Am 21. August 2024 hat das National Institute of Standards and Technology (NIST) den zweiten öffentlichen Entwurf seiner Digital Identity Guidelines zur finalen Überprüfung veröffentlicht. Diese Richtlinien, die speziell für Regierungsauftragnehmer entwickelt wurden, beinhalten neue Anforderungen an den Einsatz von Künstlicher Intelligenz (KI) und maschinellem Lernen (ML) in digitalen Identitätssystemen. Mit einem klaren Fokus auf Transparenz, Ethik und Verantwortlichkeit sollen die neuen Vorgaben sicherstellen, dass KI-Systeme sicher, vertrauenswürdig und frei von Verzerrungen sind. Gleichzeitig stellen sie einen umfassenden Leitfaden für zukünftige Standards und Vorschriften im Bereich der KI dar.
Das musst du wissen – Neue NIST KI-Richtlinien
- Umfassende Dokumentationspflicht: Alle Anwendungen von KI und ML müssen detailliert dokumentiert und offengelegt werden.
- Transparenz in der Nutzung: Organisationen müssen genaue Informationen über Trainingsmethoden, Datensätze, Modellaktualisierungen und Testergebnisse bereitstellen.
- Bias-Management und Risikobewertung: Die Implementierung des NIST AI Risk Management Frameworks und die Konsultation von SP1270 zur Bias-Bewältigung sind verpflichtend.
- Regulatorische Anpassungen erforderlich: Auftragnehmer sollten bereits jetzt ihre Verträge und KI-Governance-Programme überprüfen und anpassen.
- Öffentliche Kommentare gefragt: NIST nimmt bis zum 7. Oktober 2024 Kommentare zu den Richtlinienentwürfen entgegen.
Die Entwürfe betonen insbesondere die Notwendigkeit, den Einsatz von KI und ML in Identitätssystemen transparent zu gestalten. Unternehmen, die diese Technologien nutzen, müssen umfangreiche Informationen zu deren Betrieb, den zugrunde liegenden Daten und den Algorithmen, die Entscheidungen treffen, bereitstellen. Diese Offenlegungspflicht ist nicht nur eine Frage der Compliance, sondern auch ein wesentlicher Schritt zur Förderung von Vertrauen und Akzeptanz bei den Kunden, die zunehmend auf KI-gestützte Lösungen in kritischen Bereichen wie Gesundheitswesen, Strafverfolgung und öffentliche Ordnung angewiesen sind.
Neue Standards für digitale Identitätssysteme
Die Digital Identity Guidelines des NIST befassen sich mit drei Hauptthemen im Bereich des Identitätsrisikomanagements: Identitätsprüfung, Authentifizierung und Föderationslevel. Fehler in einem dieser Bereiche „können dazu führen, dass die falsche Person erfolgreich auf einen Online-Dienst, ein System oder Daten zugreift“ (siehe Draft Guidelines, Abschnitt 3). Diese Richtlinien erkennen die weitreichenden Anwendungen von KI und ML in Identitätssystemen an – von biometrischen Systemen bis hin zu Chatbots – und betonen, dass diese Technologien spezifische Risiken wie ungleiche Ergebnisse, verzerrte Outputs und die Verschärfung bestehender Ungleichheiten mit sich bringen können.
Verpflichtende Offenlegung und Bewertung von KI-Systemen
Gemäß Abschnitt 3.8 der Draft Guidelines müssen Unternehmen, die KI und ML in ihren Identitätssystemen verwenden, eine vollständige Offenlegung gegenüber allen beteiligten Parteien, einschließlich Credential Service Providers (CSPs), Identity Providers (IdPs) und Entscheidern, gewährleisten. Diese Offenlegung umfasst:
- Dokumentation aller eingesetzten KI- und ML-Systeme und deren Funktionen.
- Detaillierte Informationen zu den Methoden und Techniken, die für das Training der Modelle verwendet werden, einschließlich einer Beschreibung der Trainingsdatensätze.
- Angaben zur Häufigkeit der Aktualisierung der Modelle sowie Ergebnisse regelmäßiger Tests.
- Verwendung des NIST AI Risk Management Frameworks, um Risiken zu bewerten, und Konsultation des SP1270-Leitfadens, um Bias in KI zu verwalten.
Diese detaillierten Anforderungen zielen darauf ab, die Arbeitsweise von KI-Systemen für Regierungsbehörden transparent zu machen, was besonders in Sektoren mit hohem Risiko, wie dem Gesundheitswesen oder der Strafverfolgung, von entscheidender Bedeutung ist.
Anpassung an bestehende regulatorische Vorgaben
Die neuen Richtlinien sind auch eng mit bestehenden Gesetzen und Vorschriften verbunden. Insbesondere müssen Regierungsauftragnehmer sicherstellen, dass ihre KI-Anwendungen den Anforderungen des Federal Acquisition Regulation (FAR) und des False Claims Act (FCA) entsprechen. Crowell & Moring LLP, eine Kanzlei, die sich auf Regierungsverträge spezialisiert hat, weist darauf hin, dass Auftragnehmer auch auf bereits bestehende Vorgaben, wie die Executive Order von Präsident Biden zur KI und die Richtlinien des Office of Management and Budget (OMB), vorbereitet sein müssen. Diese bestehenden Regelungen werden in den neuen NIST-Richtlinien möglicherweise noch erweitert.
Strategische Vorbereitung und Compliance
Für Regierungsauftragnehmer bedeutet die Einhaltung der neuen NIST-Richtlinien nicht nur die Erfüllung gesetzlicher Verpflichtungen, sondern auch eine strategische Chance, ihre Marktposition zu stärken. Durch die frühzeitige Anpassung ihrer internen Prozesse, die Überprüfung und Aktualisierung von Vertragsklauseln und die Entwicklung robuster KI-Governance-Programme können Unternehmen sich als führend in einer zunehmend regulierten Landschaft positionieren.
Die Kanzlei Crowell & Moring LLP bietet hier Unterstützung an. Sie hilft ihren Mandanten, die rechtlichen Implikationen der neuen NIST-Richtlinien zu verstehen, rechtliche Risiken im Zusammenhang mit KI-Offenlegungen zu bewerten und Bereiche zu identifizieren, in denen die Gefahr von Rechtsstreitigkeiten besteht. Die Kanzlei berät auch darüber, wo sich die neuen Richtlinien mit bestehenden Statuten und Regularien überschneiden, und bietet Schulungen an, um neue Strategien zur Risikominderung zu entwickeln.
Öffentliche Konsultation und nächste Schritte
Bis zum 7. Oktober 2024 können Stakeholder ihre Kommentare zu den NIST-Richtlinienentwürfen abgeben. Es ist für Regierungsauftragnehmer von entscheidender Bedeutung, diese Gelegenheit zu nutzen, um Feedback zu geben und sich aktiv an der Gestaltung der endgültigen Richtlinien zu beteiligen. Die Vorbereitung auf die Implementierung sollte parallel dazu bereits begonnen haben, um sicherzustellen, dass die Unternehmen in der Lage sind, die Vorgaben nahtlos zu erfüllen, sobald diese in Kraft treten.
Fazit: NIST’s Neue KI-Richtlinien – Mehr als nur Compliance
Die neuen NIST-Richtlinien für die Offenlegung von KI im Regierungsbereich sind ein bedeutender Schritt hin zu mehr Transparenz, Verantwortlichkeit und Sicherheit bei der Nutzung von Künstlicher Intelligenz. Sie bieten Regierungsauftragnehmern nicht nur einen klaren Leitfaden für die Zukunft, sondern auch eine Gelegenheit, ihre Führungsposition in einem dynamischen und regulierten Umfeld zu behaupten. Unternehmen, die jetzt handeln und sich auf diese Veränderungen vorbereiten, werden in einer besseren Position sein, die Chancen und Herausforderungen dieser neuen Ära der digitalen Identität und KI zu nutzen.
#AI #Cybersecurity #GovernmentContracts #NIST #KIRegulierung #Transparenz