Die BaFin hat im Dezember 2025 eine Orientierungshilfe veröffentlicht, die KI-Systeme unter DORA wie jedes andere IT-Asset behandelt. Über den ganzen Lebenszyklus, von der Datenbeschaffung bis zur Abschaltung. Banken, Versicherer und auch kleinere Finanzdienstleister müssen KI damit in ihr IKT-Risikomanagement einbetten, statt sie als Sonderfall zu behandeln.
Die Frage war lange offen, wie KI in die Regulierung des Finanzsektors passt. Die BaFin hat sie Ende 2025 beantwortet, und die Antwort ist denkbar unspektakulär: KI ist nichts Besonderes. Sie zählt als IT-System wie jedes andere und fällt damit unter DORA, die EU-Verordnung zur digitalen Resilienz, die seit Januar 2025 gilt. Für die Branche ist genau diese Nüchternheit die wichtigste Botschaft.
Eine Orientierungshilfe, keine neue Pflicht
Wichtig vorweg: Die BaFin-Orientierungshilfe vom 18. Dezember 2025 ist rechtlich nicht bindend. Sie schafft keine neuen Vorschriften, sondern erklärt, wie bestehende Anforderungen aus DORA beim Einsatz von KI auszulegen sind.
Der Kern ist eine technisch neutrale Einordnung. Die BaFin definiert KI-Systeme als Netz- und Informationssysteme und behandelt sie damit als reguläre IKT-Assets unter DORA. Eine KI ist demnach kein eigener Regulierungsraum, sondern ein Bestandteil der IT-Landschaft, der nach seiner Kritikalität für die Geschäftsprozesse bewertet werden muss. Wer ein KI-Modell nur intern zum Sortieren von E-Mails nutzt, steht anders da als jemand, der damit Kreditentscheidungen vorbereitet.
Der ganze Lebenszyklus zählt
Die Orientierungshilfe betrachtet die IKT-Risiken entlang des kompletten KI-Lebenszyklus. Das ist der praktische Unterschied zur bisherigen Praxis vieler Häuser, die KI vor allem beim Einkauf prüfen und danach laufen lassen.
Vier Phasen stehen im Blick. Die Datenbeschaffung, weil ein Modell nur so gut ist wie seine Daten und schlechte Daten ein Risiko sind. Die Modellentwicklung und das Deployment, also der Bau und die Inbetriebnahme. Der laufende Betrieb mit kontinuierlicher Überwachung, weil ein Modell mit der Zeit ungenauer werden kann. Und die Abschaltung, weil auch das geordnete Stilllegen eines Systems Teil der Risikobetrachtung ist. KI muss in jeder dieser Phasen in die etablierten Prozesse zur Risikoerkennung, -vermeidung, -überwachung und -wiederherstellung eingebettet sein.
Dazu betont die BaFin klare Governance. Wer ist verantwortlich, wenn ein KI-System eine wichtige Funktion stützt? Stützt ein Modell kritische oder wichtige Funktionen, sollten Institute eine eigene KI-Strategie formulieren, die Einsatz, Ziele und Risikotoleranz festlegt. Aus unserer Sicht ist das der Satz, der in der Praxis am häufigsten unterschätzt wird, weil Verantwortung sich zwischen IT, Fachabteilung und Geschäftsführung gern verliert.
Wen es trifft und wen weniger
Die Orientierungshilfe richtet sich besonders an Institute, die unter die Kapitaladäquanzverordnung fallen, und an Versicherer unter Solvency II. Also klassische Banken und Versicherungsunternehmen.
Für kleinere Finanzunternehmen hat die BaFin parallel Erleichterungen und vereinfachte Anforderungen kommuniziert, weil DORA selbst nach Größe und Risiko differenziert. Ein kleiner Finanzdienstleister muss nicht denselben Apparat aufbauen wie eine Großbank. Was bleibt, ist das Grundprinzip: KI ist ein IT-Asset, und ein IT-Asset gehört ins Risikomanagement, egal wie klein der Betrieb ist.
Was das über den Finanzsektor hinaus zeigt
Die BaFin-Linie ist auch für Betriebe außerhalb des regulierten Finanzbereichs lehrreich. Sie macht vor, wie man KI nüchtern in bestehende Strukturen einordnet, statt um jedes Modell eine neue Sonderregel zu bauen.
Übersetzt für ein normales KMU heißt das: Behandle ein KI-Werkzeug wie jede andere Software. Prüfe, wie kritisch es für deine Abläufe ist, wer dafür verantwortlich ist und was passiert, wenn es ausfällt oder falsche Ergebnisse liefert. Diese drei Fragen ersetzen kein Compliance-Projekt, aber sie verhindern den häufigsten Fehler, KI einfach laufen zu lassen, ohne sie wie ein echtes Betriebsmittel zu behandeln.
Genau diese Einordnung üben wir im Vollkurs Digitalisierungsmanager. Nicht jeder unserer Teilnehmer landet später in einer Bank, aber die Fähigkeit, ein KI-System nüchtern nach Kritikalität, Verantwortung und Ausfallrisiko zu bewerten, ist in jedem Betrieb Gold wert.
Häufige Fragen
Was besagt die BaFin-Orientierungshilfe zu KI unter DORA?
Die BaFin hat am 18. Dezember 2025 eine nicht bindende Orientierungshilfe veröffentlicht. Sie ordnet KI-Systeme technisch neutral als Netz- und Informationssysteme ein und behandelt sie damit als reguläre IKT-Assets unter DORA. KI ist also kein eigener Regulierungsraum, sondern Teil der IT-Landschaft, der nach seiner Kritikalität bewertet werden muss.
Welche Phasen umfasst der KI-Lebenszyklus laut BaFin?
Die Orientierungshilfe betrachtet vier Phasen: die Datenbeschaffung, die Modellentwicklung und das Deployment, den laufenden Betrieb mit kontinuierlicher Überwachung sowie die geordnete Abschaltung. In jeder Phase muss KI in die Prozesse zur Risikoerkennung, -vermeidung, -überwachung und -wiederherstellung eingebettet sein.
Gilt DORA für KI auch bei kleinen Finanzunternehmen?
Die Orientierungshilfe richtet sich besonders an Institute unter der Kapitaladäquanzverordnung und Versicherer unter Solvency II. Für kleinere Finanzunternehmen hat die BaFin parallel Erleichterungen kommuniziert, weil DORA nach Größe und Risiko differenziert. Das Grundprinzip bleibt: KI ist ein IT-Asset und gehört ins Risikomanagement.
Was können Betriebe außerhalb des Finanzsektors daraus lernen?
Die BaFin macht vor, wie man KI nüchtern in bestehende Strukturen einordnet, statt für jedes Modell eine Sonderregel zu erfinden. Für ein normales KMU heißt das: ein KI-Werkzeug wie jede andere Software behandeln und prüfen, wie kritisch es ist, wer verantwortlich ist und was bei Ausfall oder falschen Ergebnissen passiert.
Mehr über KI im Mittelstand lernen?
Im kostenlosen KI-Schnupperkurs zeigen wir in fünf Lektionen, wie kleine und mittlere Firmen KI praktisch und sicher einsetzen. Vollkurs Digitalisierungsmanager mit Bildungsgutschein. Förderwege: Bildungsgutschein, QCG und AFBG im Vergleich.
Zuletzt aktualisiert: 10.06.2026. Stand der Recherche: 10.06.2026.