Kyndryl „Policy as Code“: Wie Unternehmen KI-Workloads jetzt automatisiert an Regulierung anpassen

Einordnung des Releases

Kyndryl hat am 13. Februar 2026 eine Policy-as-Code-Funktion vorgestellt, die organisatorische Regeln, regulatorische Vorgaben und operative Kontrollen in maschinenlesbare Policies übersetzt und direkt zur Steuerung von KI-Agenten und Workflows nutzt. Die Funktion ist in das Kyndryl Agentic AI Framework integriert und zielt explizit auf komplexe, stark regulierte Umgebungen. Unternehmen sollen damit agentische KI skalieren können, ohne Compliance-Risiken und manuell gepflegte Regelwerke in jedem System. ([cio.com](https://www.cio.com/article/4132284/kyndryl-offers-policy-as-code-to-tackle-regulatory-snares.html?utm_source=openai))

Kyndryl verweist darauf, dass rund ein Drittel der Kunden Compliance-Bedenken als Hauptbremse für die Skalierung neuer Technologieinvestitionen – insbesondere im KI-Umfeld – nennen. Die neue Lösung adressiert genau diese Hürde. ([itpro.com](https://www.itpro.com/technology/artificial-intelligence/kyndryl-wants-to-help-enterprises-keep-ai-agents-in-line-and-avoid-costly-compliance-blunders?utm_source=openai))

Was ist neu an Kyndryls Policy-as-Code-Ansatz?

Von Textdokumenten zu maschinenlesbaren Policies

In vielen Unternehmen liegen Richtlinien und regulatorische Anforderungen verteilt in Policies, Betriebsanweisungen, Kontrollkatalogen oder Vertragswerken vor. Der Transfer in operative Systeme erfolgt häufig:

• manuell (z.B. Konfiguration einzelner Tools),

• projektbezogen (je Anwendung anders umgesetzt),

• schlecht versioniert und kaum testbar.

Kyndryls Ansatz ist, diese Regeln einmal zentral in einem formalen, deklarativen Policy-Modell abzubilden, das von KI-Agenten, Automatisierungsplattformen und Cloud-Workflows direkt gelesen und erzwungen wird. Organisationen definieren z.B.:

• Datenlokation und -zugriffsregeln (z.B. EU-only, kundenspezifische Mandanten-Grenzen),

• Prozessgrenzen für KI-Agenten (welche Aktionen in welchem Kontext erlaubt sind),

• Nachweis- und Protokollierungspflichten (Audit-Trails, Genehmigungspfad, Vier-Augen-Prinzip).

Diese Regeln werden als Code ausgedrückt und durch entsprechende Policy-Engines in Laufzeitentscheidungen für die KI-Workflows übersetzt. ([itpro.com](https://www.itpro.com/technology/artificial-intelligence/kyndryl-wants-to-help-enterprises-keep-ai-agents-in-line-and-avoid-costly-compliance-blunders?utm_source=openai))

Spezifisch für agentische KI-Workflows

Neu ist insbesondere der Fokus auf agentische KI: Statt nur Zugriffsrechte in klassischen Anwendungen zu steuern, definiert Policy as Code hier die operativen Grenzen autonom agierender KI-Agenten:

• Ein Agent darf bestimmte Datendomänen nicht lesen oder nur pseudonymisierte Daten verarbeiten.

• Bestimmte Aktionen (z.B. Zahlungen auslösen, Kundenstammdaten ändern) sind nur unter zusätzlichen Kontrollbedingungen erlaubt.

• Agentische Entscheidungen müssen erklärbar und nachprüfbar sein; dazu schreibt die Policy vor, welche Begründungen und Protokolle zu speichern sind.

Damit wird Governance nicht nachgelagert kontrolliert, sondern in die Ausführungslogik der Agenten eingebaut.

Warum das für regulierte Branchen relevant ist

Drei strukturelle Probleme, die adressiert werden

1. Fragmentierte Compliance-Umsetzung

Ohne Policy as Code übersetzen Fachbereiche, DevOps-Teams und Dienstleister dieselben regulatorischen Anforderungen jeweils neu in ihre Systeme. Das führt zu Abweichungen, Schatten-IT und nur schwer prüfbaren Abhängigkeiten.

1. Langsame Anpassung an neue Vorgaben

Neue Regeln – etwa aus dem EU AI Act, der NIS2-Richtlinie, FINRA-Leitlinien oder sektoralen Aufsichten – erfordern heute projektweise Anpassungen von Konfigurationen, Pipelines und Workflows. Das verlangsamt Rollouts von KI-Anwendungen erheblich.

1. Begrenzte Auditierbarkeit von KI-Agenten

Klassische Controls reichen für autonome, dynamische Agenten nur bedingt. Auditoren benötigen nachvollziehbare, versionierte Policies und die Möglichkeit, Entscheidungen gegen den damals gültigen Policy-Stand zu rekonstruieren.

Kyndryls Policy-as-Code-Ansatz zielt darauf, diese drei Schwachstellen zu reduzieren, indem:

• Compliance-Logik zentral versioniert und getestet wird,

• Änderungen an Policies automatisiert in Workflows propagiert werden,

• jeder Agenten-Entscheidung eine konkrete, maschinenlesbare Policy-Basis zugeordnet werden kann.

Konkrete Auswirkungen für ausgewählte Branchen

#### Finanzdienstleister

• Use Case: Gen‑AI-Agenten unterstützen Kundenberatung, KYC/Onboarding und Monitoring von Transaktionen.

• Policy as Code sorgt dafür, dass:

- Beratungsvorschläge nur Produkte enthalten, die regulatorisch und kundenspezifisch zulässig sind,

- KYC-Agenten nur auf Datenquellen zugreifen, die für den konkreten Zweck freigegeben sind,

- Flags für verdächtige Aktivitäten automatisiert nach AML-Regeln gesetzt werden.

• Nutzen: Schnellere Einführung neuer KI-Use-Cases, geringeres Risiko von Verstößen gegen Aufsichtsrecht oder interne Vertriebsrichtlinien.

#### Gesundheitswesen

• Use Case: KI-Agenten koordinieren Behandlungswege, Terminplanung und Abrechnungsworkflows.

• Policy as Code steuert u.a.:

- welche Patientendaten für Analysezwecke anonymisiert oder pseudonymisiert werden müssen,

- welche Daten länder- oder einrichtungsübergreifend geteilt werden dürfen,

- wie Einwilligungen und Widerrufe von Patienten zu berücksichtigen sind.

• Nutzen: Sicherere Nutzung von Gesundheitsdaten für KI, leichtere Nachweisführung gegenüber Datenschutzaufsichten.

#### Öffentliche Verwaltung

• Use Case: Agentische KI unterstützt Bearbeitung von Anträgen (Steuern, Fördermittel, Visa, Sozialleistungen).

• Policy as Code stellt sicher, dass:

- Entscheidungen nachvollziehbar den jeweiligen Rechtsgrundlagen zugeordnet sind,

- sensible Anträge nur innerhalb definierter Zuständigkeitsketten bearbeitet werden,

- Delegationen und Ausnahmen formal gesteuert werden.

• Nutzen: Digitale Verwaltungsprozesse bleiben rechtskonform, obwohl KI-Agenten einen Teil der Arbeit automatisieren.

Integration in bestehende Governance- und DevOps-Strukturen

Brücke zwischen Legal, Risk, Compliance und Technik

Ein Kernversprechen der Lösung ist, die Lücke zwischen juristischen Texten und technischer Implementierung zu schließen:

• Rechts- und Compliance-Teams definieren Anforderungen im Policy-Modell, z.B. als Regelkataloge mit Bedingungen, Schwellenwerten und Ausnahmen.

• Architekten und DevOps-Teams binden diese Policies als Code-Bausteine in Pipelines, Agenten-Frameworks und Cloud-Automatisierung ein.

• Betrieb und Security überwachen Policy-Verstöße, führen Simulationen („Was passiert, wenn Regulierung X sich ändert?“) und Tests in nicht-produktiven Umgebungen durch.

Damit wird Governance zu einem kontinuierlichen, technischen Prozess, ähnlich wie CI/CD, statt zu punktuellen Projekten rund um große Regulatorik-Meilensteine.

Interaktion mit bestehenden Kyndryl-Diensten

Kyndryl positioniert Policy as Code als Ergänzung zu bestehenden Plattformen wie Kyndryl Bridge und Agentic AI Framework. Während Bridge vorrangig Transparenz und Steuerung über hybride Infrastrukturen bietet, bringt Policy as Code eine feinere, inhaltliche Governance-Ebene für Workflows und Agenten. ([cio.com](https://www.cio.com/article/4132284/kyndryl-offers-policy-as-code-to-tackle-regulatory-snares.html?utm_source=openai))

Für Kunden, die bereits auf Kyndryl für Resilienz- und Compliance-Services setzen (z.B. im Kontext von NIS2 oder branchenspezifischen Aufsichten), ergibt sich so eine konsistentere Story von Infrastruktur-Governance bis hin zu KI-Workflow-Governance.

Umsetzungsschritte für Unternehmen

1. Policy-Inventur und Priorisierung

• Bestehende Richtlinien, Kontrollkataloge und regulatorische Anforderungen erfassen.

• Policies priorisieren, die direkt KI-Workflows betreffen (Datenzugriff, Kritikalität von Aktionen, Logging/Audit).

2. Übersetzung in ein formales Policy-Modell

• Auswahl eines geeigneten Policy-Formats (z.B. deklarative Sprachen, Domain-spezifische Policy-DSLs).

• Enge Zusammenarbeit zwischen Legal/Compliance, Enterprise Architecture und Data/AI-Teams.

3. Einbettung in Agentic-AI- und Automatisierungspipelines

• Policies als verpflichtende Stufe in CI/CD-Pipelines für KI-Workloads verankern (Policy-Checks vor Deployment).

• Laufzeit-Engines integrieren, die Entscheidungen der Agenten gegen die Policies prüfen und ggf. unterbinden.

4. Testen, Monitoring und Audit

• Simulationsszenarien definieren, um neue oder geänderte Policies zu testen.

• Dashboards für Policy-Verstöße, Ausnahmeanträge und Audit-Trails etablieren.

Strategische Implikationen

Für globale Organisationen ist Kyndryls Policy-as-Code-Funktion mehr als ein weiteres Governance-Tool:

• Sie unterstützt eine skalierbare, revisionssichere Nutzung von agentischer KI in hochregulierten Umgebungen.

• Sie verschiebt Compliance vom reaktiven Kontrollmechanismus hin zu einem eingebetteten Designprinzip in Workflows und Agenten.

• Sie erleichtert es, neue gesetzliche Vorgaben (AI Act, NIS2, branchenspezifische Leitlinien) in technische Steuerungslogik zu überführen, ohne jedes Mal sämtliche Systeme einzeln anzupassen.

Für Entscheider bedeutet das: Wer jetzt in agentische KI investiert, sollte Policy as Code – ob mit Kyndryl oder anderen Lösungen – als zentrale Architekturkomponente einplanen, um Geschwindigkeit, Skalierung und Regeltreue in Einklang zu bringen.

Häufig gestellte Fragen (FAQ)

Was versteht Kyndryl unter „Policy as Code“ für agentische KI?

Kyndryls „Policy as Code“ übersetzt Unternehmensrichtlinien und regulatorische Anforderungen in maschinenlesbare Regeln, die direkt in KI-Workflows und Agenten ausgeführt werden. Statt Richtlinien nur in Textdokumenten zu halten, werden sie als Code versioniert, getestet und zur Laufzeit durchgesetzt.

Wie funktioniert die Policy-as-Code-Funktion im Kyndryl Agentic AI Framework konkret?

Unternehmen modellieren ihre Daten-, Zugriffs- und Prozessregeln in einem formalen, deklarativen Policy-Modell. Policy-Engines werten diese Regeln zur Laufzeit aus und steuern damit, welche Aktionen KI-Agenten ausführen dürfen, welche Daten sie verarbeiten und welche Protokolle für Audit-Zwecke erzeugt werden müssen.

Welche Probleme löst Policy as Code in stark regulierten Branchen?

Policy as Code reduziert fragmentierte Compliance-Umsetzungen, beschleunigt Anpassungen an neue Vorgaben und verbessert die Auditierbarkeit von KI-Agenten. Finanzdienstleister, Gesundheitswesen und Behörden können KI-Workloads dadurch schneller skalieren, ohne regulatorische Anforderungen für Datenschutz, Aufsicht und Nachvollziehbarkeit zu verletzen.

Worin unterscheidet sich Kyndryls Ansatz von klassischer Governance und Access Management?

Klassische Governance konzentriert sich meist auf Zugriffsrechte und manuelle Kontrollen in einzelnen Anwendungen. Kyndryls Policy as Code verlagert Governance in die Ausführungslogik der KI-Agenten selbst und steuert granulare Aktionen, Datenflüsse und Begründungspflichten zentral und automatisiert über alle Workflows hinweg.

Wie fügt sich Kyndryls Policy as Code in bestehende DevOps- und Governance-Strukturen ein?

Die Lösung bindet Policies als Code-Bausteine in CI/CD-Pipelines, Automatisierungsplattformen und das Agentic AI Framework ein. Legal, Risk & Compliance definieren die Regeln, während Architektur- und DevOps-Teams diese in Pipelines integrieren und Betrieb sowie Security Verstöße, Simulationen und Audits überwachen.

Welche Vorteile haben Unternehmen, die Policy as Code frühzeitig für KI-Workloads einführen?

Unternehmen können agentische KI schneller und in größerem Umfang ausrollen, weil Regeltreue, Dokumentation und Audit-Fähigkeit technisch abgesichert sind. Gleichzeitig sinkt das Risiko teurer Compliance-Verstöße, und neue Gesetze wie AI Act oder NIS2 lassen sich schneller in laufende KI-Workflows überführen.

Welche ersten Schritte sollten Unternehmen zur Einführung von Policy as Code nach Kyndryl-Vorbild gehen?

Zuerst sollten sie eine Inventur bestehender Richtlinien und regulatorischer Anforderungen durchführen und jene priorisieren, die direkt KI-Workflows betreffen. Anschließend empfiehlt sich die Übersetzung in ein formales Policy-Modell, die feste Verankerung von Policy-Checks in CI/CD-Pipelines für KI sowie der Aufbau von Test-, Monitoring- und Auditprozessen rund um die Policy-Engines.