Kernaussagen
- • CERTavia liefert deterministische Infrastruktur-Evidenz nach Art. 15 EU AI Act. Art. 9, 10 und 14 verbleiben vollständig beim Institut.
- • Die Evidence Gap: CERTavia verifiziert, ob eine llms.txt vorhanden und kryptografisch integer ist. Ob ihr Inhalt der internen AI Ethics Policy entspricht, bleibt offen.
- • Ein binäres CERTIFIED-Signal erzeugt Scheinpräzision. Es ist keine Zertifizierung der Rechtmäßigkeit und kein Ersatz für interne Kontrollsysteme.
- • Das größte Einzelrisiko in der Risikomatrix ist die Fehlinterpretation der technischen Evidenz als vollständige AI-Act-Konformität.
Die regulatorische Landschaft für den europäischen Bankensektor verdichtet sich durch EU AI Act, DORA und NIS2 zu einer einzigen Forderung: technischer Nachweis der Infrastruktur-Integrität. CERTavia liefert auf Basis seiner deterministischen Validierungs-Engine maschinenlesbare Nachweise. Die Letztverantwortung für die Einhaltung des AI Acts, insbesondere Art. 9, 10 und 14, verbleibt vollumfänglich beim Institut. CERTavia positioniert sich als Baustein für einen Audit-Ready-Status, nicht als Compliance-Ersatz.
Dieser erste Teil ordnet ein, was CERTavia technisch leistet, wo die Grenze zur Aufsichtspflicht liegt und welches Risiko aus einer Fehlinterpretation des Signals entsteht.
Funktionale Abgrenzung: Technische Evidenz und Aufsichtspflichten
Für die Revisionssicherheit ist eine strikte Trennung zwischen Infrastrukturdaten und organisatorischer Governance erforderlich. CERTavia ist ein deterministischer Verifier. Die Engine adressiert punktgenau die Anforderungen von Art. 15 EU AI Act zur Robustheit der Datenquellen und lässt wesentliche Teile der Gesamtregulatorik unberührt.
| Technische Infrastruktur-Evidenz (CERTavia) | Formale Aufsichtspflichten (Bankmanagement) |
|---|---|
| Fokus Art. 15 — Validierung der technischen Robustheit und Integrität: DNSSEC, TLS, CAA. | Risikomanagement (Art. 9) — Identifikation und Bewertung systemischer Risiken. |
| Kryptografische Signatur — Nachweis der Unveränderlichkeit via Ed25519-DNS-Anker. | Human Oversight (Art. 14) — Sicherstellung wirksamer menschlicher Aufsichtsmechanismen. |
| Infrastruktur-Parameter — Scan von 80+ Parametern in sechs Clustern: robots.txt, ai.txt, llms.txt. | Data Governance (Art. 10) — Prüfung der Trainingsdatenqualität und Bias-Vermeidung. |
| Deterministische Prüfung — Binäres Signal CERTIFIED/FAILED ohne Ermessensspielraum. | Organisatorische Kontrolle — Aufbau eines internen Kontrollsystems (IKS) und Revision. |
CERTavia verifiziert technisch, ob beispielsweise eine llms.txt vorhanden und kryptografisch integer ist. Das System bewertet nicht, ob die darin deklarierten Werte mit der internen AI Ethics Policy der Bank übereinstimmen. Diese Lücke schließt ausschließlich die interne Governance.
Die Gefahr der Scheinpräzision
Ein binäres CERTIFIED-Signal erzeugt eine Präzision, die für die Revision verlockend wirkt. Ein technischer Infrastruktur-Scan ist keine Zertifizierung der Rechtmäßigkeit. CERTavia agiert nicht als Notified Body. Die Interpretation des Signals als Ersatz für interne Kontrollsysteme stellt ein erhebliches Prüfungsrisiko dar. Ohne organisatorische Einbettung bleibt das technische Signal für die Aufsicht wertlos.
Ein CERTIFIED-Signal beweist die Integrität der gemessenen Infrastruktur zum Zeitpunkt der Messung. Es beweist nicht die Konformität der Organisation, die diese Infrastruktur betreibt.
Banken-standardisierte Risikomatrix
Die Bewertung erfolgt auf einer 5-stufigen Skala, wobei 1 für sehr gering und 5 für kritisch steht. Die Gewichtung priorisiert regulatorische Relevanz und Reputationsschaden vor rein technischen Betriebsaspekten.
| Risiko | Wahrsch. | Auswirkung | Kontrolle | Reg. | Reputation | Gesamt |
|---|---|---|---|---|---|---|
| Falsche Compliance-Interpretation | 4 | 5 | 3 | 5 | 5 | 5.0 |
| Fehlende interne Governance-Abdeckung | 4 | 5 | 2 | 5 | 4 | 4.8 |
| Marketing-Leakage (überhöhte Versprechen) | 3 | 5 | 4 | 5 | 5 | 4.6 |
| Haftungs- und Erwartungsrisiko | 3 | 5 | 2 | 5 | 5 | 4.5 |
| Uneinheitliche Ergebnisse (200+ Standorte) | 4 | 4 | 2 | 4 | 4 | 4.2 |
| Veraltete / inkonsistente Evidenz | 4 | 4 | 2 | 4 | 3 | 4.0 |
Top 3 Kritikalitäten aus Sicht der Aufsicht (BaFin/EZB)
Die übrigen drei Risiken aus der Matrix — Haftungs- und Erwartungsrisiko, uneinheitliche Ergebnisse über 200+ Standorte und veraltete Evidenz — sind direkt mit der operativen Skalierung des Rollouts verknüpft. Teil 2 dieser Serie ordnet diese Risiken in die konkrete Umsetzung ein.
Weiter mit Teil 2
Der 200+ Standorte Rollout: Skalierung, Haftung und Handlungsempfehlungen
Operative Entropie, die 90-Tage-Gültigkeit von CERTavia-Nachweisen, die Haftungs-Demarkationslinie zwischen Dienstleister, Institut und Verband sowie fünf priorisierte Schritte für die sichere Umsetzung.
Teil 2 lesen →CERTavia analysiert technische Infrastruktursignale. Das Ergebnis ist ein maschinenlesbarer Befund, kein Rechtsgutachten und keine Zertifizierung im Sinne der EU AI Act Konformitätsbewertung nach Artikel 43. Für rechtsverbindliche Compliance-Bewertungen wenden Sie sich an eine zugelassene Konformitätsbewertungsstelle.