DORA bedeutet für Banken, Fintechs und Finanzdienstleister enorm viel Arbeit. Die enthaltenen Compliance-Vorgaben zur Stärkung der Resilienz erfordern in den meisten Fällen die Anpassung interner Governance-Strukturen, Sicherheitsvorgaben und -prozesse. GenAI kann hierbei einen großen Teil lästiger Tätigkeiten übernehmen – vor allem bei dem Durchforsten und Analysieren der Vorgaben und dem Abgleich mit der eigenen Governance.
Der Digital Operational Resilience Act (DORA) verpflichtet Banken, Fintechs und andere Finanzdienstleister dazu, hohe Anforderungen an die Cybersicherheit und die operationelle Resilienz zu erfüllen. Das Gesetz fordert eine umfassende Absicherung, Überwachung und Überprüfung aller wichtige Geschäftsprozesse unterstützenden IT-Systeme und -Verfahren, um die Resilienz der einzelnen Unternehmen und des europäischen Finanzsystems gegen IKT-Störungen und Cyberangriffe zu stärken. Dabei sind durch den Einsatz von Drittdienstleistern entstehende Risiken stets mitzuberücksichtigen.
Bank-Compliance: ein Lesezirkel für Vorschriften
DORA und die dazugehörigen technischen Regulierungs- und Durchführungsstandards (RTS u. ITS) bedeuten, dass Experten aus großen Mengen komplexer Texte die einzelnen Anforderungen an die Cyber- und Informationssicherheit herauslesen, analysieren und mit den bestehenden internen Regelwerken und Prozessen abgleichen sowie Maßnahmen zur Umsetzung noch nicht abgedeckter Vorschrift planen müssen.
DORA enthält bereits ohne die dazugehörigen Rechtsakte mehr als 300 spezifische Einzelanforderungen, von denen fast zwei Drittel für die Cybersicherheit und operationelle Resilienz relevant sind. Diese Arbeit ist sehr zeitaufwändig und erfordert ein sehr hohes Maß an Expertise. Der Abgleich der externen Vorgaben mit dem internen Regelwerk und die Feststellung des Erfüllungsgrads müssen von Experten des Compliance-Teams in manueller Kleinarbeit vorgenommen werden.
Besonders anspruchsvoll wird es, wenn Compliance-Teams sowohl nationale als auch internationale Regelwerke zu beachten haben. Global agierende Finanzunternehmen müssen in diesem Fall neben dem DORA länderspezifische Vorgaben zu Cybersicherheit und Resilienz in ihren Niederlassungen weltweit berücksichtigen – was oft bedeutet, dass Regelungen in verschiedenen Landessprachen analysiert und interpretiert werden müssen. Dies gilt auch für in nationales Recht umzusetzende EU-Richtlinien, wozu die einzelnen Mitgliedstaaten verpflichtet sind – was dann häufig nur in der jeweiligen Landessprache erfolgt. Auch hier kann die generative Künstliche Intelligenz (GenAI) helfen.
GenAI als Effizienz-Booster für die Compliance im Finanzsektor
Mit Hilfe von GenAI können viele Schritte bei der Herstellung der Einhaltung relevanter regulatorischer und aufsichtsrechtlicher Vorgaben (Compliance) vollständig oder teilweise automatisiert werden. So können große Mengen an Texten in unterschiedlichen Sprachen in kürzester Zeit automatisiert auf Relevanz geprüft und durchsucht und daraus cyber- und informationssicherheitsrelevante Informationen extrahiert werden.
Effizienzsteigerung durch automatisierten Soll-Ist-Abgleich
Eine der zeitintensivsten Aufgaben für Compliance-Teams ist der Soll-Ist-Abgleich (Gap-Analyse), bei dem festgestellt wird, inwieweit die internen Richtlinien bereits den neuen oder geänderten regulatorischen Vorgaben entsprechen. Dieser manuelle Abgleich kann für komplexe Vorgaben wie den DORA Wochen dauern. GenAI ermöglicht hier eine enorme Zeitersparnis, indem sie automatisiert ein Mapping der externen Vorgaben mit den internen Regelwerken durchführt, den Abdeckungsgrad bewertet und Handlungsempfehlungen für die Berücksichtigung fehlender Vorgaben gibt. Dieser Prozessschritt wird mit Hilfe von GenAI in Minuten oder Stunden abgeschlossen gegenüber einer manuellen Bearbeitung, die oftmals Top-Experten für Wochen bindet.
Es verbleibt die manuelle Aufgabe der Verifizierung und Qualitätssicherung der von der KI generierten Ergebnisse. Durch diese Effizienzsteigerung um bis zu 90 Prozent erhält das Management schnell Transparenz über den Compliance-Status in Bezug auf eine externe Vorgabe und den daraus resultierenden Handlungsbedarf und kann gezielt Entscheidungen treffen und Maßnahmen in die Wege leiten.
Zentralisierung der Compliance-Funktion: GenAI als Vorteil für global agierende Banken
Für international tätige Banken ist die Anwendung von GenAI besonders wertvoll, da die Technologie problemlos in unterschiedlichen Sprachen verfasste Dokumente analysieren kann. Auf diese Weise lässt sich die Compliance-Arbeit für verschiedene Länder zentralisieren und koordinieren. Ein Compliance-Team in Deutschland könnte beispielsweise eine KI-gestützte Voranalyse für DORA durchführen, während die regionalen Teams in anderen Ländern die Qualitätssicherung und Feinabstimmung vornehmen. So wird der Compliance-Prozess nicht nur zentral steuerbar, sondern auch effizienter und kostengünstiger.
Zeit für das Wesentliche: Fokussierung auf strategische Compliance-Aufgaben
Durch den Einsatz von GenAI bleibt den Compliance-Experten mehr Zeit für Governance-Aufgaben, wie die Kontrolle der Einhaltung von Vorgaben und die Pflege und Weiterentwicklung des internen Regelwerks. Die KI kann die „Lese-Arbeit“ übernehmen und Compliance-Experten entlasten, damit sich diese auf das Wesentliche konzentrieren können: die Sicherstellung eines robusten und sicheren Geschäftsbetriebs.
GenAI als Wegbereiter für eine moderne Compliance-Organisation
Zusammenfassend zeigt sich, dass GenAI die Compliance-Arbeit in Banken und Fintechs revolutionieren kann. Die Effizienzsteigerungen durch automatisierte mehrsprachige Textanalyse und schnelle Soll-Ist-Abgleiche ermöglichen es, gesetzliche Vorgaben wie den DORA nicht nur schneller, sondern auch kontrollierter und genauer umzusetzen.
Ein reibungsloser KI-Einsatz erfordert jedoch eine klare Governance und gut durchdachte Prozesse, um die Technologie voll auszuschöpfen und Risiken zu minimieren. Die KI wird sinnvollerweise als unterstützendes Tool und Booster in einem durchdachten und reifen Compliance-Prozess angewendet.
Schlussgedanke: Die erfolgreiche Integration von GenAI in die Compliance eröffnet Banken neue Möglichkeiten, sich im digitalen Zeitalter zukunftsorientiert und widerstandsfähig aufzustellen. Der Digital Operational Resilience Act (DORA) ist ein bedeutender Meilenstein auf dem Weg zu einer sicheren und resilienten Finanzbranche – und GenAI ist ein Schlüssel zur effizienten Umsetzung der DORA-Vorgaben. Wer den Austausch sucht, sprecht mich bei LinkedIn an oder nutzt das Kontaktformular auf unserer Website.
Tipp der Redaktion: Weitere Use Cases von Sopra Steria für die Anwendung von GenAI in der Praxis finden Sie auf unserer Website und weitere KI-Stories hier im Blog.