Zurück zu Hawk Nest
Einblicke
Auswirkungen von PSD2 und DORA auf KI in Finanzdienstleistungen
PSD2 und DORA setzen gemeinsam die Regeln, nach denen KI innerhalb einer regulierten Finanzinstitution funktionieren muss. PSD2 regelt die starke Kundenauthentifizierung und den Drittanbieterzugang zu Zahlungsdaten; DORA ergänzt Pflichten zur operationellen Resilienz — IKT-Risikomanagement, Incident-Reporting und Aufsicht über Drittanbieter, die nun auch LLM- und Cloud-KI-Anbieter umfassen. Jedes KI-Deployment erbt beide Regelwerke.
Der vollständige Artikel ist in Vorbereitung. Die Zusammenfassung und die Fragen unten geben das Kernargument wieder; der vollständige Beitrag — mit Referenzarchitektur-Diagrammen und praktischen Beispielen — folgt in Kürze.
Verwandte Fragen
- Behandelt DORA einen LLM-Anbieter als IKT-Drittanbieter?
- In der Praxis ja — ein Cloud-LLM ist eine IKT-Drittabhängigkeit und fällt damit unter DORA-Anforderungen für Risikomanagement, Monitoring und Exit-Plan. Das bedeutet ein dokumentiertes Vendor-Inventory, vertragliche Controls und eine erprobte Wechsel- oder Entzugsmöglichkeit.
- Was verlangt PSD2, wenn KI Zahlungsdaten verarbeitet?
- KI-Komponenten erben die starke Kundenauthentifizierung und Zugangskontrollen von PSD2. Jedes System, das Konto- oder Zahlungsdaten liest, muss dieselben Authentifizierungs-, Zustimmungs- und Least-Privilege-Regeln einhalten wie der Rest des Betriebs — mit GDPR als übergeordnete Regelung für die personenbezogene Datendimension.