DORA - und Regulatorik, KI und Compliance

Schwerpunkt: Datenschutz & Datensicherheit

Philippe Weyand befasst sich mit DORA. — Philippe Weyand, Produktmanager, Athereon GRC

Einerseits steigende regulatorische Anforderungen an die Inhalte von Master Service Agreements (Rahmenverträge), Potential durchkünstliche Intelligenz im Drittparteienmanagement andererseits – wie können Banken und Finanzinstitute Compliance sicherstellen?

von Philippe Weyand, Produktmanager, Athereon GRC

Mit dem Digital Operational Resilience Act (DORA) unterliegen Organisationen der Finanz- und Versicherungswirtschaft zukünftig neuer Regulatorik, die tief in ihre Vertragsgestaltung und damit ihr Drittparteienmanagement eingreift.

Von Best-Practices zu verbindlicher Regulierung

Vorgaben zu informationssicherheitsrelevanten Vertragsinhalten sind nicht grundsätzlich neu: Auch bereits seit Jahren etablierte Normen und Standards wie beispielsweise die ISO 27001/ISO 27002 fordern zertifizierte Organisationen dazu auf, Kriterien für die Auswahl von Lieferanten, Auditrechte oder sichere Exit-Strategien festzulegen. Die Ergebnisse dieser Überlegungen finden sich meist in internen Policies wie einer Lieferantenrichtlinie wieder, die im Rahmen von Zertifizierungsaudits auf ihre Normkonformität und Operationalisierung überprüft werden.

Inhaltlich bleiben klassische Normen hinsichtlich der konkreten Vertragsbestandteile aber eher vage.

Die ISO-Normen schlagen zwar „vernünftige“ Vertragsbestandteile vor, doch wie umfassend Organisationen diese tatsächlich implementieren, hängt oft von deren individuellen Risikobereitschaft ab.”

Diese Gestaltungsfreiheit genießen Organisationen, die der neuen DORA-Regulatorik unterliegen, nicht. Die EU schreibt nun klar vor, welche Vertragsbestandteile zwingend enthalten sein müssen: unter anderem eindeutige Verantwortlichkeiten, umfassende Audit- und Reportingrechte, Informationspflichten bei Sicherheitsvorfällen sowie Vorgaben zum Business Continuity Management.

Besonders relevant: Organisationen müssen nicht nur ihre direkten Dienstleister (third parties) einbeziehen, sondern auch deren Subunternehmer (fourth parties). Während bisher allgemeine Klauseln zur Weitergabe von Pflichten an Subunternehmer häufig ausreichten, verlangt DORA ein vollständiges Bild der gesamten Lieferkette, das jährlich im Informationsregister der zuständigen Aufsichtsbehörde offengelegt werden muss.

Operative Herausforderungen

Insbesondere für große Organisationen mit komplexen Lieferketten bedeutet das einen enormen Aufwand. Hunderte Verträge mit direkten Zulieferern und tausende Subunternehmerbeziehungen müssen nun systematisch erfasst, katalogisiert und bewertet werden; dies betrifft nicht nur neue Vereinbarungen, sondern auch längst bestehende Geschäftsbeziehungen, die lange vor Inkrafttreten von DORA geschlossen wurden und deren Konformität nun überprüft werden muss.

Während bisher Rahmenverträge (sog. Master Service Agreements) in aller Regel primär kommerzielle Details der Zusammenarbeit regelten und informationssicherheitsrelevante Klauseln häufig eine eher floskelhafte Nebenrolle spielten, müssen die Vereinbarungen nun konkrete und rechtssichere Formulierungen enthalten, die die DORA-Anforderungen erfüllen. Über diese inhaltliche Prüfung hinaus erfordert DORA-Compliance auch, sämtliche einschlägigen Vereinbarungen – teils äußerst detailliert – im Informationsregister aufzulisten.

Neben der inhaltlichen Analyse stehen Organisationen somit auch vor der Herausforderung, einen Überblick über ihre Vertragslandschaft zu schaffen und aufrechtzuerhalten.”

Künstliche Intelligenz als Hebel

Autor Philippe Weyand, Athereon GRC

Philippe Weyand ist als Produktmanager für die Konzeption und Weiterentwicklung der Athereon GRC Plattform (Webseite). Er zeichnet für die Produktdokumentation sowie den Kundenservice verantwortlich. Vor seiner Tätigkeit bei Athereon GRC war der studierte Wirtschaftsingenieur bei Softwareunternehmen tätig, die auf die Entwicklung von Lösungen für Compliancemanagement spezialisiert waren.

Aufgrund der schieren Menge an – häufig historisch gewachsenen und unter ganz anderen Gesichtspunkten verhandelten – Vertragsverhältnissen kann künstliche Intelligenz, insbesondere auf NLP (Natural Language Processing), bzw. LLMs (Large Language Models) basierende KI, eine große Unterstützung bei der Bewältigung der anstehenden Aufgaben darstellen: Vertragstexte können in kurzer Zeit automatisiert auf DORA-Konformität untersucht werden, ungünstige Vereinbarungen können identifiziert werden und große Mengen von Vertragswerken können schnell katalogisiert und aufbereitet werden.

Da DORA in der Verordnung an sich und den sogenannten Regulatory Technical Standards eindeutig formuliert ist, erzielen sowohl allgemeine als auch auf juristische Texte spezialisierte KI-Modelle hier besonders verlässliche Ergebnisse – deutlich präziser, als wenn nur allgemein auf informationssicherheitsrelevante Inhalte geprüft wird.

Compliance als Wettbewerbsvorteil

Die letzte Verantwortung, DORA-konforme Vertragsverhältnisse sicherzustellen, liegt selbstverständlich bei den Verantwortlichen der Organisation: Nicht zuletzt da die Regulatorik klar festlegt, dass die Organisation die Risiken, die aus ihrer Zuliefererlandschaft entstehen, vollumfänglich tragen muss. Angesichts der Menge an Verträgen und der kurzen Umsetzungsfristen – nach dem Informationsregister ist schließlich vor dem Informationsregister – stellt KI jedoch eine Schlüsseltechnologie dar, um Ressourcen effizienter einzusetzen und die Anforderungen zuverlässig zu erfüllen.

Wer die Technologie jetzt strategisch einbindet, sichert nicht nur DORA-Konformität, sondern gewinnt auch Transparenz über Risiken und Abhängigkeiten in der Lieferkette – und macht Compliance zum Wettbewerbsvorteil.Philippe Weyand, Athereon GRC/dk