Definition und Ziel

Das Hauptziel des NIST AI RMF ist es, einen strukturierten Ansatz zur Identifizierung, Bewertung, Verwaltung und Minderung der mit KI-Systemen verbundenen Risiken bereitzustellen. Der Rahmen soll die verantwortungsvolle Entwicklung und Bereitstellung von KI-Technologien fördern und sicherstellen, dass sie zuverlässig, sicher und ethischen Standards entsprechend sind.

Überwachende Organisation

Das NIST AI RMF wird vom National Institute of Standards and Technology (NIST), einer Behörde des U.S. Department of Commerce, entwickelt und gewartet.

Letzte Aktualisierung

Das NIST AI RMF ist eine relativ neue Initiative und seine erste Version wurde im Januar 2023 veröffentlicht.

Anwendbar auf

Das NIST AI RMF ist auf eine breite Palette von Branchen und Organisationen anwendbar, die an der Entwicklung, Bereitstellung und Nutzung von KI-Systemen beteiligt sind. Dazu gehören Sektoren wie Gesundheit, Finanzen, Transport, Herstellung und Versorgungsunternehmen, unter anderen.

Kontrollen und Anforderungen

Das NIST AI RMF beschreibt eine Reihe von grundlegenden Funktionen und Kontrollen, um die Risiken im Zusammenhang mit KI effektiv zu managen. Dazu gehören:

1. Governance: Festlegung von Richtlinien, Verfahren und organisatorischen Strukturen zur Verwaltung der mit KI verbundenen Risiken.
2. Mapping: Identifizierung und Kontextualisierung von KI-Systemen und den damit verbundenen Risiken.
3. Messung: Analyse und Bewertung der Leistung und Risiken von KI-Systemen.
4. Management: Umsetzung und Überwachung von Kontrollen zur Minderung der mit KI verbundenen Risiken.

Für eine vollständige Liste der Kontrollen und Anforderungen konsultieren Sie bitte die offizielle Dokumentation des NIST AI RMF.

Art, Häufigkeit und Dauer der Prüfung

NIST-AI-RMF-Compliance-Audits beinhalten in der Regel interne Bewertungen, Bewertungen durch Dritte oder beides. Diese Audits untersuchen, wie die Organisation die Richtlinien und bewährten Praktiken des Rahmens implementiert. Die Häufigkeit der Audits kann je nach Organisationspolitik, behördlichen Anforderungen und Kritikalität der betroffenen KI-Systeme variieren. Regelmäßige Bewertungen, wie jährliche Überprüfungen, werden häufig empfohlen.

Die Dauer eines Audits hängt von der Größe und Komplexität der Organisation, dem Umfang der bewerteten KI-Systeme und der Tiefe des Audits ab. Sie kann von wenigen Tagen bis zu mehreren Wochen variieren.