Die EU-Verordnung DORA fordert von Betrieben des Finanzsektors die Berücksichtigung verschiedenster Aspekte, wenn es um die vertraglichen Vereinbarungen mit IKT-Drittanbietern geht. Dazu zählen unter anderem die aufsichtsrechtlichen Verpflichtungen der Finanzunternehmen sowie die verbindliche Zusammenarbeit der Dienstleister mit den zuständigen Behörden. Zudem sieht die Regulatorik in Artikel 8 der „Draft RTS to specify the policy on ICT services supporting critical or important functions” zusätzliche Mindestvertragsinhalte vor: Beispielsweise Klauseln zu Sicherheitsanforderungen, zu Incident Reportings, zur Verarbeitung und Speicherung von Daten, zur Nachweisbarkeit robuster Notfall- und Wiederherstellungspläne sowie zu Beendigungs- und Übergangsregelungen.
Für die Finanzunternehmen bedeutet das, ihren gesamten Vertragsbestand mit IKT-Drittleistern auf DORA-Compliance zu überprüfen und unzureichende Unterlagen durch den Abschluss neuer Ergänzungsvereinbarungen anzupassen.
Hoher Arbeitsaufwand und knappe Ressourcen
Da die Ressourcen im Betrieb oft eng und bereits gebunden sind, stehen Finanzunternehmen vor der Herausforderung, diese Tätigkeiten rechtzeitig bis zum Ende der Umsetzungsfrist am 17. Januar 2025 zu erledigen.
Die Vertragsbestandsanalyse betrifft allerdings nicht nur „wesentliche Auslagerungen“, wie bisher aus den EBA-Leitlinien zum Outsourcing bekannt, sondern alle IT-Services, die ein Finanzunternehmen bezieht. In der Praxis kann dies durchaus mehrere Hundert Verträge bedeuten, die es akribisch zu prüfen gilt. Zusätzlich kommt es in vielen Fällen auf Details bei der Formulierung einzelner Klauseln an, was den Kontroll- und Überarbeitungsprozess sehr zeitaufwendig gestaltet.
Beispielsweise sieht DORA eine realistische, umfassende und professionelle Durchführung von Penetrationstests vor, die alle relevanten Funktionen abdecken. Sicherheitsüberprüfungen auf isolierten Testsystemen sind nicht ausreichend, um den Anforderungen der Verordnung zu genügen. Berücksichtigen die bestehenden Verträge „einfache“, jedoch keine Penetrationstests gegen produktive Systeme, gehören die Vereinbarungen dahingehend angepasst.
Künstliche Intelligenz als Gamechanger
Fabasoft DORA unterstützt an dieser Stelle mit einer KI-assistierten Compliance-Analyse des Vertragsbestands. Die Software identifiziert selbstständig Abweichungen hinsichtlich der DORA-Regulatorik und bereitet die Ergebnisse übersichtlich auf. Die gekennzeichneten und extrahierten Inhalte aus den jeweiligen Vertragsakten ersparen den Usern somit das manuelle Durchsuchen ihrer Unterlagen.
Besteht bei Verträgen Handlungsbedarf, erzeugt das Tool basierend auf der Klauselbibliothek die notwendigen Ergänzungsvereinbarungen automatisiert. Anschließend starten optional die erforderlichen Genehmigungs- und Zeichnungsprozesse inklusive integrierter digitaler Signatur. Die externen Partner sind dabei direkt in die Workflows eingebunden, um Medienbrüche zu vermeiden.
Die KI-gestützte Vorgehensweise macht das manuelle Durchsuchen und Abgleichen von Dokumenten überflüssig und ermöglicht eine schnelle Überprüfung des gesamten Archivs – selbst bei umfangreichen Vertragswerken. Neben einer erheblichen Reduktion des Arbeitsaufwands sorgt die Software damit auch für die Minimierung von Risiken sowie für die verlässliche Einhaltung der Compliance-Vorgaben.