STRATEGIE24. Februar 2025

Compliance: Schafft der EU AI-Act den nächsten Fachkräftemangel?

Der Fachkräftemangel wird durch neue Compliance-Vorgaben für IT-Teams verschärft. Sind die IT-Abteilungen darauf vorbereitet? fragt Biniam Berhe, Elenco Professional Services
Biniam Berhe, Elenco Professional ServicesElenco Professional Services 

Informatiker:innen bei BaFin-regulierten Unternehmen stehen unter Zugzwang. Die neuen Anforderungen des EU AI-Acts und der Digital Operational Resilience Act (DORA) werfen die Personalstrategien von Banken und Versicherern über den Haufen.
Die dringende Frage, die sich hier stellt: Sind Ihre IT-Teams bereit für die kommenden Regulierungswellen? – Wenn nicht, drohen nicht nur Verzögerungen, sondern auch ein neuer Fachkräftemangel, der Projekte zum Stillstand bringen könnte.

von Biniam Berhe, Elenco Professional Services

Seit dem 17.01.2025 ist der Digital Operational Resilience Act verbindlich anzuwenden, was vermutlich kein Finanzinstitut in Deutschland herbeigesehnt hat. Die Konsequenzen einer Nichteinhaltung dieser Regulierung sind erheblich. Der Vorstand kann bei Nichteinhaltung persönlich haftbar gemacht werden und es drohen Strafen für Institute von bis zu 5 Mio. EUR. In Deutschland gibt es sehr wahrscheinlich noch kein Finanzinstitut, welches alle DORA-Anforderungen umgesetzt hat.

Kaum umgesetzt, stehen weitere tiefgreifende Regulierungen wie der EU AI-Act im Raum, die Unsicherheiten bei vielen Betrieben auslösen, vor allem durch den steigenden und vermehrten Einsatz von künstlicher Intelligenz im IT-, Finanz- und Gesundheitssektor. Aber was bedeutet die Regulierung konkret für die IT-Abteilungen von Banken und Versicherern?

Der EU AI-Act wird in Zukunft umfassende Vorschriften für den Einsatz von KI-Systemen einführen und verschiedene Bereiche streng regulieren.

Die Kernanforderung besteht darin, KI-Systeme nach ihrem Risikograd zu klassifizieren – von unzulässigen über hochriskante bis hin zu geringeren Risiken.”

Hochrisiko-KI, die etwa in der Kreditvergabe, im Gesundheitswesen oder bei der Rekrutierung zum Einsatz kommt, unterliegt besonders strengen Auflagen. Unternehmen müssen hier sicherstellen, dass ihre Systeme robust, sicher und transparent sind. Dazu gehört die kontinuierliche Überwachung und Dokumentation der verwendeten Algorithmen sowie deren Erklärbarkeit, um nachvollziehbare Entscheidungen zu gewährleisten.

Autor Biniam Berhe, Elenco Professional Services
Biniam Berhe ist Gründer und Managing Partner von Elenco Professional Services (Website) mit über 20 Jah­ren Er­fah­rung im Exe­cu­ti­ve Se­arch. Zu­vor war er stellv. Lei­ter der Pro­fes­sio­nal Ser­vices Prac­tice bei In­di­go Head­hun­ters. Mit ei­nem Stu­di­um der Po­li­tik­wis­sen­schaf­ten und VWL (Goe­the Uni­ver­si­tät, LSE, Pe­king Uni­ver­si­ty) und mehr als 250 er­folg­reich ab­ge­schlos­se­nen Such­auf­trä­gen ist er spe­zia­li­siert auf die Re­kru­tie­rung von Ma­nage­ment Pro­fes­sio­nal­sin Bran­chen wie Fi­nan­ci­al Ser­vices und Phar­ma. Bi­niam ver­öf­fent­licht re­gel­mä­ßig Bei­trä­ge zu Trends im Per­so­nal­ma­nage­ment und Pro­fes­sio­nal Services.
Ein zentrales Element des EU AI Acts ist die Transparenzanforderung: Nutzer sollen darüber informiert werden, wenn KI-basierte Entscheidungen getroffen werden, wie etwa bei automatisierten Chatbots oder Kreditprüfungen. Für Hochrisiko-Systeme sind darüber hinaus regelmäßige Audits und Registrierungen in einer zentralen EU-Datenbank vorgesehen, um sicherzustellen, dass alle Vorschriften eingehalten werden.

Unternehmen, die die Vorgaben nicht erfüllen, drohen hohe Bußgelder von bis zu 6% des weltweiten Jahresumsatzes. Damit zwingt der EU AI Act Unternehmen dazu, ihre KI-Strategien und -Prozesse anzupassen, um den neuen, strengen Anforderungen gerecht zu werden und gleichzeitig wettbewerbsfähig zu bleiben.

Warum ist die Regulierung nun problematisch, vor allem im Hinblick auf die Personalsituation?

IT-Teams stehen vor der Herausforderung, bestehende Projekte weiterzuführen und gleichzeitig die aufwendigen Regulierungsanforderungen fristgerecht umzusetzen.

Ein erfolgversprechender Ansatz, um diesen Herausforderungen gerecht zu werden, ist “Compliance by Design”. Dieses Konzept geht über die reine Einhaltung von Vorschriften hinaus: Es integriert regulatorische Anforderungen direkt in die Planungs-, Entwicklungs- und Betriebsprozesse von IT-Systemen. Für IT-Leiter:innen und CTOs bedeutet das, Compliance nicht als externen Eingriff zu betrachten, sondern als grundlegenden Bestandteil der Systemarchitektur. So können Risiken minimiert und rechtliche Anforderungen präventiv erfüllt werden, ohne dass es zu späteren Verzögerungen oder kostspieligen Nachbesserungen kommt.

Die Umsetzung von Compliance by Design setzt allerdings eine neue Denkweise in der IT voraus. Unternehmen müssen IT-Prozesse nicht nur technisch, sondern auch organisatorisch umstellen, um eine reibungslose Zusammenarbeit zwischen IT, Compliance und Management zu ermöglichen. Die technische Umsetzung der neuen Anforderungen ist zudem komplex, zeitkritisch und bindet Ressourcen, die oft nicht vorhanden sind oder zunächst aufgebaut werden müssen.

Fehlende Expertise könnte daher bald zum Flaschenhals werden. Die regulatorischen Anforderungen verlangen eine enge Zusammenarbeit zwischen IT, Compliance und Management. IT-Leiter und CTOs sehen sich zunehmend mit folgenden Fragen konfrontiert:

  • Welche Skills fehlen meinem Team, um regulatorische Anforderungen zu erfüllen?
  • Wie kann ich bestehende Projekte ohne Verzögerungen abschließen, während neue Anforderungen hinzukommen?
  • Welche Abteilungen müssen involviert werden, um Haftungsrisiken zu minimieren?

Die Zeit drängt. IT-Fachkräfte mit Compliance-Expertise sind rar und heiß begehrt. Banken und Versicherer sollten nicht nur Talente aus der Cybersecurity- oder FinTech-Branche rekrutieren, sondern auch erfahrene Experten aus Unternehmensberatungen und Wirtschaftsprüfungsgesellschaften ansprechen. Diese Fachkräfte bringen tiefgehendes Wissen über regulatorische Anforderungen und praktische Projekterfahrung mit, die sie ideal für den Übergang in eine Linienorganisation qualifizieren. Zudem sind Talente aus IT- und Digital-Bereichen unverzichtbar, um Compliance durch moderne Technologien abzusichern, darunter:

  • IT Compliance Manager
  • Cybersecurity Compliance Specialist
  • IT Risk and Compliance Analyst
  • Cloud Compliance Specialist
  • IT Auditor
  • Governance, Risk, and Compliance (GRC) Consultant
  • Regulatory Technology (RegTech) Specialist
  • IT Governance Manager
  • Informationssicherheitsmanagement

Quereinsteiger aus diesen Feldern können gezielt weitergebildet werden, um spezifische Compliance-Herausforderungen zu bewältigen.

Ohne diese spezialisierten Rollen drohen Projekte zu scheitern, da fehlende Compliance zu hohen Bußgeldern führen kann. IT-Leiter müssen jetzt handeln, bevor die besten Talente von der Konkurrenz abgeworben werden.

Handlungsempfehlungen: Workflow und Checkliste für IT-, Risk- und Compliance-Leiter

Um den regulatorischen Anforderungen gerecht zu werden und gleichzeitig den Betrieb effizient aufrechtzuerhalten, empfiehlt es sich, die nachfolgenden Fragen als Checkliste zu nutzen. Diese Checkliste basiert auf praxiserprobten Ansätzen und bildet den aktuellen Status quo ab, der zu Beginn der Personalsuche herangezogen wird. Sie richtet sich an alle Führungskräfte, die in den Bereichen IT, Risiko- und Compliance-Management tätig sind und eine zentrale Rolle bei der Umsetzung von Regulierungsanforderungen spielen.

Checkliste zur Personalplanung für die Umsetzung des EU AI-Acts

  1. Sofortige Bedarfsanalyse:
    Welche Compliance- und AI-Rollen fehlen derzeit in unserem Unternehmen?
    Welche neuen Positionen müssen geschaffen werden?
  2. Erstellung spezifischer Job-Profile (Soll-Zustand):
    Liegen bereits detaillierte Job-Profile vor?
    Welche spezifischen Anforderungen sollten z. B. für Compliance Engineers, AI-Architekten und GRC-Experten definiert werden?
  3. Status-Quo-Analyse der Belegschaft (Ist-Zustand):
    Welche Kompetenzen und Fähigkeiten besitzen unsere aktuellen Mitarbeitenden?
    Wie viele Mitarbeitende können intern für die neuen Job-Profile qualifiziert werden?
  4. Gezielte Weiterbildung:
    Verfügen wir bereits über Weiterbildungspläne und Schulungen für bestehende Mitarbeitende?
    Welche Maßnahmen müssen kurzfristig umgesetzt werden?
  5. Suche nach externen Fachkräften:
    Welche kritischen Stellen müssen extern besetzt werden?
    Macht es Sinn, Führungsrollen extern zu besetzen, um frische Perspektiven und innovative Ansätze in die Organisation zu bringen?

Diese Checkliste hilft, Ressourcen effizient zu nutzen und Risiken frühzeitig zu minimieren und eine erste Bewertung vorzunehmen. Damit können IT-, Risk-, und Compliance-Leiter Entscheidungen beschleunigen und die Einhaltung der neuen Regulierungen sicherstellen.

Mein Fazit: Der EU AI-Act und DORA setzen Banken und Versicherer massiv unter Druck, Ihre IT- und Compliance-Strategien schnell anzupassen. Die Umsetzung dieser strengen Regulierungen erfordert spezialisierte Fachkräfte, die derzeit auf dem Arbeitsmarkt kaum verfügbar sind. Um Projekte voranzutreiben und Bußgelder zu vermeiden, müssen Unternehmen nun gezielt in die Rekrutierung und Weiterbildung investieren – bevor die Konkurrenz ihnen die Talente wegschnappt.Biniam Berhe, Elenco Professional Services

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/223062

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert