Kennen Sie Ihre gesetzlichen Anforderungen

Das NIST AI Risk Management Framework (AI RMF) ist als freiwilliges Rahmenwerk konzipiert, das für jede Organisation gilt, die an der Konzeption, Entwicklung, Bereitstellung oder Nutzung von Systemen der künstlichen Intelligenz beteiligt ist. Es handelt sich nicht um eine zwingende Compliance-Anforderung im gleichen Sinne wie einige Vorschriften (z. B. der EU AI Act). Es bietet jedoch sehr nützliche Richtlinien – betrachten Sie es als Leitfaden, der Ihrer Organisation hilft, sicherzustellen, dass die Vorteile der KI verantwortungsvoll genutzt werden.

Dieser Beitrag eröffnet eine Reihe von Veröffentlichungen, die das NIST AI RMF Punkt für Punkt diskutieren.

Govern 1.1

Govern 1.1 befasst sich mit rechtlichen und regulatorischen Anforderungen. Sie müssen verstanden, verwaltet und dokumentiert werden, aber was genau beinhaltet das?

1. Identifizieren und verstehen Sie lokale und internationale Gesetze und Vorschriften im Zusammenhang mit der Entwicklung, Bereitstellung und Nutzung von KI

Definieren und dokumentieren Sie alle Mindestanforderungen in Gesetzen und Vorschriften: GDPR (EU), Antidiskriminierungsgesetze (Ihre KI-Systeme treffen möglicherweise Entscheidungen über Einzelpersonen!), Gesetze zum geistigen Eigentum, Cybersicherheit sowie branchen- und anwendungsspezifische Vorschriften (z. B. HIPAA und FDA stellen bestimmte Anforderungen an KI-Systeme im Gesundheitswesen – im Zusammenhang mit dem Schutz von Patientengesundheitsinformationen und der Gewährleistung der Sicherheit und Wirksamkeit von KI-gestützten Medizinprodukten).

2. Überwachen Sie alle Änderungen und Aktualisierungen – Sie möchten über die sich entwickelnde Regulierungslandschaft auf dem Laufenden bleiben

• Abonnieren Sie Blogs oder Newsletter, die regelmäßig Updates veröffentlichen

• Richten Sie Google- (oder andere) Keyword-Benachrichtigungen ein, um Benachrichtigungen über neue Veröffentlichungen zu erhalten

• Treten Sie Branchenverbänden bei, um sich mit Branchenkollegen zu vernetzen

• Besuchen Sie Konferenzen und Webinare

• Nutzen Sie soziale Medien! Folgen Sie wichtigen Influencern: Regulierungsexperten, Branchenführern und Regierungsbehörden

3. Richten Sie die Risikomanagementbemühungen an den geltenden rechtlichen Standards aus.

Haben Sie bereits ein Risikomanagement-Framework implementiert? Ordnen Sie Risiken rechtlichen Anforderungen zu, identifizieren Sie die Lücken – berücksichtigen alle Ihre Risikomanagementpraktiken die rechtlichen Anforderungen angemessen?

4. Erstellen und pflegen Sie Richtlinien für die Schulung und Umschulung von Mitarbeitern zu rechtlichen und regulatorischen Aspekten, die sich auf die Konzeption, Entwicklung, Bereitstellung und Nutzung von KI auswirken

Solche Schulungen können Folgendes umfassen: Datenschutzgesetze, KI-Fairness, Rechte an geistigem Eigentum, Cyber- und Datensicherheit, branchenspezifische Vorschriften sowie rollenbasierte Schulungen für Datenwissenschaftler, Ingenieure und Projektmanager.

Machen Sie es relevant und interessant: Verwenden Sie Fallstudien aus der Praxis und hypothetische Szenarien, organisieren Sie interaktive Workshops und Simulationen, Rollenspiele, laden Sie externe Experten ein und ermutigen Sie Mitarbeiter zur Teilnahme an relevanten Konferenzen, Webinaren und Online-Kursen.

5. Stellen Sie sicher, dass das KI-System auf seine Konformität mit geltenden Gesetzen, Vorschriften, Standards und Richtlinien überprüft wurde

• Führen Sie interne Audits durch

• Beauftragen Sie externe Prüfer oder Berater, um eine unabhängige Bewertung der Compliance Ihres KI-Systems bereitzustellen

• Verwenden Sie Checklisten

• Führen Sie detaillierte Dokumentationen über Prüfungsergebnisse und Korrekturmaßnahmen

• Führen Sie Fairness-Bewertungen des KI-Systems durch (demografische Parität, Chancengleichheit, unterschiedliche Auswirkungen, kontrafaktische Tests – bleiben Sie dran für weitere Informationen zu diesen und anderen Metriken)

Der nächste Schritt?

Wie wir untersucht haben, gibt Govern 1.1 des NIST AI RMF eine klare Anweisung: Kennen Sie Ihre rechtlichen Verpflichtungen. Der nächste entscheidende Schritt besteht darin, dieses Verständnis in konkrete Maßnahmen umzusetzen. Wir empfehlen Ihnen, die aktuellen Prozesse Ihrer Organisation zu bewerten und unsere anderen Beiträge über den Standard und dessen Einhaltung zu lesen, um die Vertrauenswürdigkeit der von Ihnen entwickelten, bereitgestellten oder genutzten KI-Systeme sicherzustellen.