Kurz gesagt: Der EU-AI-Act macht aus Ideen Produkte – und aus Produkten Verantwortung. Er zwingt niemanden zur Perfektion, sondern zu nachweislich vernünftigem Handeln. Genau das ist die Abkürzung zu robusteren Releases, weniger Rückrufen und mehr Vertrauen.

1) Vom „Wow“ zur Wirklichkeit: Worum es beim EU-AI-Act wirklich geht

In Europa ist etwas Bemerkenswertes passiert: Künstliche Intelligenz ist von der Bühne der Demos, Prototypen und „Wow“-Momente heruntergestiegen und hat den nüchternen Maschinenraum der Verantwortung betreten. Der EU-AI-Act sorgt bei manchen für Schweißperlen und bei anderen für Schulterzucken. Beide Reaktionen greifen zu kurz. Wer nur Regulierung sieht, übersieht den eigentlichen Kern: Der AI-Act ist die Bauordnung für KI-Produkte. Niemand verbietet Ihnen, kreativ zu bauen; definiert werden nur tragende Wände, Fluchtwege und nicht brennbare Materialien. Architekten hassen Bauordnungen nicht – sie nutzen sie, um ambitionierte Entwürfe in reale, sichere Gebäude zu verwandeln. Genauso funktioniert guter KI-Produktbau unter dem AI-Act.

Ein Sicherheits-Deep-Dive, inspiriert von einer Prozessgrafik – und ergänzt um das, was die Praxis wirklich ausmacht

Wer heute an der Kasse sein Smartphone an das Terminal hält, löst damit ein erstaunlich komplexes Zusammenspiel aus Kryptografie, Hardware-Sicherheitskomponenten, Token-Diensten der Karten­netzwerke, Bankprüfungen und Händler-Backends aus. Von all dem bekommt man in der Regel nichts mit – und das ist gut so. Die eingangs gezeigte Prozessgrafik macht einen wichtigen Punkt sichtbar: Apple Pay und Google Pay verfolgen ähnlichen Zweck, aber unterscheiden sich im Architekturdetail, vor allem bei der Frage, wo sensible Informationen liegen und wie eine Zahlung kryptografisch gebunden wird. Aus dieser scheinbar kleinen Designentscheidung erwachsen spürbare Unterschiede in Angriffsfläche, Datenschutz und Betriebsmodell.

Mit dem Entwurf IDW EPS 528 (08.2025) legt das Institut der Wirtschaftsprüfer erstmals einen branchenübergreifenden Prüfungsstandard für die aufsichtliche Prüfung nach DORA vor. Der Standard adressiert Institute, Versicherungsunternehmen, externe Kapitalverwaltungsgesellschaften sowie bestimmte Investmentvermögen und schafft damit einen konsistenten, methodisch klar strukturierten Rahmen für Planung, Durchführung und Berichterstattung von DORA-Prüfungen. Er ist bis zum 31.10.2025 zur Stellungnahme geöffnet.
Zum Entwurf: https://lnkd.in/dyWzguDM

Einordnung: Warum dieser Standard jetzt wichtig ist

DORA ist seit dem 17. Januar 2025 anzuwenden und markiert den Übergang von isolierten IT-Sicherheitsanforderungen hin zu einem einheitlichen europäischen Rahmen für digitale operationale Resilienz. Das Finanzmarktdigitalisierungsgesetz (FinmadiG) verankert zugleich die Prüfung ausgewählter DORA-Pflichten im Rahmen der Jahresabschlussprüfung – erstmals für Geschäftsjahre, die nach dem 31.12.2024 beginnen. In dieser Lage fehlte bislang ein sektorübergreifender Prüfungsmaßstab, der die Vielzahl an Einzelanforderungen in ein nachvollziehbares Prüfungsprogramm übersetzt. IDW EPS 528 schließt diese Lücke: Er formuliert eine prinzipienorientierte, risikobasierte Prüfarchitektur, die die Proportionalität in den Mittelpunkt stellt und gleichzeitig die Anschlussfähigkeit an die Aufsichtspraxis sicherstellt.

Sechs Monate sind vergangen, seit der Digital Operational Resilience Act (DORA) am 17. Januar 2025 in Kraft trat. Ein halbes Jahr, das für viele Unternehmen im Finanzsektor zugleich eine Compliance-Hürde und einen Prüfstein darstellte. Heute zeigt sich: Die ersten Erfahrungen sind klar – DORA ist kein Projekt mit Start- und Endpunkt, sondern der Beginn eines laufenden Transformationspfads. Was bisher gelungen ist, wo es noch hakt und warum die nächsten Monate entscheidend sind – all das erfährst du in diesem Artikel.

Die erste Phase: Anmeldung, Verwirrung und Umsetzungsstress

In den ersten Monaten galt es, die Basis zu schaffen: Das Register of Information (RoI) zu Drittdienstleistern musste bis Ende April 2025 eingereicht werden. Viele Unternehmen leisteten hier einen echten Sprint – doch schon damals war klar, dass die eigentliche Arbeit erst beginnt. Parallel dazu schärften nationale Behörden den Rahmen, indem sie detaillierte Anforderungen an Drittanbieter-Risikomanagement, Meldepflichten und interne Governance-Strukturen definierten. Besonders Asset Manager, Versicherer und kleinere Banken spüren seit Frühjahr 2025 einen deutlichen Umsetzungsdruck.

Wer in der Welt von Qualitätsmanagement, Informationssicherheit oder Prozessoptimierung unterwegs ist, kommt an PDCA nicht vorbei. Vier Buchstaben, die für viele nach grauer Theorie aus ISO-Handbüchern und endlosen Audit-Checklisten klingen. Plan – Do – Check – Act. Klingt simpel, fast schon banal. Doch hinter diesem unscheinbaren Zyklus steckt einer der mächtigsten Ansätze, um nicht nur Managementsysteme, sondern ganze Organisationen kontinuierlich zu verbessern. Das Problem: PDCA wird oft falsch verstanden oder halbherzig umgesetzt – und dann wirkt es tatsächlich langweilig. Wer es aber richtig macht, erlebt, wie aus einem theoretischen Modell ein lebendiger Motor für Veränderung wird.

Warum PDCA so oft unterschätzt (und missbraucht) wird

PDCA scheitert selten an seiner Logik, sondern an der Praxis. Häufige Fehlgriffe: „Plan“ wird als reines Dokumentieren verwechselt, „Do“ als hektisches Abarbeiten, „Check“ als Schuldzuweisung und „Act“ als Protokollnotiz ohne Konsequenz. Ebenso verbreitet: Der Zyklus wird nur jährlich gefahren – zum Audit – statt in kurzen, regelmäßigen Takten. Und nicht zuletzt: Es fehlt die Verbindung zu echten Zielen und Kennzahlen; Maßnahmen segeln ohne Kompass durch den Betrieb. Damit PDCA Wirkung entfaltet, braucht es drei Zutaten: klare Zielbilder, belastbare Daten und geübte Routinen. Erst dann wird aus Theorie gelebte Praxis.