30 Tage Risikoerkennung für generative KI:Jetzt starten
Demo buchen
Kostenlose Vorlage · NIST AI RMF

NIST-AI-RMF-Gap-Analyse-VorlageWie gut ist Ihr KI-Risikomanagement aufgestellt?

Das NIST AI Risk Management Framework ist der De-facto-Standard für KI-Governance in den USA und weit darüber hinaus. Diese Vorlage führt Sie durch alle 19 Kategorien der Funktionen GOVERN, MAP, MEASURE und MANAGE: Bewerten Sie Ihren Reifegrad, erfassen Sie Nachweise, dokumentieren Sie Lücken und erstellen Sie eine priorisierte Behebungs-Roadmap, mit einem eigenen Abschnitt für das Profil für generative KI.

So ist das NIST AI RMF aufgebaut

Das AI RMF 1.0 gliedert das KI-Risikomanagement in vier Funktionen. GOVERN ist übergreifend und trägt die drei anderen, die auf konkrete KI-Systeme und Anwendungsfälle angewendet werden.

GOVERN

6 Kategorien
Kultur, Richtlinien, Verantwortlichkeit

Etabliert die Richtlinien, Verantwortlichkeitsstrukturen und Risikokultur, auf denen der Rest des Frameworks aufbaut. Wird einmal auf Organisationsebene bewertet.

  • Richtlinien und Prozesse
  • Verantwortlichkeitsstrukturen
  • Vielfalt und Barrierefreiheit der Teams
  • Risikokultur
  • Einbindung der KI-Akteure
  • Drittanbieter- und Lieferkettenrisiken

MAP

5 Kategorien
Kontext und Risikoidentifikation

Erfasst den Kontext jedes KI-Systems und identifiziert seine Risiken: vorgesehener Zweck, Kategorisierung, Fähigkeiten und Kosten, Drittkomponenten und Auswirkungen auf Menschen.

  • Kontext etabliert
  • Kategorisierung des Systems
  • Fähigkeiten, Nutzen und Kosten
  • Risikokartierung von Komponenten und Dritten
  • Charakterisierung der Auswirkungen

MEASURE

4 Kategorien
Bewertung, Tests, Nachverfolgung

Überführt identifizierte Risiken in Bewertungen: Metriken, Prüfung der Merkmale vertrauenswürdiger KI, Nachverfolgung der Risiken über die Zeit und Kontrolle, ob die Messung selbst funktioniert.

  • Methoden und Metriken
  • Bewertung der Vertrauenswürdigkeit
  • Risikonachverfolgung
  • Wirksamkeit der Messung

MANAGE

4 Kategorien
Priorisierung, Reaktion, Wiederherstellung

Lenkt Ressourcen auf die Risiken, die MAP und MEASURE aufgedeckt haben: Behandlungsentscheidungen, Nutzenstrategien, Management von Drittanbieterrisiken sowie Reaktions- und Wiederherstellungspläne.

  • Risikopriorisierung und -reaktion
  • Nutzen- und Auswirkungsstrategien
  • Management von Drittanbieterrisiken
  • Behandlung, Reaktion und Wiederherstellung

Was die Gap-Analyse abdeckt

Ein einsatzbereites Bewertungsdokument, kein Gliederungsentwurf: Jede Tabelle ist bereit für Ihre Bewertungen, Nachweise und Verantwortlichen.

Tabellen für jede Kategorie

Alle 19 Kategorien mit Reifegrad sowie Spalten für Nachweise, Lücken, Maßnahmen und Verantwortliche.

Vierstufige Reifegradskala

Nicht begonnen, Teilweise erfüllt, Weitgehend erfüllt und Vollständig erfüllt, mit klaren Definitionen für konsistente Bewertungen über Teams hinweg.

Overlay für generative KI

Die zwölf Risiken generativer KI aus NIST AI 600-1 als Relevanz- und Abdeckungsprüfung zusätzlich zur Kernbewertung.

Einseitige Bewertungsübersicht

Eine konsolidierte Sicht auf alle Kategoriebewertungen für das Management-Reporting und den Vergleich zwischen Zyklen.

Priorisierte Behebungs-Roadmap

Eine zentrale Roadmap-Tabelle mit Prioritäten, Verantwortlichen, Zielterminen und Hinweisen zur Reihenfolge.

Hinweise zum Geltungsbereich

Welche Systeme einzubeziehen sind, welche Teams mitwirken sollten und wie oft neu bewertet wird.

NIST AI RMF vs. ISO 42001

Die beiden Rahmenwerke ergänzen sich: Die meisten ausgereiften KI-Governance-Programme strukturieren ihr Risikodenken mit dem NIST AI RMF und zertifizieren das umgebende Managementsystem nach ISO 42001.

AspektNIST AI RMFISO 42001
ArtFreiwilliges Risikomanagement-Framework, veröffentlicht vom NIST (Januar 2023)Zertifizierbare internationale Managementsystem-Norm (Dezember 2023)
Aufbau4 Funktionen (GOVERN, MAP, MEASURE, MANAGE) mit 19 KategorienKapitel 4 bis 10 plus Controls in Anhang A
ZertifizierungKeine; Selbstbewertung anhand des FrameworksAkkreditierte Zertifizierung durch Dritte verfügbar
SchwerpunktIdentifikation, Messung und Behandlung der Risiken von KI-SystemenEin unternehmensweites KI-Managementsystem mit kontinuierlicher Verbesserung
Bester erster SchrittSchnelle, flexible Basis; stark für Organisationen mit US-BezugWenn Kunden oder Aufsichtsbehörden zertifizierte Nachweise erwarten

Wer beide Gap-Analysen durchführt, erhält eine Risikosicht und eine Managementsystemsicht auf dasselbe Programm. Die natürliche Ergänzung zu dieser Vorlage: ISO-42001-Gap-Analyse-Vorlage

Erste Schritte

Schließen Sie zuerst die Sichtbarkeitslücke

GOVERN 1 verlangt ein vollständiges KI-Inventar, und MAP 4 fragt, was darin steckt. Aona entdeckt jedes KI-Tool, das in Ihrem Unternehmen genutzt wird, überwacht, welche Daten hineinfließen, und hält die Nachweise prüfungsbereit.