← Zurück zum Glossar

DORA (Digital Operational Resilience Act)

Definition

Verordnung (EU) 2022/2554, anwendbar seit 17. Januar 2025. Regelt die digitale operationelle Resilienz von Finanzunternehmen — IKT-Risikomanagement, Vorfallmeldungen, Resilienz-Tests und Drittanbieter-Risikomanagement, einschließlich Cloud- und AI-Dienstleistern.

Noise — Signal

DORA wird im AI-Kontext gern auf "wir müssen unsere Cloud-Provider auflisten" verkürzt. Der substanzielle Hebel liegt im Drittanbieter-Risikomanagement (Artikel 28 ff.): kritische IKT-Drittdienstleister — und dazu zählen Anbieter von Foundation Models, sobald sie in geschäftskritische Prozesse eingebunden sind — müssen vertraglich auditierbar sein, Exit-Strategien dokumentiert haben und in Resilienz-Tests einbezogen werden. Das ist mit Standard-Verträgen großer US-Modellanbieter heute selten erfüllbar.

Die richtige Frage

Nicht: "Sind unsere AI-Anbieter DORA-konform?" Sondern: "Welche AI-Komponenten in unseren Wertschöpfungsketten qualifizieren als kritische IKT-Funktion, was bedeutet das vertraglich für Audit-Rechte und Exit, und wo zwingt uns das zu Open-Source- oder On-Premises-Alternativen?"

Verwandte Begriffe

AI Act (EU AI Act)

EU-Verordnung 2024/1689 zur Regulierung von AI-Systemen, mit gestaffelter Anwendung bis 2027 und separaten Pflichten für General-Purpose-AI-Modelle.

On-Premises AI

Betrieb von AI-Modellen und Infrastruktur in der eigenen oder einer dedizierten Umgebung statt in API-Diensten der Modellanbieter.

Open Weights vs. Open Source

Open Weights bezeichnet die Veröffentlichung der Modellparameter; Open Source erfordert zusätzlich Trainingscode, Daten-Spezifikation und eine offene Lizenz.

Model Governance

Prozesse, Rollen und Dokumentation, die den Lebenszyklus eines AI-Modells im Unternehmen steuern.

← Zurück zum Glossar