76 % prüfen noch manuell: Dabei könnte KI die DORA-Compliance revolutionieren …

Schwerpunkt: Risikomanagement

Der Digital Operational Resilience Act (DORA) bringt Finanzunternehmen ab dem 17. Januar 2025 einige neue verpflichtende Regelungen. Wer sich nicht daran hält, muss nicht nur Risiken für die Unternehmenssicherheit befürchten, sondern auch mit teils hohen Strafen rechnen. Neue technologische Lösungen mit KI helfen dabei, DORA rechtssicher umzusetzen und die eigene Sicherheit zu schützen.

von Sascha Beck, GFT

DORA ist eine EU-weite Regulierung für den Finanzsektor seitens der Europäischen Union. Darin geht es um die digitale operationale Resilienz der Finanzinstitute. Weitere Themen sind Cybersecurity sowie andere Risiken aus den Bereichen Informations- und Kommunikationstechnologie (IKT). Dazu gehören etwa Ausfälle kritischer Systeme oder Datenverluste. Da bisher viele Länder eigene Ansätze hatten, um mit solchen Risiken umzugehen, fehlten vielerorts der Überblick und die Vergleichbarkeit. Mit DORA gibt es nun einen EU-weit einheitlichen Ansatz.

DORA soll vereinfachen, Risiken einzuschätzen und proaktiv zu mindern, um so die digitale Resilienz des Finanzsektors zu stärken.”

Neben Compliance sind deshalb auch die Bedeutsamkeit neuer Technologien sowie deren Auswirkungen auf den Finanzsektor wichtige DORA-Themen. Klar wird: Die neuen Regulierungen sind wichtig, aber auch umfangreich und daher besonders unter Druck nicht für alle Betroffenen leicht umzusetzen.

Aktuelle DORA-Herausforderungen

Die Deadline für die inhaltliche und zeitliche Umsetzung von DORA ist der 17. Januar 2025. Um Rechtskonformität sicherzustellen, gilt es mehrere Aspekte zu beachten. Dazu gehört zunächst das Risikomanagement. Hierbei sind sowohl IKT-Themen als auch Drittparteien, mit denen die Finanzinstitute zusammenarbeiten, hinsichtlich potenzieller Risiken zu prüfen. Die Finanzunternehmen sind weiterhin verpflichtet, sich untereinander auszutauschen, um gemeinsam widerstandsfähiger zu werden.

Die genutzten Systeme sind auf ihre Belastbarkeit zu prüfen. Sicherheitsvorfälle müssen reportet und Audits durchgeführt werden”

So soll sichergestellt werden, dass die Institute die DORA-Regelungen ab dem 17. Januar 2025 einhalten. Zusätzlich ist es Pflicht, einen DORA-Verantwortlichen zu ernennen, der für das Thema digitale operationale Resilienz zuständig ist.

Damit ist es jedoch noch nicht getan. Die Unternehmen müssen auch eine Vielzahl an Dokumenten auf deren DORA-Konformität prüfen. Darunter fallen nicht nur interne Unterlagen wie Berichte zur IT-Compliance oder Sicherheits- und Notfallpläne. Auch externe Dateien wie Verträge mit Drittanbietern oder Vereinbarungen über Serviceleistungen sind betroffen. Diese verschiedenen Dokumente haben oft nicht viel gemein, weder in ihrer Formulierung noch bei der Formatierung. CIOs und CTOs sind dabei oft selbst nicht sicher, ob die Dokumente bereits DORA-konform sind und wenn nicht, was konkret geändert werden muss. Um zu erkennen, wo am meisten Arbeit nötig ist, braucht das Management jedoch dringend Klarheit darüber, wo die bereits erfüllte BAIT-Compliance mit den DORA-Richtlinien übereinstimmt und wo nicht. Ein weiterer Faktor sind unternehmensinterne Standards, die die Dokumente ggf. zusätzlich erfüllen müssen.

Viele Gründe also, weshalb die Compliance-Prüfung einige Zeit in Anspruch nimmt und damit die Kosten in die Höhe treibt.

76 % der Compliance-Verantwortlichen führen Prüfungen laut dem State of Compliance Survey Report von Metricstream händisch durch.”

Daher ist es nicht verwunderlich, dass laut Bloomberg Professional Services die Hälfte der Unternehmen bis zu zehn Prozent ihres Umsatzes für Compliance-Themen ausgeben. Aufgrund der nahenden DORA-Deadline vom 17. Januar 2025 und begrenzter finanzieller Mittel ist es für die Finanzinstitute wichtig, hier effizienter zu werden.

Effiziente Dokumentenprüfung durch KI

Eine mögliche Lösung ist der Einsatz künstlicher Intelligenz. Large Language Models (LLM) können natürliche Sprache, zum Beispiel aus den DORA-Regelungen, verstehen und selbst generieren. Kombiniert mit KI helfen LLM bei der Automatisierung der Dokumentenprüfung. Dabei untersuchen sie, ob die Dokumente DORA-compliant sind – schneller als ein Mensch und weitgehend ohne Fehler. Basis für den KI-Einsatz sind zuvor abgestimmte Musterantworten. Diese vergleicht die KI mit den DORA-Anforderungen und zeigt unzureichende Passagen an, Änderungsvorschläge inklusive.

Um alle relevanten Anforderungen zu erfüllen, sind für Finanzinstitute oft Tools besonders geeignet, die es ihnen ermöglichen, ihre eigenen internen Regelungen zu integrieren. Der Grund: Einige Unternehmen treffen mit Providern Vereinbarungen, die über die DORA-Anforderungen hinausgehen. Neben den gesetzlichen Vorgaben kann die KI diese weiteren Regeln dann zusätzlich einbeziehen. Die Dokumentenprüfung wird dank KI effizienter, da die Tools wesentlich schneller sind und direkt Vorschläge zur rechtssicheren Anpassung machen. Dadurch entfallen auch Kosten für eine externe Beratung.

Die Basis für smarte Compliance schaffen

Um vom Einsatz künstlicher Intelligenz allgemein sowie besonders im DORA-Kontext zu profitieren, sind einige Bedingungen zu erfüllen. Die zugrundeliegenden Daten müssen zunächst hochqualitativ und zugänglich sein. Das betrifft insbesondere die genannten Musterlösungen. Diese müssen vollständig und aktuell sein. Die KI-Tools sollten weiterhin in die IT-Infrastruktur des Unternehmens integrierbar sein und Anpassungen an spezielle Bedürfnisse zulassen.

Ein modulares Tool erweist sich als besonders vorteilhaft, da es sich an verschiedene Gegebenheiten und Entwicklungen anpassen lässt und mit Dokumentenspeichern verbunden werden kann.”

Um potenzielle Änderungen der DORA-Anforderungen unkompliziert und schnell umzusetzen, kann es außerdem helfen, wenn sich die Lösung direkt intern skalieren lässt.

Da KI-Tools auf sensible (Kunden-)Daten, insbesondere bei der Prüfung von Unterlagen mit Externen, zugreifen, ist das Thema Datenschutz weiterhin essenziell. Externe Partner müssen ihr Einverständnis zur Verarbeitung ihrer Daten mit KI geben. Zudem haben die Lösungen strenge Sicherheitsrichtlinien zu erfüllen, um den Schutz der sensiblen Daten zu gewährleisten. Sollten diesbezüglich intern oder extern Sorgen aufkommen, ist es wichtig, diese aufzunehmen und mit ausführlicher Information auszuräumen.

KI als Schlüssel zur effizienten DORA-Compliance

DORA in der verbleibenden Zeit bis zum 17. Januar 2025 rechtssicher umzusetzen, ist eine große Herausforderung. Ein möglicher Ansatz ist es, mit Hilfe künstlicher Intelligenz die Dokumentenprüfung zu automatisieren. Damit entlastet die Technologie Finanzinstitute und führt sie auf den Weg effizienter Compliance. Denn Unternehmen profitieren nicht nur von Zeit- und Kostenersparnissen, sondern sind auch stets rechtlich abgesichert. Das kann aber nur gelingen, wenn Verantwortliche mögliche Stolpersteine für den KI-Einsatz aus dem Weg räumen und ihre Strategie kontinuierlich an mögliche Veränderungen anpassen. Sorgfalt und Skalierbarkeit sind wichtige Faktoren, damit die Finanzinstitute sich KI im DORA-Kontext zunutze machen können.Sascha Beck, Managing Director GFT/dk“