Sign in Subscribe
AI Governance

EU AI Act trifft DORA - Wie sich der Regulierungs-Doppelschlag auf Versicherer auswirkt

Zwei EU-Verordnungen wirbeln den digitalen Versicherungsbetrieb kräftig durcheinander: Der AI Act und DORA fordern mehr als nur Compliance – sie verlangen technologische Reife und transparente Steuerung. Warum jetzt Governance zählt und wo Versicherer handeln müssen.

EU AI Act trifft DORA - Wie sich der Regulierungs-Doppelschlag auf Versicherer auswirkt

Zwei neue europäische Gesetzeswerke stellen die Versicherungsbranche 2025 vor nie dagewesene regulatorische Anforderungen: Der EU AI Act und der Digital Operational Resilience Act (DORA) greifen tief in Technologieeinsatz, Organisationsstruktur und Governance ein – mit weitreichenden Folgen für KI-basierte Geschäftsmodelle und digitale Infrastruktur.

Was auf den ersten Blick wie ein weiteres Regelwerk aus Brüssel erscheint, entpuppt sich bei genauerem Hinsehen als Neudefinition des digitalen Versicherungsbetriebs. Es geht nicht mehr nur um Compliance – sondern um technologische Reife, strategische Steuerung und das Vertrauen von Kunden, Aufsichtsbehörden und Investoren.

EU AI Act und DORA setzen neue regulatorische Standards für Versicherer
EU AI Act und DORA setzen neue regulatorische Standards für Versicherer.

Hochrisiko-Klassifizierung trifft Lebens- und Krankenversicherer besonders hart

Mit dem EU AI Act schafft die EU erstmals einen einheitlichen Rechtsrahmen für den Einsatz von Künstlicher Intelligenz. Versicherungsunternehmen betrifft vor allem eine zentrale Einstufung: KI-Systeme zur Risikobewertung und Preisbildung in der Lebens- und Krankenversicherung gelten als Hochrisiko-Anwendungen.

Diese Klassifizierung löst eine Vielzahl an Pflichten aus:

  • Technische Dokumentation der KI-Systeme
  • Nachvollziehbare Trainingsdaten und Entscheidungslogik
  • Einrichtung menschlicher Aufsichtsfunktionen
  • Transparente Kommunikation über die Wirkweise gegenüber Kunden

Seit Februar 2025 greifen erste Verbotsregelungen, bis August 2025 sollen alle Hauptvorschriften umgesetzt sein. Versicherer, die bis dahin nicht über belastbare Dokumentations- und Steuerungsprozesse verfügen, riskieren Bußgelder und Reputationsschäden.

DORA verschärft Anforderungen an digitale Resilienz

Parallel ist seit dem 17. Januar 2025 der Digital Operational Resilience Act (DORA) in Kraft. Er richtet sich an sämtliche Finanzunternehmen – also auch an Versicherer – und zielt auf die Stärkung der IT-Sicherheit und Ausfallresistenz digitaler Systeme.

Zu den zentralen Anforderungen zählen:

  • Etablierung eines umfassenden IKT-Risikomanagements
  • Einführung eines Incident-Reporting-Systems
  • Risikobewertung und Kontrolle von Drittanbietern (z. B. Cloud-Anbietern, KI-Dienstleistern)
  • Durchführung regelmäßiger digitaler Stresstests

Besonders kritisch: Die parallele Umsetzung beider Verordnungen erfordert interdisziplinäre Koordination, denn viele Anforderungen überschneiden sich – aber aus unterschiedlichen Perspektiven. Ein isoliertes Compliance-Vorgehen ist nicht mehr zielführend.

Cyberrisiken nehmen zu – doch der Versicherungsschutz bleibt lückenhaft

DORA reagiert auf die zunehmenden Cyberrisiken im Finanzsektor. Doch die Absicherung gegen ebendiese Risiken hinkt weiter hinterher. Trotz stabilisierter Prämien liegt die Marktdurchdringung von Cyber-Versicherungen bei kleinen und mittleren Unternehmen weiterhin unter 10 %. Die Asymmetrie ist offensichtlich: Steigende regulatorische Anforderungen treffen auf einen unterentwickelten Absicherungsmarkt – ein Spannungsfeld, das auch die Risikoposition von Versicherern selbst erhöht.

Handlungsempfehlungen für Versicherer

1. Governance-Strukturen aufbauen und verankern
Schaffe klare Zuständigkeiten durch die Einführung eines Chief AI Officer oder einer vergleichbaren Rolle. Diese Funktion sollte direkt der Geschäftsleitung unterstellt sein und sowohl die regulatorische als auch die strategische Steuerung von KI und Cybersecurity bündeln. Ziel ist eine synchronisierte Umsetzung von EU AI Act und DORA, ohne Doppelstrukturen oder Zielkonflikte.

2. Integriertes Risikomanagement-Framework etablieren
Verbinde die Anforderungen beider Regulierungen in einem gemeinsamen Framework, das sowohl algorithmische Risiken (AI Act) als auch technische und operationale Risiken (DORA) abdeckt. Entwickle systematische Risikoanalysen, die von der Modellvalidierung über Lieferkettenmanagement bis hin zu Cyberabwehr reichen.

3. Dokumentation und Transparenz systematisieren
Nutze automatisierte Compliance-Tools, um Dokumentationspflichten effizient umzusetzen.

  • Entwickle standardisierte Reports zur Modellbewertung, Bias-Prävention und Ergebnisnachvollziehbarkeit (AI Act)
  • Etabliere ein Incident-Reporting-System mit klarer Eskalationslogik und Schnittstellen zur IT-Security (DORA)
  • Bereite regulatorische Prüfungen durch versionierte Nachweise und interaktive Kontroll-Dashboards vor

Ausblick der Redaktion

Die regulatorischen Vorgaben aus Brüssel bringen keine kurzfristige Belastung – sie definieren langfristig die Spielregeln digitaler Geschäftsmodelle. Versicherer, die heute die strukturellen Voraussetzungen für Governance, Transparenz und Resilienz schaffen, sichern sich mehr als Rechtskonformität. Sie beweisen Weitsicht und Stabilität – Eigenschaften, die im digitalen Wettbewerb der Assekuranz zum entscheidenden Differenzierungsmerkmal werden.

Quellen:

Read next

Comments ()