Das NIST AI Risk Management Framework ist der De-facto-Standard für KI-Governance in den USA und weit darüber hinaus. Diese Vorlage führt Sie durch alle 19 Kategorien der Funktionen GOVERN, MAP, MEASURE und MANAGE: Bewerten Sie Ihren Reifegrad, erfassen Sie Nachweise, dokumentieren Sie Lücken und erstellen Sie eine priorisierte Behebungs-Roadmap, mit einem eigenen Abschnitt für das Profil für generative KI.
Das AI RMF 1.0 gliedert das KI-Risikomanagement in vier Funktionen. GOVERN ist übergreifend und trägt die drei anderen, die auf konkrete KI-Systeme und Anwendungsfälle angewendet werden.
Etabliert die Richtlinien, Verantwortlichkeitsstrukturen und Risikokultur, auf denen der Rest des Frameworks aufbaut. Wird einmal auf Organisationsebene bewertet.
Erfasst den Kontext jedes KI-Systems und identifiziert seine Risiken: vorgesehener Zweck, Kategorisierung, Fähigkeiten und Kosten, Drittkomponenten und Auswirkungen auf Menschen.
Überführt identifizierte Risiken in Bewertungen: Metriken, Prüfung der Merkmale vertrauenswürdiger KI, Nachverfolgung der Risiken über die Zeit und Kontrolle, ob die Messung selbst funktioniert.
Lenkt Ressourcen auf die Risiken, die MAP und MEASURE aufgedeckt haben: Behandlungsentscheidungen, Nutzenstrategien, Management von Drittanbieterrisiken sowie Reaktions- und Wiederherstellungspläne.
Ein einsatzbereites Bewertungsdokument, kein Gliederungsentwurf: Jede Tabelle ist bereit für Ihre Bewertungen, Nachweise und Verantwortlichen.
Alle 19 Kategorien mit Reifegrad sowie Spalten für Nachweise, Lücken, Maßnahmen und Verantwortliche.
Nicht begonnen, Teilweise erfüllt, Weitgehend erfüllt und Vollständig erfüllt, mit klaren Definitionen für konsistente Bewertungen über Teams hinweg.
Die zwölf Risiken generativer KI aus NIST AI 600-1 als Relevanz- und Abdeckungsprüfung zusätzlich zur Kernbewertung.
Eine konsolidierte Sicht auf alle Kategoriebewertungen für das Management-Reporting und den Vergleich zwischen Zyklen.
Eine zentrale Roadmap-Tabelle mit Prioritäten, Verantwortlichen, Zielterminen und Hinweisen zur Reihenfolge.
Welche Systeme einzubeziehen sind, welche Teams mitwirken sollten und wie oft neu bewertet wird.
Die beiden Rahmenwerke ergänzen sich: Die meisten ausgereiften KI-Governance-Programme strukturieren ihr Risikodenken mit dem NIST AI RMF und zertifizieren das umgebende Managementsystem nach ISO 42001.
| Aspekt | NIST AI RMF | ISO 42001 |
|---|---|---|
| Art | Freiwilliges Risikomanagement-Framework, veröffentlicht vom NIST (Januar 2023) | Zertifizierbare internationale Managementsystem-Norm (Dezember 2023) |
| Aufbau | 4 Funktionen (GOVERN, MAP, MEASURE, MANAGE) mit 19 Kategorien | Kapitel 4 bis 10 plus Controls in Anhang A |
| Zertifizierung | Keine; Selbstbewertung anhand des Frameworks | Akkreditierte Zertifizierung durch Dritte verfügbar |
| Schwerpunkt | Identifikation, Messung und Behandlung der Risiken von KI-Systemen | Ein unternehmensweites KI-Managementsystem mit kontinuierlicher Verbesserung |
| Bester erster Schritt | Schnelle, flexible Basis; stark für Organisationen mit US-Bezug | Wenn Kunden oder Aufsichtsbehörden zertifizierte Nachweise erwarten |
Wer beide Gap-Analysen durchführt, erhält eine Risikosicht und eine Managementsystemsicht auf dasselbe Programm. Die natürliche Ergänzung zu dieser Vorlage: ISO-42001-Gap-Analyse-Vorlage
GOVERN 1 verlangt ein vollständiges KI-Inventar, und MAP 4 fragt, was darin steckt. Aona entdeckt jedes KI-Tool, das in Ihrem Unternehmen genutzt wird, überwacht, welche Daten hineinfließen, und hält die Nachweise prüfungsbereit.