DORA bringt für Versicherer neue Pflichten beim Management von IT-Dienstleistern und stellt gleichzeitig die Vertragswelt auf den Prüfstand. KI-basierte Tools versprechen Abhilfe: Sie prüfen automatisch auf Compliance, erkennen Lücken und erstellen passende Ergänzungen. So kann aus Regulierung ein Digitalisierungsschub werden, meint Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH.
Steigende regulatorische sowie auch interne Vorgaben stellen Versicherungsunternehmen regelmäßig vor die Herausforderung, geänderte Compliance-Anforderungen in ihren Verträgen und Prozessen abzubilden. Die Kontrolle und Anpassung der bestehenden Vereinbarungen sowie die Berücksichtigung der Inhalte bei neuen Vertragsabschlüssen erweisen sich dabei als ressourcenintensive Aufgaben. Ein aktuelles Beispiel einer solchen Regulierung ist der Digital Operational Resilience Act (DORA).
Die EU-Verordnung soll, vor allem im Kontext zunehmender Cyberattacken, die Betriebsstabilität des europäischen Finanzsektors stärken und betrifft sämtliche Finanzunternehmen – so auch Versicherer. Eine der Hauptsäulen von DORA ist das IKT-Drittanbietermanagement, welches für die betroffenen Betriebe zu umfassenden Dokumentations- und Berichtspflichten führt. Dazu zählt beispielsweise das Erstellen eines detaillierten Informationsregisters, das sämtliche IKT-Drittdienstleister aufführt, die IT-Services für das Finanzunternehmen bereitstellen. Aber auch für die Verträge mit den Dienstleistern selbst sieht DORA einige Spezifikationen vor.
Umfangreiche Mindestvertragsinhalte nach DORA
DORA schreibt unterschiedliche Mindestvertragsinhalte bei der Auslagerung von IT-Services an Drittdienstleister vor. So müssen IKT-Verträge beispielsweise Sicherheitsanforderungen, Incident Reportings, die Verarbeitung und Speicherung von Daten, Notfall- und Wiederherstellungspläne sowie Übergangsregelungen abdecken. Wesentliche Neuerungen im Vergleich zu bisherigen Bestimmungen sind die Beteiligung der Drittdienstleister an Threat-Led Penetration Tests (TLPTs) sowie die vorgegebenen Kündigungsrechte und Fristen. Dabei unterscheidet die Verordnung zwischen Vorgaben, die für alle IKT-Verträge gelten, und jenen, die IKT-Auslagerungen kritischer oder wichtiger Funktionen betreffen. Diese Vertragsinhalte müssen sowohl in neuen als auch in bereits laufenden Vereinbarungen berücksichtigt sein.
Versicherer sind daher angehalten, sämtliche Auslagerungsverträge auf DORA-Compliance zu prüfen und gegebenenfalls anzupassen. Hierfür bietet sich der Einsatz künstlicher Intelligenz an, um Prozesse zu automatisieren, Fehler zu minimieren und operative Kosten zu senken.
Mit KI zur automatisierten Vertragsprüfung
Mit KI-Prüfkatalogen lassen sich einzelne Verträge oder auch der gesamte Vertragsbestand auf verschiedenste Aspekte hin kontrollieren – beispielsweise auf von Legal definierte K.-o.-Kriterien oder auf bestimmte Klauseln. Die Abweichungen, die die KI identifiziert, bereitet das System übersichtlich auf, wodurch händisches Durchsuchen und Abgleichen von Dokumenten entfällt. Sollte Handlungsbedarf bestehen, erstellt die Software automatisch die benötigten Ergänzungsvereinbarungen auf Basis der Klauselbibliothek und startet optional die definierten Genehmigungs- und Zeichnungsprozesse inklusive integrierter digitaler Signatur. Die externen Partner sind dabei direkt in die Workflows eingebunden, um Medienbrüche zu vermeiden.
DORA ist hierbei nur eines von vielen Beispielen für regulatorische Vorgaben, die sich mit KI automatisiert kontrollieren lassen. Bei einem smarten Tool wie Fabasoft DORA können Anwender auf bereits bewährte Prüfkataloge wie jene für DORA oder NDAs zurückgreifen – aber auch eigene Kataloge für ihre individuellen Compliance-Analysen aufsetzen. Versicherungsunternehmen sind dadurch in der Lage, einerseits interne wie gesetzliche Anforderungen effizienter zu erfüllen und andererseits vorhandene Ressourcen für andere wertschöpfende Tätigkeiten einzusetzen.