Unternehmen müssen TPRM-Programme im Vorfeld der KI-Vorschriften aktualisieren

Anmerkung der Redaktion: Dieser Artikel, verfasst von Alastair Parr, Prevalent Senior Vice President, Global Products & Services, wurde ursprünglich auf www.corporatecomplianceinsights.com veröffentlicht.

-

Während derzeit viel Aufmerksamkeit auf die interne Einhaltung neuer KI-Vorschriften gerichtet wird, argumentiert Alastair Parr von Prevalent, dass Unternehmen einen wichtigen externen Aspekt nicht übersehen sollten: Dritte.

Künstliche Intelligenz (KI) verändert die moderne Welt in rasantem Tempo, und die Regierungen haben es eilig, Sicherheitsvorkehrungen zu treffen, um sicherzustellen, dass sie verantwortungsvoll eingesetzt wird. Das rasante Wachstum der Technologie hat auch dazu geführt, dass Unternehmen in fast allen vertikalen Branchen KI nutzen, da sie Produktivitäts- und Effizienzsteigerungen ermöglicht, mit dem letztendlichen Ziel, ihr Endergebnis zu verbessern.

Mit diesen Möglichkeiten geht jedoch auch eine große Verantwortung der Unternehmen einher, KI auf ethische Weise und im Rahmen der Gesetze einzusetzen. Diese Verantwortung sollte sich nicht nur auf ihre eigenen Praktiken erstrecken, sondern auch auf die aller Dritten, mit denen sie zusammenarbeiten, einschließlich Lieferanten und Dienstleistern.

Die Navigation durch die vielen beweglichen Teile, die mit dem sicheren und verantwortungsvollen Einsatz von KI einhergehen, wird für Unternehmen in Regionen, die bei der Regulierung von KI eine Vorreiterrolle spielen, wie die USA, Kanada, die EU und Großbritannien, eine besondere Herausforderung darstellen.

Diese Regionen entwickeln eigene Rahmenwerke zur Regulierung dieser sich schnell entwickelnden Technologie. Für Unternehmen, die in diesen Regionen tätig sind, wird es entscheidend sein, diese Vorschriften zu verstehen und einzuhalten, um rechtliche Konsequenzen zu vermeiden und das Vertrauen der Stakeholder zu erhalten.

Der Weg nach vorn

Regulierungsbehörden auf der ganzen Welt entscheiden darüber, wie künstliche Intelligenz reguliert werden soll, und Unternehmen sollten genau hinschauen, wenn Vorschläge zu verbindlichen Gesetzen werden. Auch wenn es von Land zu Land Unterschiede geben wird, konzentrieren sich die meisten vorgeschlagenen Regeln auf Datenschutz, Sicherheit und ESG-Angelegenheiten im Hinblick darauf, wie Unternehmen KI ethisch und rechtlich nutzen können.

In den USA wurde beispielsweise im Januar 2023 das NIST-Rahmenwerk für das KI-Risikomanagement eingeführt, um "Organisationen, die KI-Systeme entwerfen, entwickeln, einsetzen oder nutzen, eine Ressource zur Verfügung zu stellen, die ihnen hilft, die zahlreichen Risiken der KI zu bewältigen und eine vertrauenswürdige und verantwortungsvolle Entwicklung und Nutzung von KI-Systemen zu fördern." Dieses freiwillige Rahmenwerk bietet eine umfassende Anleitung für die Entwicklung einer KI-Governance-Strategie für Organisationen.

Unternehmen sollten die Grundsätze des Risikomanagements anwenden, um die potenziellen negativen Auswirkungen von KI-Systemen abzumildern, z. B:

• Sicherheitsschwachstellen und KI-Anwendungen: Ohne angemessene Governance und Sicherheitsvorkehrungen könnte Ihr Unternehmen System- oder Datenverletzungen ausgesetzt sein.
• Mangelnde Transparenz bei KI-Risikomethoden oder -messungen: Unzureichende Mess- und Meldeverfahren können dazu führen, dass die Auswirkungen potenzieller KI-Risiken unterschätzt werden.
• Inkonsistente KI-Sicherheitsrichtlinien: Wenn KI-Sicherheitsrichtlinien nicht mit bestehenden Risikomanagementverfahren übereinstimmen, kann dies zu komplizierten und zeitaufwändigen Prüfungen führen, die möglicherweise negative rechtliche oder Compliance-Folgen haben.

All diese Punkte betreffen nicht nur Unternehmen, sondern auch die Partner, Lieferanten und andere Dritte, mit denen sie Geschäfte machen. Unternehmen sollten zunehmend damit rechnen, dafür haftbar gemacht zu werden, wie ihre Anbieter, Lieferanten und andere Drittpartner KI nutzen, insbesondere im Hinblick auf die Verwaltung ihrer Kundendaten.

In den kommenden Jahren wird sich zeigen, wie Unternehmen weltweit ihre KI-Strategien anpassen müssen, und das Management von Risiken für Dritte wird wahrscheinlich ein immer wichtigerer Teil der Gleichung werden.

Mit der Verabschiedung neuer Gesetze entstehen neue Realitäten für Unternehmen in jeder Branche. Es ist an der Zeit, sich auf diese neuen Realitäten vorzubereiten. Dazu gehört auch die Festlegung von Richtlinien für die akzeptable Nutzung von KI und die Weitergabe dieser Richtlinien an Dritte.

Minderung des AI-Risikos für Dritte

Unabhängig vom Standort sind ein vorsichtiger Ansatz und ein proaktiver Umgang mit Anbietern wesentliche Strategien zur Bewältigung dieser Risiken. Unternehmen müssen erkennen, dass eine verantwortungsvolle KI-Governance über ihre internen Abläufe hinausgeht und die Praktiken aller an ihrem KI-Ökosystem beteiligten Parteien einschließt.

Jedes Unternehmen hat seine eigenen Ziele und Herausforderungen, was bedeutet, dass die Beziehungen zu Drittanbietern sehr unterschiedlich sein werden. Es gibt jedoch einige grundlegende Schritte, die jedes Unternehmen unternehmen kann, um KI-bezogene Risiken im Zusammenhang mit Beziehungen zu Drittanbietern proaktiv zu minimieren:

• Ermitteln Sie, welche Drittpartner KI nutzen und wie sie sie nutzen. Führen Sie eine gründliche Bestandsaufnahme durch, um herauszufinden, welche Ihrer Drittanbieter und Lieferanten KI einsetzen und in welchem Umfang sie diese nutzen. Dazu müssen Sie relevante Fragen stellen, um die mit ihren KI-Anwendungen verbundenen Risiken zu verstehen, einschließlich Datenschutz, Voreingenommenheit und Verantwortlichkeit.
• Entwickeln Sie ein System zur Einstufung und Bewertung der KI-Nutzung durch Dritte. Aktualisieren Sie Ihr System zur Einstufung von Drittparteien auf der Grundlage ihrer KI-Nutzung und der damit verbundenen Risiken. Berücksichtigen Sie Faktoren wie die Sensibilität der von ihnen verarbeiteten Daten, die Auswirkungen ihrer KI-Anwendungen auf Stakeholder und Geschäftsprozesse sowie den Grad an Transparenz und Rechenschaftspflicht bei KI-Entscheidungsprozessen.
• Bewerten Sie die Risiken im Detail. Es ist wichtig, über oberflächliche Bewertungen hinauszugehen, und dies kann durch detaillierte Analysen der KI-Praktiken von Dritten geschehen. Dazu gehört die Bewertung der Governance-Strukturen, der Datensicherheitsprotokolle, der Transparenz bei der KI-Nutzung und des Ausmaßes der menschlichen Aufsicht und Intervention bei KI-Entscheidungen. Nutzen Sie etablierte Compliance-Rahmenwerke und branchenübliche Best Practices wie das NIST-Rahmenwerk als Leitfaden für den Due-Diligence-Prozess.
• Empfehlen Sie, wo immer möglich, Strategien zur Risikominderung. Empfehlen Sie Drittparteien auf der Grundlage der Ergebnisse von Risikobewertungen und abgestuften Bewertungen spezifische Abhilfemaßnahmen. Zu diesen Maßnahmen können die Verbesserung von Datensicherheitsprotokollen, die Implementierung von Strategien zur Erkennung und Eindämmung von Verzerrungen, die Gewährleistung von Transparenz bei KI-Entscheidungen und die Festlegung von Vertragsklauseln zur Durchsetzung ethischer KI-Praktiken gehören.
• Implementieren Sie eine laufende Überwachung. Erkennen Sie, dass die Minderung von Risiken Dritter ein fortlaufender Prozess ist, der eine kontinuierliche Überwachung und Bewertung erfordert. Entwickeln Sie daher Mechanismen für eine kontinuierliche Überwachung der KI-Praktiken Dritter, einschließlich regelmäßiger Audits, Überprüfungen von Richtlinien und Kontrolländerungen, und halten Sie sich über neue KI-bezogene Themen auf dem Laufenden, die Ihr Unternehmen betreffen könnten.

In dem Maße, in dem Regierungen neue regulatorische und rechtliche Rahmenbedingungen für KI einführen, müssen Unternehmen zunehmend ihre Anbieter und Drittpartner als weitere Risikoquelle betrachten, die es zu entschärfen und zu verwalten gilt. Um diese wichtigen Schritte zu unternehmen, ist Fachwissen im Bereich KI-Governance erforderlich, das derzeit sehr gefragt ist. Unternehmen, die nicht über eigene KI-Risikomanagement-Teams verfügen, können externe Unterstützung von Organisationen erhalten, die sich auf die effektive Navigation in diesem komplexen Umfeld spezialisiert haben.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.