motortion - stock.adobe.com

Smarte Compliance: wie Unternehmen mit KI DORA einhalten

Der Digital Operational Resilience Act (DORA) tritt für Finanzinstitute im Januar 2025 verbindlich in Kraft. Um den Zeitplan einzuhalten, braucht es neue Lösungen wie KI.

Mit dem Digital Operational Resilience Act, kurz DORA, gibt es seitens der Europäischen Union nun eine Regulierung für den gesamten EU-Finanzsektor zu Cybersicherheit, weiteren informations- und kommunikationstechnischen Risiken (IKT) sowie digitaler operationaler Resilienz.

Zu den IKT-Risiken zählen beispielsweise Datenlecks oder Systemausfälle. Diese können intern oder extern, etwa durch Cyberangriffe, verursacht sein. Die DORA-Verordnung (PDF) bieten einen EU-weit harmonisierten Ansatz für das Management von (Cyber-)Risiken und sollen dabei unterstützen, Gefahren proaktiv zu mindern und die digitale Widerstandsfähigkeit des EU-Finanzsektors zu verbessern.

Damit geht es bei DORA nicht nur um Compliance. Die Regelungen thematisieren auch die Bedeutsamkeit digitaler Technologien für den Finanzsektor und die damit einhergehenden Herausforderungen hinsichtlich der digitalen Resilienz in der EU. Grund genug, sich über die gesetzlichen Anforderungen hinaus mit DORA auseinanderzusetzen. Dabei gilt es jedoch zunächst, einige Pain Points zu adressieren.

Was Finanzinstitute rund um DORA bewegt

Finanzinstitute müssen DORA inhaltlich und zeitlich, genau bis zum 17. Januar 2025, erfüllen. Zu den wichtigsten Compliance-Säulen zählen dabei neben dem Risikomanagement von IKT-Themen sowie für Drittparteien auch die Beteiligung am Informationsaustausch, um die kollektive Widerstandsfähigkeit zu stärken. Ebenfalls relevant sind Belastbarkeitstests, Incident Reporting und Audits, um die Einhaltung der DORA-Bestimmungen sicherzustellen. Im Bereich der Governance gilt es zudem, eine verantwortliche Person zu ernennen und einen Rahmen zu schaffen, um die digitale operationale Resilienz zu verwalten.

Zusätzlich gibt es eine große Menge an Dokumenten und Unterlagen, die auf die EU-übergreifenden Regelungen hin geprüft werden müssen. Dazu zählen interne Dateien wie IT-Sicherheitsrichtlinien, Risikomanagement- und Notfallpläne oder auch IT-Compliance-Berichte sowie auf externer Seite zum Beispiel Vertragsunterlagen mit unterschiedlichen Providern, Sicherheitszertifikate oder auch Service-Level-Agreements (SLA).

Die Herausforderung: Jedes dieser Dokumente ist anders. Es gibt nur wenige Standards, alle Dokumente sind individuell formuliert und unterschiedlich formatiert. Zudem herrscht oft eine Unklarheit beim verantwortlichen Management, besonders bei CIOs und CTOs, ob die Dokumente die DORA-Anforderungen erfüllen. Ist das nicht der Fall, ist zudem meist fraglich, welche Passagen in Verträgen, Dokumenten und Policies genau überarbeitet werden müssen. Die Manager brauchen jedoch dringend Klarheit darüber, inwieweit sie die Regelungen aufgrund deren BAIT-Compliance schon erfüllen und wo die größten Handlungsbedarfe bestehen. Besonders komplex wird es, wenn zu den DORA-Anforderungen weitere unternehmensinterne Regelungen kommen, die es zusätzlich zu beachten gilt.

Die Auswertung der meist komplexen Dokumente dauert dabei lange und kostet die Unternehmen viel Geld: Rund drei Viertel der Compliance-Manager prüfen die Einhaltung rechtlicher Rahmenbedingungen laut State of Compliance Survey Report von Metricstream manuell. 50 Prozent der Organisationen geben Bloomberg Professional Services zufolge außerdem sechs bis zehn Prozent ihres Umsatzes für compliance-bezogene Themen wie dieses aus. Ausreichend Zeit und beliebige finanzielle Ressourcen haben die Finanzunternehmen mit der anstehenden Deadline aber nicht und sind daher bestrebt, eine effizientere Lösung zu finden.

Die DORA-Deadline mit KI einhalten

Künstliche Intelligenz (KI) kann hier unterstützen: Große Sprachmodelle (Large Language Model, LLM) verstehen und generieren natürliche Sprache. In Kombination mit künstlicher Intelligenz unterstützen solche Lösungen dabei, die Dokumentenprüfung zu automatisieren, indem sie die Unterlagen auf Compliance hinsichtlich der DORA-Anforderungen prüfen. Mit KI gelingt das nicht nur schneller als Menschen, sondern auch weitgehend fehlerfrei. Auf Basis vorab festgelegter und freigegebener Musterantworten gleicht die KI die Dokumente mit den DORA-Richtlinien ab und zeigt an, welche Passagen noch nicht damit konform gehen und wie sie anzupassen sind.

Idealerweise lassen sich ebenfalls unternehmensspezifische Anforderungen integrieren, die die KI zusätzlich bei der Prüfung berücksichtigt. Das ist sinnvoll, da manche Finanzunternehmen mit bestimmten Drittanbietern Vereinbarungen getroffen haben, die über die DORA-Anforderungen hinausgehen. Durch den Einsatz von KI werden die Prozesse zum einen effizienter, da Verantwortliche die relevanten Dokumente in deutlich kürzerer Zeit prüfen können und richtlinienkonforme Änderungsvorschläge erhalten. Zum anderen sparen die Unternehmen Kosten, da eine sichere Prüfung ohne externe Beratung möglich ist.

KI-Herausforderungen lösen 

Damit diese Vorteile auch zum Tragen kommen, gilt es jedoch einige Aspekte zu berücksichtigen. Einer der wichtigsten Punkte beim Einsatz künstlicher Intelligenz ist stets die Datenqualität und -verfügbarkeit. Besonders die Musterlösungen der KI müssen immer vollständig und auf dem aktuellen Stand sein. Zudem sollten sich die Lösungen in die bestehende IT-Infrastruktur einbinden und an spezielle Anforderungen anpassen lassen.

Sascha Beck, GFT

„Eine sorgfältige Umsetzung und kontinuierliche Anpassbarkeit sind entscheidend, um die Vorteile künstlicher Intelligenz bei der Einhaltung der DORA-Verordnung auszuschöpfen.“

Sascha Beck, GFT

Besonders geeignet ist hierbei ein modulares System, das je nach Anforderungen mit Dokumentenarchiven oder Unternehmensressourcen verknüpft werden kann. Bei potenziellen Änderungen in den zu beachtenden Vorgaben ist es weiterhin sinnvoll, wenn Verantwortliche diese Anpassungen direkt selbst einspielen können, und die Lösung so skalierbar ist.   
Besonders bei Verträgen mit Dritten kommt der Datensicherheit eine besondere Bedeutung zu, da KI-Systeme Zugang zu sensiblen Unternehmens- und Kundendaten benötigen. Unternehmen müssen sicherstellen, dass die Kunden mit dem KI-Einsatz einverstanden sind und die KI-Lösungen strenge Sicherheitsstandards einhalten sowie den Schutz vertraulicher Informationen gewährleisten. Potenzielle Zweifel bei Kunden oder auch Mitarbeitenden gilt es ernst zu nehmen und mit Aufklärungsarbeit zu lösen.

Mit KI zur DORA-Compliance: effizient, präzise und rechtssicher

Das Inkrafttreten von DORA stellt Finanzinstitute vor die anspruchsvolle Aufgabe, die Einhaltung der umfangreichen Regularien in kurzer Zeit sicherzustellen. Künstliche Intelligenz bietet hierbei eine Lösung, indem sie dabei unterstützt, die Dokumentenprüfung zu automatisieren und die Compliance auf smarte Art zu gewährleisten. Dokumente lassen sich damit effizienter und präziser analysieren, sodass Unternehmen nicht nur von Zeit- und Kostenvorteilen, sondern auch von einer erhöhten Rechtssicherheit profitieren. Wichtig ist dabei, mögliche Herausforderungen von Beginn an mitzudenken. Eine sorgfältige Umsetzung und kontinuierliche Anpassbarkeit sind entscheidend, um die Vorteile künstlicher Intelligenz bei der Einhaltung der DORA-Verordnung auszuschöpfen.

Über den Autor:
Sascha Beck verantwortet als Managing Director das Geschäft mit Banken und Versicherungen für GFT in Deutschland und Österreich. Er war zuvor in leitenden Funktionen bei Atruvia, Wüstenrot & Württembergische sowie der apobank tätig und befasst sich seit vielen Jahren mit Vertrieb, Strategie und IT. Nebenberuflich ist er als Dozent an der Frankfurt School of Finance and Management und der IHK tätig, unter anderem für Bank-BWL und Firmenkundenmanagement. 

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Künstliche Intelligenz (KI) und Machine Learning (ML)