Wie semantische Contract Intelligence DORA- und NIS2-Compliance neu definiert

Mit der europäischen Regulierung rund um die digitale Resilienz verändert sich derzeit nicht nur die Compliance-Landschaft, sondern auch das Verständnis davon, wo sich operative Risiken in Unternehmen tatsächlich manifestieren. Sowohl die EU-Verordnung DORA (Digital Operational Resilience Act) als auch die NIS2-Richtlinie verlangen von Unternehmen deutlich mehr Transparenz über digitale Lieferketten, kritische Dienstleister und Abhängigkeiten.

Besonders betroffen sind Betreiber Kritischer Infrastrukturen, Finanzdienstleister, Industrieunternehmen sowie Organisationen mit komplexen Outsourcing- und Cloud-Strukturen. Die zentrale Herausforderung lautet dabei zunehmend: Wie lassen sich Risiken in mehrstufigen digitalen Lieferketten überhaupt noch vollständig erfassen und steuerbar machen?
Genau an dieser Stelle setzt die Contract-Intelligence-Plattform LEGANTA® der SBC Systems GmbH an. Der Ansatz: Verträge werden nicht länger lediglich archiviert oder verwaltet, sondern fungieren als operative Datenbasis für Risiko-, Compliance- und Governance-Prozesse.

DORA und NIS2 verschieben den Fokus auf Lieferketten

Mit DORA verpflichtet die Europäische Union insbesondere Finanzunternehmen dazu, ihre digitale operationale Resilienz nachweisbar zu stärken. Gleichzeitig erweitert NIS2 die Anforderungen an Cybersicherheit und Risikomanagement auf zahlreiche weitere Branchen – von Energie und Gesundheit bis hin zu Transport, Industrie und digitalen Diensten.
Beiden Regulierungen gemeinsam ist die zunehmende Konzentration auf Drittparteienrisiken. Unternehmen müssen künftig nicht nur ihre eigenen Systeme absichern, sondern auch nachvollziehen können:

• welche externen Dienstleister eingebunden sind,
• welche kritischen Leistungen diese erbringen,
• welche Sub-Outsourcing-Strukturen existieren,
• und welche Konzentrationsrisiken innerhalb digitaler Lieferketten entstehen.

Damit rücken Verträge in den Mittelpunkt der regulatorischen Realität. Denn genau dort werden Verantwortlichkeiten, Leistungsbeziehungen, Haftungen, Sicherheitsanforderungen und Abhängigkeiten formal definiert.

Vom Vertragsarchiv zur semantischen Risikoebene

Klassische Vertragsmanagementsysteme konzentrieren sich meist auf Dokumentation, Fristen oder Freigabeprozesse. Für DORA- und NIS2-Anforderungen reicht dies jedoch kaum noch aus. Gefordert wird eine dynamische, prüffähige Sicht auf digitale Abhängigkeiten und operative Risiken.

LEGANTA® verfolgt hierfür einen semantischen Ansatz. Sämtliche Vertragsdokumente – etwa Lieferanten-, Outsourcing- oder Kundenverträge – werden automatisiert eingelesen, analysiert und in strukturierte Datenmodelle überführt. Laut Anbieter entsteht daraus eine durchgängige semantische Abbildung regulatorisch relevanter Zusammenhänge.
Im Zentrum steht die sogenannte „LEGANTA® OntoSphere“. Diese fungiert als semantischer Resonanzraum, in dem regulatorische Anforderungen, Unternehmensprozesse und externe Einflussfaktoren miteinander verknüpft werden.
Die Plattform analysiert dabei einzelne Vertragsklauseln gegen mehr als 2.000 semantische Variablen. Ziel ist eine objektivierbare Bewertung von Risiken, Compliance-Lücken und kritischen Abhängigkeiten.

Transparenz über digitale Dienstleister

Besonders relevant im Kontext von DORA und NIS2 ist die automatisierte Erstellung eines strukturierten Registers aller digitalen Dienstleister.
Hierzu gehören unter anderem:

• Lieferanten und Third Parties,
• deren konkrete Leistungen,
• kritische Geschäftsbeziehungen,
• mehrstufige Sub-Outsourcing-Strukturen,
• sowie potenzielle Konzentrationsrisiken.

Gerade im Bereich Kritischer Infrastrukturen entsteht dadurch ein erheblicher Mehrwert. Denn viele Unternehmen verfügen zwar über umfangreiche Vertragsbestände, besitzen jedoch keine vollständige Transparenz darüber, welche digitalen Abhängigkeiten sich daraus tatsächlich ergeben.
Hinzu kommt: Moderne Lieferketten bestehen längst nicht mehr nur aus direkten Vertragspartnern. Cloud-Provider, Plattformanbieter, SaaS-Dienste und ausgelagerte Betriebsprozesse erzeugen hochgradig vernetzte Strukturen, deren Risiken häufig erst im Krisenfall sichtbar werden.

Semantik statt Excel-Listen

Der Ansatz zeigt zugleich einen grundlegenden Paradigmenwechsel im Compliance-Management. Während viele Organisationen regulatorische Anforderungen bislang über manuelle Dokumentation, Tabellenstrukturen oder isolierte Risikoanalysen abbilden, entwickelt sich Compliance zunehmend zu einer datengetriebenen Echtzeitaufgabe.
Die Formel „Form follows Contract“, die LEGANTA® propagiert, verdeutlicht diesen Wandel: Nicht abstrakte Kontrollkataloge stehen im Vordergrund, sondern die real existierenden Vertragsbeziehungen eines Unternehmens.
Dadurch entsteht eine operative Steuerungsebene, die Risiko, Verantwortung, Leistung und regulatorische Anforderungen direkt miteinander verbindet. Besonders im Zusammenspiel mit Informationssicherheits-Managementsystemen (ISMS) sowie Standards wie ISO 27001 – etwa im Bereich Lieferantenbeziehungen nach Annex A.15 – kann dies neue Integrationsmöglichkeiten schaffen.

Auditfähigkeit wird zum strategischen Faktor

Ein weiterer Aspekt gewinnt mit DORA und NIS2 massiv an Bedeutung: die Nachweisfähigkeit gegenüber Aufsichtsbehörden, Auditoren und Management. Unternehmen müssen künftig belegen können,

• wie Risiken identifiziert wurden,
• welche Dienstleister kritisch sind,
• wie Abhängigkeiten bewertet werden,
• und welche Maßnahmen zur Risikoreduktion implementiert wurden.

Damit wird Compliance nicht nur zu einer juristischen oder technischen Disziplin, sondern zu einer strategischen Governance-Aufgabe. Lösungen wie LEGANTA® zeigen, dass sich semantische Technologien zunehmend als Brücke zwischen regulatorischen Anforderungen, IT-Sicherheit und operativer Unternehmenssteuerung positionieren.

Resilienz entsteht aus Beziehungen

Die eigentliche Bedeutung solcher Plattformen könnte jedoch über reine Compliance-Fragen hinausgehen. Denn DORA und NIS2 markieren letztlich einen grundlegenden Wandel im europäischen Sicherheitsverständnis: Weg von punktueller IT-Sicherheit – hin zur systemischen Resilienz vernetzter Wertschöpfungs- und Lieferketten.
Verträge werden damit zu weit mehr als juristischen Dokumenten. Sie entwickeln sich zu einem digitalen Abbild unternehmerischer Realität – und möglicherweise zum zentralen Steuerungsinstrument für Sicherheit, Governance und operative Widerstandsfähigkeit in einer zunehmend vernetzten Wirtschaft.

SBC Systems GmbH: https://www.leganta.ai/