30 Tage Risikoerkennung für generative KI:Jetzt starten
Demo buchen
ActiveUnited StatesFrameworkIn Kraft: 2023-01-26

NIST-Rahmenwerk für das Management von KI-Risiken

Ein freiwilliges Rahmenwerk des US-amerikanischen National Institute of Standards and Technology für das Management von Risiken über den gesamten Lebenszyklus von KI-Systemen hinweg.

Überblick

Das NIST AI Risk Management Framework (AI RMF 1.0), veröffentlicht am 26 January 2023, ist ein freiwilliges Leitliniendokument, das vom National Institute of Standards and Technology entwickelt wurde, um Organisationen dabei zu unterstützen, KI-Systeme auf vertrauenswürdige und verantwortungsvolle Weise zu entwerfen, zu entwickeln, einzusetzen und zu nutzen. Obwohl es rechtlich nicht bindend ist, hat sich das NIST AI RMF zu einem De-facto-Standard für die KI-Governance in den Vereinigten Staaten entwickelt und wird zunehmend in regulatorischen Leitlinien weltweit herangezogen.

Das Rahmenwerk ist um vier Kernfunktionen herum aufgebaut: Govern, Map, Measure und Manage. Diese Funktionen bieten einen flexiblen, strukturierten Ansatz für das Management von KI-Risiken, der an die Größe, die Branche und die Risikobereitschaft jeder Organisation angepasst werden kann.

Die Funktion GOVERN etabliert und pflegt die organisatorischen Strukturen, Richtlinien und Prozesse für das Management von KI-Risiken. Sie betont die Rechenschaftspflicht der Führungsebene, die Einbindung der Interessengruppen und die Integration des KI-Risikomanagements in das umfassendere Unternehmensrisikomanagement. Diese Funktion erkennt an, dass eine wirksame KI-Governance einen kulturellen Wandel erfordert und nicht nur technische Kontrollen.

Bei der Funktion MAP geht es darum, den Kontext zu verstehen, in dem KI-Systeme betrieben werden. Sie umfasst die Identifizierung und Kategorisierung von KI-Systemen, das Verständnis ihrer beabsichtigten Zwecke und potenziellen Auswirkungen sowie die Anerkennung des breiteren gesellschaftlichen Kontexts des KI-Einsatzes. Das Mapping umfasst zudem die Identifizierung der relevanten Interessengruppen und das Verständnis der rechtlichen und regulatorischen Rahmenbedingungen.

Die Funktion MEASURE konzentriert sich auf den Einsatz quantitativer und qualitativer Methoden, um KI-Risiken und ihre damit verbundenen Auswirkungen zu analysieren, zu bewerten, zu vergleichen und zu überwachen. Dazu gehört die Entwicklung von Kennzahlen für Vertrauenswürdigkeitsmerkmale wie Genauigkeit, Fairness, Datenschutz, Sicherheit, Resilienz, Transparenz, Erklärbarkeit und Rechenschaftspflicht.

Die Funktion MANAGE umfasst die Zuweisung von Ressourcen und die Umsetzung von Plänen, um auf KI-Risiken zu reagieren, sich von ihnen zu erholen und über sie zu kommunizieren. Dazu gehören die Priorisierung von Risiken, die Umsetzung von Minderungsstrategien und die Einrichtung von Prozessen für eine fortlaufende Überwachung und Anpassung.

Das Begleitdokument, das NIST AI RMF Playbook, enthält vorgeschlagene Maßnahmen und Verweise für jede Unterkategorie und macht das Rahmenwerk dadurch in der Umsetzung sehr praxistauglich. Das Playbook ist ein lebendiges Dokument, das das NIST aktualisiert, sobald sich die Praktiken weiterentwickeln.

Das NIST AI RMF wurde im Rahmen eines umfangreichen Multi-Stakeholder-Prozesses entwickelt, an dem Hunderte von Organisationen aus Industrie, Wissenschaft, Zivilgesellschaft und Regierung beteiligt waren. Dieser kollaborative Entwicklungsprozess hat dem Rahmenwerk eine breite Legitimität und Akzeptanz über alle Sektoren hinweg verliehen.

Im Kontext der regulatorischen Landschaft der USA dient das NIST AI RMF als grundlegende Referenz. Die Executive Order on AI Safety von 2023 verweist ausdrücklich auf das NIST AI RMF, und mehrere US-Bundesbehörden haben es in ihre Leitlinien zur KI-Governance aufgenommen. Auch KI-Gesetzgebung auf Ebene der Bundesstaaten, wie der Colorado AI Act, verweist auf NIST-Standards.

Zentrale Anforderungen

1

GOVERN: KI-Governance-Strukturen mit klaren Rollen, Verantwortlichkeiten und Rechenschaftspflichten einrichten

2

GOVERN: Organisatorische Richtlinien und Prozesse für das Management von KI-Risiken entwickeln

3

GOVERN: Eine Kultur der verantwortungsvollen Entwicklung und Nutzung von KI fördern

4

MAP: Alle KI-Systeme nach Kontext, Zweck und Risiko inventarisieren und kategorisieren

5

MAP: Beabsichtigte und unbeabsichtigte Auswirkungen von KI-Systemen auf Menschen und Gemeinschaften identifizieren

6

MAP: Rechtliche, regulatorische und ethische Anforderungen für jedes KI-System verstehen

7

MEASURE: Kennzahlen für die Vertrauenswürdigkeitsmerkmale von KI entwickeln und anwenden

8

MEASURE: Leistung, Fairness, Verzerrung und Zuverlässigkeit von KI-Systemen bewerten

9

MEASURE: KI-Systeme auf Drift, Verschlechterung und neu auftretende Risiken überwachen

10

MANAGE: Identifizierte KI-Risiken nach Auswirkung und Wahrscheinlichkeit priorisieren

11

MANAGE: Strategien zur Risikobewältigung umsetzen (mindern, übertragen, akzeptieren, vermeiden)

12

MANAGE: Pläne für die Reaktion auf Vorfälle und die Kommunikation bei KI-Ausfällen einrichten

13

Vielfältige Interessengruppen über den gesamten KI-Lebenszyklus hinweg einbinden

14

Aktivitäten und Entscheidungen im Management von KI-Risiken dokumentieren und kommunizieren

Wichtige Termine & Zeitplan

July 2021
Das NIST veröffentlicht eine Informationsanfrage zum NIST AI RMF
March 2022
Erster Entwurf des NIST AI RMF zur öffentlichen Kommentierung veröffentlicht
August 2022
Zweiter Entwurf veröffentlicht
26 January 2023
AI RMF 1.0 offiziell veröffentlicht
January 2023
AI RMF Playbook begleitend zum Rahmenwerk veröffentlicht
October 2023
Die US-amerikanische Executive Order on AI verweist auf das NIST AI RMF
April 2024
Das NIST veröffentlicht das begleitende AI RMF Generative AI Profile
2025
Laufende Aktualisierungen des Playbooks und der Profile
March 2025
Das NIST veröffentlicht eine erweiterte Taxonomie-Aktualisierung, die Schwachstellen generativer KI und von LLM behandelt; es integriert das NIST AI RMF mit anderen NIST-Rahmenwerken
January 2026
Das NIST veröffentlicht GCR-26-069: A Possible Approach for Evaluating AI Standards Development
February 2026
Das US-Finanzministerium veröffentlicht das Financial Services AI Risk Management Framework und passt das NIST AI RMF an die Anforderungen des Finanzsektors an

Wen es betrifft

  • US-Bundesbehörden (in der Executive Order on AI erwähnt)
  • KI-Entwickler und -Betreiber, die ein Governance-Rahmenwerk suchen
  • Organisationen, die auf KI-Gesetzgebung auf Ebene der US-Bundesstaaten reagieren
  • Auftragnehmer der öffentlichen Hand, die KI-Systeme entwickeln oder beschaffen
  • Jede Organisation, die verantwortungsvolle KI-Praktiken nachweisen möchte
  • Internationale Organisationen, die eine Ausrichtung an den US-amerikanischen Erwartungen an die KI-Governance anstreben

Häufige Fragen

Ist das NIST AI RMF rechtlich verpflichtend?

Das NIST AI RMF ist ein freiwilliges Rahmenwerk. Es wird jedoch in der US-amerikanischen Executive Order on AI erwähnt und zunehmend als Maßstab bei der Beschaffung auf Bundesebene, in der Gesetzgebung der Bundesstaaten und in Branchenstandards herangezogen. Seine Übernahme signalisiert eine verantwortungsvolle KI-Praxis.

Wie unterscheidet sich das NIST AI RMF vom EU AI Act?

Das NIST AI RMF ist ein freiwilliges Rahmenwerk für das Risikomanagement, während der EU AI Act ein verbindliches Gesetz ist. Das RMF bietet flexible Leitlinien für das Management von KI-Risiken; der EU AI Act erlegt spezifische rechtliche Pflichten mit Sanktionen auf. Viele Organisationen nutzen beide: das RMF für die Governance und den EU AI Act für die rechtliche Konformität.

Behandelt das NIST AI RMF generative KI?

Ja. Das NIST veröffentlichte im April 2024 das Generative AI Profile, das spezifische Leitlinien für das Management von Risiken im Zusammenhang mit generativen KI-Systemen bereitstellt, darunter die Herkunft von Inhalten, die Integrität von Informationen und neuartige Risiken wie Halluzinationen und CBRN-Informationen.

Regulation Updates

Stay Ahead of AI Regulations

Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.