Orga. Maßnahmen - Governance & Tech. Maßnahmen - Betrieb (Anbindung Cybersicherheitsmanagementsystem)

Es muss vorgesehen sein, dass das KI-System in einer Cybersicherheitsmanagementsystem (CSMS) eingebettet werden kann, insbesondere:

• Monitoring und Logging müssen implementiert oder vorgesehen sein und Schnittstellen für ein CSMS bereit stellen
• die Dokumentation von Schwachstellen, Assets, Risikoanalyse und den Ergebnissen aus allen Mitigationsmaßnahmen sollte vollständig bereit gehalten sein
• eine Strategie für Software -und Sicherheitsupdates sollte vorhanden sein

Das KI-System sollte Schnittstellen bereithalten um mindestens die folgenden Aspekte eines CSM abdecken zu können:

• Ein Systemlebenszyklus basiertes System zur regelmäßigen Cybersicherheitsqualitätskontrolle einschließlich vorgesehener Reviews der Sicherheitsmaßnamen und Protokolle.
• Grundlegendes Cybersecurity Asset Management, einschließlich für Sicherheitskontrollen und Überwachungssysteme selber
• Management von Schwachstellen (Identifizierung während des gesamten Lebenszyklus, insbesondere Training/Evaluation und Deployment-Phasen; wo nötig, sollten Penetrationstests vorgeschrieben sein)
• Ein Cybersicherheits-Monitoringsystem
• Zugangsmanagement zu den verschiedenen Assets und Komponenten des Systems
• Aspekte des Personalmanagement, wie Schulung, Ausbildung und Rollenzuweisung in der Entwicklung und Begleitung des KI-Produkts
• eine Analyse des erwarteten und tatsächlichen Zeitrahmens innerhalb dessen Sicherheitsaktualisierungen für das KI-System zur Verfügung gestellt werden
• Strategien für regelmäßigen Review von Sicherheitsmaßnahmen - und Protokollen
• Dokumentation des CSMS. Die Informationen müssen direkt mit der KI-Anwendung einsehbar sein.
• Das CSMS kann durch Compliance mit entsprechenden Cybersicherheitsstandards nachgewiesen sein, ein entsprechender Nachweis für das entwickelte KI-System sollte automatisch als A gewertet sein (z.B.. BSI Grundschutz, ISO 27k series, IEC 62443, ISO/SAE 21434, ETSI EN 303 645, NIST AI RMF, ... )

Orga. Maßnahmen - Governance & Tech. Maßnahmen - Betrieb (Anbindung Cybersicherheitsmanagementsystem)

Es sollte so viele Information, wie möglich bereit gestellt werden, so dass das KI-System in einer Cybersicherheitsmanagementsystem (CSMS) eingebettet werden kann, insbesondere:

• Monitoring und Logging müssen mindestens vorgesehen sein und Schnittstellen für ein CSMS bereit stellen
• die Dokumentation von Schwachstellen, Assets, Risikoanalyse und den Ergebnissen aus allen Mitigationsmaßnahmen sollte vollständig bereit gehalten sein

Das KI-System sollte Schnittstellen bereithalten um mindestens die folgenden Aspekte eines CSMS abdecken zu können:

• Ein Systemlebenszyklus basiertes System zur regelmäßigen Cybersicherheitsqualitätskontrolle einschließlich vorgesehener Reviews der Sicherheitsmaßnamen und Protokolle.
• Grundlegendes Cybersecurity Asset Management, einschließlich für Sicherheitskontrollen und Überwachungssysteme selber
• Management von Schwachstellen (Identifizierung während des gesamten Lebenszyklus, insbesondere Training/Evaluation und Deployment-Phasen; wo nötig, sollten Penetrationstests vorgeschrieben sein)
• Zugangsmanagement zu den verschiedenen Assets und Komponenten des Systems
• eine Analyse des erwarteten und tatsächlichen Zeitrahmens innerhalb dessen Sicherheitsaktualisierungen für das KI System/Anwendung zur Verfügung gestellt werden
• Strategien für regelmäßigen Review von Sicherheitsmaßnahmen - und Protokollen
• Dokumentation des CSMS. Die Informationen müssen direkt mit der KI-Anwendung einsehbar sein.
• Das CSMS kann durch Compliance mit entsprechenden Cybersicherheitsstandards nachgewiesen sein, ein entsprechender Nachweis für das entwickelte KI-System sollte automatisch als A gewertet sein (z.B.. BSI Grundschutz, ISO 27k series, IEC 62443, ISO/SAE 21434, ETSI EN 303 645, NIST AI RMF, ... )

Orga. Maßnahmen - Governance & Tech. Maßnahmen - Betrieb (Anbindung Cybersicherheitsmanagementsystem)

• Es sollte so viele Information zur KI-spezifischen Cybersicherheit, wie möglich bereit gestellt werden um das KI-System in größere Systemkontexte einbetten zu können insbesondere die Dokumentation von Schwachstellen, Assets, Risikoanalyse und den Ergebnissen aus allen Mitigationsmaßnahmen

Die Einbettung in ein CSMS wurde in keiner Weise vorgesehen oder erleichtert.