüfung folgt ein strukturiertes Verfahren, das typischerweise Folgendes umfasst:
- Definition des Umfangs und der Rollen (wo KI erstellt wird, wo man sie kauft, wo man sie einsetzt)
- Klassifizierung von KI-Systemen nach Risiko
- Aufbau von Dokumentationen und Prozessen, um sich gegen den Regulator und die Kunden zu behaupten
- Training ("KI-Kompetenz") und die Festlegung von Verantwortlichkeiten, damit die Regeln nicht nur auf dem Papier bleiben
CIS-Benchmarks: eine Sicherheitsbasislinie, die messbar ist
Während der AI Act Governance und Verantwortlichkeit im Bereich KI behandelt, richtet sich CIS Benchmarks auf eine der häufigsten Ursachen für Vorfälle: schlecht aufgebaute Systeme. CIS-Benchmarks sind vorschreibende Empfehlungen für eine sichere Konfiguration, die durch Expertenkonsens erstellt werden; CIS beschreibt sie als Empfehlungen für mehr als 25+ Produktfamilien.Für die Führung legt CIS-Benchmarking die Cybersicherheit nach Skalierung fest: Statt von Gefühlen erhalten Sie ein klares Bild von Compliance, kritischen Abweichungen und Abhilfeprioritäten (einschließlich der Möglichkeit, die Einhaltung mit spezialisierten Tools zu überprüfen).
Der CIS Benchmark von BDO liefert Ihnen einen "harten Beweis" für Sicherheit – er zeigt schnell die größten Konfigurationsrisiken in Schlüsselsystemen auf und verwandelt sie in eine Prioritäten-Roadmap, die sofort vor der Prüfung und dem Vorstand verwaltet und verteidigt werden kann.
Neu: BDO CIS Benchmark-Bewertung – Diagnose- und Sanierungsplan
Innerhalb von BDO Digital in der Tschechischen Republik finden Sie bereits Dienstleistungen, die sich auf das Management von Cyberrisiken und deren Auswirkungen auf das Geschäft konzentrieren (z. B. Sicherheits-Gesundheitscheck, CISO as a Service, Schwachstellentests oder Penetrationstests). Die CIS-Benchmark-Bewertung passt in dieses Portfolio als schneller, sehr konkreter Start oder "Reset" der Sicherheitshygiene.Ein typisches Ergebnis für das Management ist so gestaltet, dass Entscheidungen entsprechend getroffen werden können:
- Board-ready Report: Was im Umfang liegt, Gesamtstatus/Compliance und kritische Abweichungen
- Priorisierung: "Schnelle Siege" vs. strukturelle Veränderung
- Fahrplan und Verantwortlichkeiten: wer, was und wann – einschließlich empfohlener Kontrollrhythmus