Was DORA von KI-Systemen konkret verlangt

DORA reguliert die digitale Betriebsstabilität von Finanzinstituten. Im Kern geht es um fünf Anforderungen, die auch KI-Systeme direkt betreffen:

1

ICT-Risikomanagement

Jedes KI-System, das in operative Prozesse eingebunden ist, muss in das ICT-Risikomanagement integriert werden. Dokumentierte Risikoanalyse, klare Verantwortlichkeiten, regelmäßige Reviews sind Pflicht.

2

Vorfallberichterstattung

Wenn ein KI-Agent eine Fehlfunktion hat oder zu einer Betriebsunterbrechung beiträgt, gelten Meldepflichten — inklusive Ursachenanalyse und Eskalationspfaden.

3

Resilienztesting

KI-Systeme müssen regelmäßig auf Betriebsstabilität getestet werden. Für systemrelevante Institute schreibt DORA Threat-Led Penetration Tests (TLPT) vor.

4

Drittanbieter-Management

Cloud-Anbieter, KI-Plattformen, externe Modell-Anbieter — alle gelten als IKT-Drittdienstleister. US-basierte KI-Dienste ohne EU-Endpoint können hier zum Problem werden.

5

Audit-Trail & Nachvollziehbarkeit

Jede Entscheidung eines AI Agents muss nachvollziehbar sein — wann, warum, auf Basis welcher Daten. Vollständige Protokollierung ist keine Option, sondern Pflicht.

EU-Hosting ist kein Nice-to-have

Viele Banken nutzen bereits KI — oft informell, über Mitarbeitende die private ChatGPT-Accounts verwenden oder über Shadow-IT-Pfade. Das ist unter DORA nicht mehr vertretbar.

Die Anforderung ist klar: Volle Kontrolle über Datenverarbeitung, Modell-Verhalten und Audit-Trail.

  • KI-Modelle müssen auf EU-Servern laufen oder via DSGVO-konformer Verarbeitungsvereinbarung eingebunden sein
  • Jede Entscheidung eines AI Agents muss nachvollziehbar sein — wann, warum, auf Basis welcher Daten
  • Das System muss in Echtzeit überwacht und bei Auffälligkeiten gestoppt werden können

Wo AI Agents trotzdem sofort Mehrwert liefern

DORA schränkt den KI-Einsatz nicht ein — es definiert den Rahmen. Innerhalb dieses Rahmens gibt es enorme Hebel:

KYC & Compliance-Prüfung

AI Agents können Identitätsprüfungen, Sanktionslisten-Abgleiche und Dokumentenvalidierungen automatisieren — mit vollständigem Audit-Trail. Bearbeitungszeit: bis zu 74 % reduzierbar.

Kreditantrag & Dokumentenverarbeitung

Von der Antragseingabe bis zur Erstentscheidung: was heute 10 Tage dauert, ist mit einem strukturierten Agent-Workflow in 3 Tagen lösbar — bei gleichzeitig verbesserter Dokumentation.

Regulatory Reporting

Automatisierte Zusammenstellung von Berichten für BaFin, EBA und interne Governance-Gremien — konsistent, termingerecht, ohne manuelle Fehlerquellen.

Kundenbetreuung First Level

Standardanfragen, Kontoeröffnungen, Produktinformationen — rund um die Uhr, ohne Personalaufbau, mit vollem Gesprächsprotokoll für Compliance-Anforderungen.

Der 90-Tage-Pfad: Von der Evaluierung zum produktiven Einsatz

Das häufige Missverständnis: DORA macht KI komplizierter. Das Gegenteil ist richtig — wer DORA von Anfang an als Designprinzip behandelt, baut Systeme, die auch der nächsten Regulierungswelle standhalten.

Wochen 1–4 Phase 1 — Foundations
  • Use-Case-Selektion nach ROI und Regulierungsaufwand
  • Drittanbieter-Assessment aller bestehenden KI-Tools
  • Aufbau des ICT-Governance-Rahmens
  • EU-Hosting-Setup und Datensouveränität klären
Wochen 5–10 Phase 2 — Pilot
  • Ersten Agent produktiv deployen (ein klar definierter Use Case)
  • Monitoring, Audit-Log und Eskalationspfade aktiv
  • Erste Messungen gegen definierte Erfolgsmetriken
  • Resilienztests durchführen, Learnings DORA-konform dokumentieren
Wochen 11–13 Phase 3 — Rollout
  • Skalierung auf weitere Use Cases
  • Integration in bestehendes ICT-Risikomanagement
  • Vollständige DORA-Dokumentation finalisieren
  • Roadmap für nächste 6 Monate festlegen

Was jetzt zu tun ist

Banken, die KI ernsthaft einsetzen wollen, sollten drei Dinge sofort angehen:

  • Bestandsaufnahme: Welche KI-Systeme laufen bereits — auch informell? Was verarbeiten sie?
  • Drittanbieter prüfen: Sind alle KI-Anbieter DORA-konform eingebunden? Gibt es US-Endpoints ohne DPA?
  • Governance-Rahmen definieren: Wer ist verantwortlich für KI-Entscheidungen? Wie wird Audit-Trail sichergestellt?
"Wer heute die Infrastruktur richtig aufbaut, hat bis Ende 2026 operative Erfahrung — und eine regulatorisch abgesicherte Position, die Wettbewerber erst aufbauen müssen."

Echomotion baut DORA-konforme AI-Agent-Infrastruktur für Banken und Finanzinstitute. Vom Governance-Rahmen bis zum produktiven Agent-Rollout — in 90 Tagen. Lead Magnet PDF: Den vollständigen Leitfaden mit Implementierungs-Checkliste als PDF können Sie unten kostenlos anfordern.