Das NIST AI Risk Management Framework ist ein freiwilliges Rahmenwerk des US-amerikanischen National Institute of Standards and Technology zur Steuerung von Risiken aus dem Einsatz künstlicher Intelligenz. Es ist branchenübergreifend angelegt, schreibt keine bestimmten Werkzeuge vor und ist nicht an eine Rechtsordnung gebunden. Im Unterschied zu einem Gesetz erzwingt es nichts. Seine Wirkung entfaltet es als gemeinsame Sprache, auf die sich Regulierer, Normungsgremien und internationale Frameworks beziehen.
Der Kern besteht aus vier Funktionen, die den Umgang mit KI-Risiken über den gesamten Lebenszyklus strukturieren.
1. Govern ist die übergreifende Funktion. Sie etabliert Kultur, Rollen, Verantwortlichkeiten und Prozesse für das Risikomanagement und durchzieht die drei anderen Funktionen.
2. Map erfasst den Kontext. Welche KI-Systeme existieren, in welchem Einsatzzweck, mit welchen Beteiligten, mit welchen möglichen Auswirkungen. Ohne diese Bestandsaufnahme bleibt jedes weitere Risikomanagement Stückwerk.
3. Measure bewertet, analysiert und verfolgt die identifizierten Risiken mit nachvollziehbaren Methoden und Metriken.
4. Manage priorisiert die Risiken und steuert die Reaktion, von der Risikobehandlung über die Überwachung bis zur Reaktion auf Vorfälle.
5. Die ergänzenden Profile. Das Basisframework wird durch Profile ergänzt, die es auf spezifische Kontexte zuschneiden.
Das Generative-AI-Profil, veröffentlicht im Juli 2024, erweitert das RMF auf die Risiken großer Sprachmodelle und multimodaler Systeme. Es benennt zwölf Risikokategorien, die für generative KI einzigartig oder durch sie verstärkt sind, darunter Konfabulation, also das Erzeugen plausibel klingender, aber falscher Inhalte, Datenschutz, schädliche Verzerrung und Informationssicherheit. Jede dieser Kategorien wird auf die vier Grundfunktionen abgebildet, sodass Organisationen kein separates Framework aufbauen müssen, sondern das Profil auf das Bestehende aufsetzen.
Ein Profil für agentische KI adressiert die zusätzlichen Risiken autonom handelnder Agenten. NIST empfiehlt, bei Agenten auf Basis generativer Modelle beide Profile anzuwenden: das Generative-AI-Profil für das Verhalten der Modellausgabe und das Agenten-Profil für das autonome Handlungsverhalten.
Am 7. April 2026 hat NIST eine Concept Note für ein RMF-Profil zu vertrauenswürdiger KI in kritischen Infrastrukturen veröffentlicht. Dieses Profil soll Betreibern kritischer Infrastrukturen spezifische Risikomanagement-Praktiken an die Hand geben, wenn sie KI-gestützte Fähigkeiten einsetzen. Für Organisationen im KRITIS-Umfeld ist das ein direkt relevanter Baustein.
1. Gemeinsame Sprache statt isolierter Norm. Für eine europäische SAP-Organisation stellt sich die Frage, warum ein freiwilliges US-Framework relevant ist, wenn der EU AI Act ohnehin rechtlich bindet. Die Antwort liegt in der Verbindung. NIST stellt Crosswalk-Dokumente bereit, die das AI RMF auf andere Frameworks abbilden, darunter ISO 42001 und der EU AI Act. Damit wird das RMF zum operativen Bindeglied zwischen dem, was das Gesetz verlangt, und dem, was eine Organisation täglich tut.
2. Das Verhältnis zu ISO 42001. Die beiden Rahmenwerke arbeiten auf unterschiedlichen Ebenen und ergänzen sich. ISO 42001 ist ein Managementsystem-Standard. Er beschreibt, wie eine Organisation ein KI-Governance-Programm aufbaut, betreibt und verbessert, und er ist zertifizierbar. Das NIST AI RMF ist ein Risikoframework. Es konzentriert sich auf das Identifizieren und Reduzieren konkreter KI-Risiken über den Lebenszyklus. Viele Organisationen verfolgen beide gleichzeitig: ISO 42001 als Gerüst des Programms, das NIST AI RMF als Methode für die Risikoarbeit darin.
3. Relevanz für die SAP-KI-Landschaft 2026. Der Bedarf ist konkret geworden, weil KI in SAP-Landschaften 2026 von der Funktion zur handelnden Komponente wird. Joule-Agenten greifen über das Model Context Protocol auf SAP-Daten zu, autonome Agenten führen mehrstufige Prozesse aus, KI-unterstützte Werkzeuge erzeugen Code und Änderungen. Damit entstehen genau die Risiken, für die das NIST AI RMF und seine Profile entwickelt wurden. Das Framework liefert eine Struktur, um diese Risiken nicht ad hoc, sondern systematisch zu behandeln.
Die vier Funktionen lassen sich in konkrete Schritte für eine SAP-Organisation übersetzen.
1. Govern in der SAP-Organisation verankern. Govern bedeutet, eine Verantwortlichkeit für KI-Risiken mit Rückhalt auf Leitungsebene und mit fachübergreifender Besetzung zu schaffen, von Recht und Compliance über Entwicklung bis zum Betrieb. In der SAP-Welt heißt das, die KI-Governance nicht von der bestehenden Change- und Release-Governance zu trennen, sondern an sie anzudocken. Wer KI-Änderungen über denselben kontrollierten Prozess führt wie andere Änderungen, nutzt vorhandene Strukturen.
2. Map durch ein KI-Inventar. Map beginnt mit einem Inventar aller KI-Systeme in Entwicklung, Betrieb und Beschaffung. Für SAP-Landschaften heißt das, alle eingesetzten Agenten, Modelle und MCP-Server zu erfassen, einschließlich der zugelassenen externen Assistenten. Ein Inventar, das nicht weiß, welche Agenten auf welche Daten zugreifen, kann keine Risiken bewerten.
3. Measure mit nachvollziehbaren Metriken. Measure verlangt, die identifizierten Risiken mit Methoden und Metriken zu bewerten und zu verfolgen. In der Praxis bedeutet das, für KI-gestützte Änderungen messbare Prüfpunkte zu definieren: Testabdeckung, Fehlerquoten, Häufigkeit menschlicher Korrekturen, Eskalationen. Diese Metriken machen aus einem Gefühl über das Risiko eine belastbare Aussage.
4. Manage über die Reaktionskette. Manage priorisiert die Risiken und steuert die Reaktion. Für SAP-Organisationen bedeutet das, klare Schwellen für menschliche Freigabe zu definieren, Überwachung produktiver Agenten einzurichten und einen Reaktionspfad für KI-bezogene Vorfälle vorzuhalten. Die Reaktion ist dabei kein einmaliger Zustand, sondern ein fortlaufender Zyklus.
1. Freiwilligkeit ohne Durchsetzung. Die erste Grenze ist die Freiwilligkeit. Das NIST AI RMF erzwingt nichts. Es liefert Struktur, aber keine Sanktion. Eine Organisation, die das Framework als Häkchen-Übung behandelt, gewinnt wenig. Den Wert entfaltet es nur, wenn es als operative Infrastruktur und nicht als Compliance-Formalität verstanden wird.
2. US-Kontext gegen EU-Pflicht. Die zweite Grenze ist der Kontext. Das RMF ist im US-Umfeld entstanden, der EU AI Act ist die rechtlich bindende Vorgabe in Europa. Das Framework ersetzt die rechtliche Pflicht nicht, es unterstützt ihre Erfüllung. Wer das NIST AI RMF anwendet, hat seine EU-rechtlichen Pflichten damit nicht automatisch erfüllt, sondern eine Methode, sie strukturiert anzugehen.
3. Die Lücke bei autonomen Systemen. Die dritte Grenze betrifft die Geschwindigkeit der Entwicklung. Autonome Agenten entstehen schneller, als Profile und Standards reifen. Das Agenten-Profil und die zugehörige Standards-Initiative von NIST sind eine Antwort darauf, aber sie laufen der Realität teilweise hinterher. Die schwierigere Frage, die kein Reifegrad eines Frameworks beantwortet, ist, ob der Mensch die Wahl behält, dem System zu widersprechen, wenn dessen Abbild der Lage überzeugender wirkt als die Lage selbst. Genau an dieser Stelle entscheidet sich, ob Governance Kontrolle bedeutet oder nur Dokumentation.
4. Aufwand der Abbildung. Die vierte Grenze ist der Aufwand. Wer NIST AI RMF, ISO 42001 und EU AI Act gleichzeitig bedient, muss die Anforderungen sauber aufeinander abbilden, um Doppelarbeit zu vermeiden. Die Crosswalk-Dokumente helfen, ersetzen aber nicht die organisationsspezifische Zuordnung.
1. Die Rollen klar trennen. ISO 42001 liefert das Managementsystem, das NIST AI RMF die Risikomethode, der EU AI Act die rechtliche Pflicht. Jedes Rahmenwerk beantwortet eine andere Frage.
2. Mit dem Inventar beginnen. Ohne ein vollständiges Verzeichnis der KI-Systeme, Agenten und Modelle ist keine der drei Disziplinen belastbar. Das Inventar ist der gemeinsame Ausgangspunkt.
3. Das passende Profil wählen. Für generative KI das Generative-AI-Profil, für autonome Agenten das Agenten-Profil, für KRITIS-Betreiber das Profil zu kritischen Infrastrukturen. Das Profil-Prinzip erlaubt, das Framework an den eigenen Kontext anzupassen.
4. An die Change-Governance andocken. KI-Änderungen über denselben kontrollierten Change- und Release-Prozess führen wie andere Änderungen. Das verbindet die KI-Risikoarbeit mit dem durchgängigen Audit Trail, den SOX, NIS2 und der EU AI Act ohnehin verlangen.
5. Metriken statt Bauchgefühl. Measure ernst nehmen und für KI-gestützte Änderungen messbare Prüfpunkte definieren, damit Risiken belegbar werden.
6. Als laufenden Zyklus betreiben. Die vier Funktionen sind kein einmaliges Projekt, sondern ein fortlaufender Kreislauf, der mit jedem neuen Agenten und jedem neuen Profil aktualisiert wird.
Das NIST AI RMF beschreibt, was zu tun ist, nicht mit welchem Werkzeug. Die folgende Tabelle ordnet ein, in welcher Werkzeugklasse die Funktionen Govern, Map, Measure und Manage für KI-gestützte SAP-Änderungen tatsächlich umgesetzt werden. Sie ist eine Operationalisierungs-Sicht, kein Frameworkvergleich.
| Werkzeugklasse | Map (KI-Inventar) | Measure (Metriken) | Manage (Freigabe und Reaktion) | Govern (Audit Trail Req-to-Deploy) |
|---|---|---|---|---|
| SAP AI Agent Hub | Vollständig | Teilweise | Teilweise | Teilweise |
| MCP-Server-Governance (Whitelist, Sandbox) | Teilweise | Teilweise | Teilweise | Teilweise |
| SAP Cloud ALM (Change and Deploy) | Nein | Teilweise | Teilweise | Teilweise |
| ChaRM (SAP Solution Manager) | Nein | Teilweise | Vollständig | Vollständig |
| Orchestration Layer¹ | Nein | Teilweise | Vollständig | Vollständig |
¹ Solutive AG ist Initiator des Change Orchestration Institute. Die Bewertung in der Tabelle ist eine Selbstauskunft des Anbieters und nicht Teil einer redaktionell unabhängigen Validierung. Das KI-Inventar im Sinne von Map liegt außerhalb des Funktionsumfangs einer Change- und Transport-Governance-Schicht und wird durch dedizierte Agenten-Verwaltung wie den SAP AI Agent Hub abgedeckt.
Die Tabelle macht die Arbeitsteilung sichtbar. Das Inventar und die Erfassung der KI-Systeme, also die Map-Funktion, liegen bei der Agenten-Verwaltung. Die Manage- und Govern-Funktionen, also die kontrollierte Freigabe und der lückenlose Audit Trail, liegen bei der Change- und Transport-Governance. Eine vollständige Umsetzung des NIST AI RMF in einer SAP-Landschaft kombiniert daher die Agenten-Verwaltung mit der etablierten Change-Governance, statt eines von beiden allein als ausreichend zu betrachten.
1. Frameworkvergleich zur Einordnung. Zur Abgrenzung der Rahmenwerke selbst, unabhängig von Werkzeugen:
| Merkmal | NIST AI RMF | ISO 42001 | EU AI Act |
|---|---|---|---|
| Natur | Freiwilliges Risikoframework | Zertifizierbarer Managementsystem-Standard | Bindendes Recht |
| Geltung | Branchenübergreifend, weltweit referenziert | International, zertifizierbar | EU, mit Drittlandwirkung |
| Fokus | Risiken über den Lebenszyklus | Aufbau und Betrieb des Governance-Programms | Pflichten nach Risikoklasse |
| Durchsetzung | Keine | Über Zertifizierung | Über Aufsicht und Sanktion |
| Generative und agentische KI | Eigene Profile | Über das Managementsystem | Über Transparenz- und Hochrisikopflichten |
Aus dem Framework ergeben sich konkrete Schritte.
Die erste Konsequenz betrifft die Verortung. Das NIST AI RMF gehört nicht in eine separate KI-Insel, sondern an die bestehende Change- und Release-Governance angedockt. Wer KI-Risikomanagement neben dem etablierten Prozess aufbaut, erzeugt zwei Welten, die auseinanderdriften.
Die zweite Konsequenz betrifft das Inventar. Ohne ein vollständiges Verzeichnis der eingesetzten Agenten, Modelle und MCP-Server ist die Map-Funktion nicht erfüllt, und damit ist das übrige Risikomanagement nicht belastbar. Das Inventar ist der erste konkrete Schritt.
Die dritte Konsequenz betrifft die Profile. Organisationen sollten das passende Profil wählen, statt das Basisframework generisch anzuwenden. Für KRITIS-Betreiber ist das Profil zu kritischen Infrastrukturen ein Baustein, der direkt auf ihre Lage zugeschnitten ist.
Die vierte Konsequenz betrifft das Zusammenspiel mit dem EU AI Act. Das NIST AI RMF unterstützt die Erfüllung rechtlicher Pflichten, ersetzt sie aber nicht. Die rechtliche Bewertung nach dem EU AI Act bleibt eine eigene Aufgabe, für die das Framework eine methodische Grundlage liefert.
Erste Kernaussage: Das NIST AI RMF strukturiert KI-Risikomanagement über vier Funktionen, Govern, Map, Measure und Manage, und wird durch Profile für generative KI, agentische Systeme und seit April 2026 für kritische Infrastrukturen ergänzt. Es ist freiwillig, aber als gemeinsame Sprache zwischen Gesetz und Praxis breit anschlussfähig. Handlungsempfehlung: Das Framework als operative Methode verstehen, nicht als Compliance-Formalität.
Zweite Kernaussage: Das NIST AI RMF, ISO 42001 und der EU AI Act ergänzen sich auf verschiedenen Ebenen. Das RMF liefert die Risikomethode, ISO 42001 das Managementsystem, der EU AI Act die rechtliche Pflicht. Handlungsempfehlung: Die drei Rahmenwerke sauber aufeinander abbilden und die Crosswalks nutzen, statt Doppelstrukturen aufzubauen.
Dritte Kernaussage: In der SAP-Landschaft werden die NIST-Funktionen nicht von einem einzelnen Werkzeug umgesetzt. Das Inventar liegt bei der Agenten-Verwaltung, die kontrollierte Freigabe und der Audit Trail bei der Change-Governance. Handlungsempfehlung: Das KI-Risikomanagement an die bestehende Change- und Release-Governance andocken und mit einem vollständigen KI-Inventar beginnen.
NIST. "AI Risk Management Framework". nist.gov/itl/ai-risk-management-framework. Abgerufen Juni 2026. NIST. "NIST AI 600-1, Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile". Juli 2024, DOI 10.6028/NIST.AI.600-1. NIST. "Concept Note: AI RMF Profile on Trustworthy AI in Critical Infrastructure". 7. April 2026. NIST. "NIST AI 100-5, Agentic AI Profile". 2026. NIST. "NIST IR 8596, Cyber AI Profile (Preliminary Draft)". Dezember 2025. ISO/IEC. "ISO/IEC 42001:2023, Information technology, Artificial intelligence, Management system". Europäische Kommission. "Verordnung über künstliche Intelligenz (EU AI Act)". digital-strategy.ec.europa.eu. Abgerufen Juni 2026.
"ISO 42001 und der EU AI Act im SAP-Kontext", "KI Governance: Einführung und Grundlagen", "MCP Server Governance für SAP: Whitelist, Sandbox und Audit", "Agentic AI im SAP-Change-Management: Pipeline-Architektur und die Governance-Lücke", "SAP Sapphire 2026: Autonomous Enterprise, AI Agent Hub und die offenen Fragen der Governance-Schicht".
Thomas A. Anderson ist Research Contributor des Change Orchestration Institute mit Schwerpunkt auf KI-Architektur, Governance-Frameworks und der Integration autonomer Systeme in regulierte Unternehmenslandschaften. Seine Beiträge verbinden technische Architekturfragen mit den Anforderungen, die Risikoframeworks und Regulatorik an den produktiven Betrieb stellen.
*Das Change Orchestration Institute ist eine unabhängige Wissensressource für SAP ALM, Change Orchestration und KI-Governance. Initiator und Research-Partner: Solutive AG, solutive.ag/kontakt.*