NIST AI Risk Management Framework (AI RMF)
Hinweis: Dieser Explainer ist informativ; Framework-Referenzen sind nie eine Compliance-Garantie — stimmen Sie Ihr Programm mit Ihrer Rechtsberatung ab.
Das NIST AI Risk Management Framework (AI RMF 1.0) wurde vom U.S. National Institute of Standards and Technology am 26. Januar 2023 veröffentlicht. Es ist ein freiwilliges, grundrechtswahrendes, branchenübergreifendes Framework, das Organisationen hilft, AI-Risiken zu managen und vertrauenswürdige, verantwortungsvolle Nutzung zu fördern. Offizielle Ressource: NIST — AI Risk Management Framework; Framework-Text (PDF): NIST AI 100-1.
Für wen es gilt
Das AI RMF richtet sich an jede Organisation, die AI-Systeme entwirft, entwickelt, bereitstellt oder nutzt. Es ist freiwillig — es gibt keine Zertifizierung —, wird aber breit als gemeinsame Sprache für AI-Risiko genutzt und verweist per Crosswalk auf andere Frameworks, darunter den EU AI Act und ISO/IEC 42001.
Die vier Funktionen
Das Framework ordnet die AI-Risk-Arbeit in vier Funktionen:
- Govern — organisatorische Accountability, Policies und Oversight für AI-Risiko etablieren (eine Kultur, kein Einmal-Akt).
- Map — den Kontext herstellen und die Risiken eines konkreten AI-Systems oder -Einsatzes identifizieren.
- Measure — diese Risiken mit qualitativen und quantitativen Methoden analysieren und nachverfolgen.
- Manage — Ressourcen zur Risikobehandlung einsetzen, Restrisiko dokumentieren und auf Incidents reagieren.
Govern, Map und Manage setzen alle voraus, dass Sie sehen und steuern können, wie AI tatsächlich genutzt wird — genau hier hilft eine Betriebsebene.
Wie Shield darauf abbildet
Shield liefert operative Inputs zu mehreren Funktionen:
- Govern / Manage — durchsetzbare Policies und Enforcement-Modes und rollenbasierte Kontrolle machen aus Oversight angewandte Regeln.
- Map — Discovery stellt den echten Kontext her: welche AI-Tools von wem genutzt werden.
- Measure / Manage — das Audit-Log verfolgt die AI-Nutzung über die Zeit und liefert einen exportierbaren Nachweis für Incident-Response.
Das Bundle ISO 42001 / NIST aus der Vorlagen-Bibliothek macht daraus in Minuten framework-gelabelte Policies.
War dieser Artikel hilfreich?
Verwandte Artikel
Richtlinien-Vorlagen und Bundles anwenden
Compliance-fertige Richtlinien aus der Vorlagen-Bibliothek ausrollen — EU AI Act, DSGVO, DIFC, Korea AI Basic Act, US AI in Employment sowie ISO-42001/NIST-Bundles.
Artikel lesenISO/IEC 42001 — AI-Management-System
ISO/IEC 42001 ist der weltweit erste Standard für AI-Management-Systeme. Was ein AIMS verlangt, für wen er gilt und wie Shield operative Controls dazu beiträgt.
Artikel lesenDIFC Regulation 10 — AI & autonome Systeme
DIFC Regulation 10 regelt die Verarbeitung personenbezogener Daten durch autonome und semi-autonome Systeme. Wer Deployer und Operator ist, die Kernpflichten und wie Shield unterstützt.
Artikel lesenEU AI Act Artikel 26 — Betreiberpflichten
Artikel 26 definiert Ihre Pflichten beim Einsatz von Hochrisiko-KI — anwendbar ab Dezember 2027 gemäß Digital Omnibus. Was die Absätze (1), (5) und (6) verlangen und wie Shield Sie heute vorbereitet.
Artikel lesenNoch Fragen?
Schicken Sie uns die Details — wir antworten innerhalb eines Werktags.