Verträge in regulatorische Transparenz verwandeln | Die Contract Community der SBC Systems GmbH

DORA und NIS2 verlangen Sicht auf Drittparteien, Abhängigkeiten und Risiken.

Dr. Andreas Rieß ist Partner bei EY und Senior Regulatory Advisor für LEGANTA.AI

Handelsblatt: Herr Dr. Rieß, DORA und NIS2 gelten als Gamechanger für die digitale Resilienz. Wird das im Markt schon so ernst genommen?

Antwort: Die Relevanz ist angekommen. Was viele Organisationen aber noch unterschätzen, ist die eigentliche Herausforderung in der Umsetzung. Es geht weniger um das Verständnis der Regulierung als um Transparenz über die eigene digitale Lieferkette. Und genau daran scheitern viele Unternehmen. Wer seine Abhängigkeiten nicht kennt, kann sie auch nicht steuern.

Handelsblatt: Wo liegt aus Ihrer Sicht das größte Problem?

Antwort: Viele Unternehmen gehen davon aus, dass sie ihre Abhängigkeiten im Griff haben. In der Praxis sehen wir jedoch häufig eher Scheinsicherheit. Die meisten Organisationen kennen ihre direkten Dienstleister – aber nicht die Strukturen dahinter. Sub-Dienstleister, Plattformen oder Infrastrukturen sind oft nicht transparent. Genau dort entstehen aber die relevanten Risiken. Das ist der eigentliche blinde Fleck in vielen Umsetzungsprogrammen.

Handelsblatt: Können Sie das an einem typischen Muster festmachen?

Antwort: Ja. Ein klassisches Beispiel ist die scheinbare Diversifikation. Unternehmen arbeiten mit mehreren IT-Dienstleistern und gehen davon aus, dass Risiken damit verteilt sind. Bei genauer Analyse zeigt sich jedoch häufig, dass diese Anbieter auf denselben Infrastrukturen aufsetzen – etwa bei Cloud-Plattformen oder Rechenzentren. Das führt zu Konzentrationsrisiken, die auf Ebene der direkten Vertragsbeziehungen nicht sichtbar sind. Genau diese Risiken werden oft zu spät erkannt.

Handelsblatt: Woran liegt diese fehlende Transparenz?

Antwort: Die Informationen sind vorhanden, aber nicht nutzbar. Sie liegen in Verträgen, Anlagen und Leistungsbeschreibungen – verteilt über Einkauf, IT und Recht. Diese Daten werden selten konsistent zusammengeführt und strukturiert ausgewertet. Solange das so ist, bleibt die digitale Lieferkette für viele Organisationen faktisch eine Black Box. Und eine Black Box lässt sich nicht wirksam steuern.

Handelsblatt: Was bedeutet das für die Umsetzung von DORA und NIS2?

Antwort: Vor allem eines: Die Umsetzung wird unnötig komplex und aufwendig. Viele Unternehmen versuchen derzeit, die Anforderungen manuell zu erfüllen – etwa durch Register oder das Zusammenziehen von Informationen aus unterschiedlichen Quellen. Das funktioniert kurzfristig, ist aber nicht skalierbar. Gleichzeitig steigt der Anspruch der Aufsicht in Richtung konsistenter und nachvollziehbarer Daten. Das passt in vielen Häusern nicht zusammen.

Handelsblatt: Reichen bestehende Governance- und Compliance-Strukturen dafür nicht aus?

Antwort: Sie sind eine notwendige Grundlage, aber häufig nicht ausreichend. Wir sehen eine klare Verschiebung: weg von konzeptioneller Compliance hin zu tatsächlicher Nachweisfähigkeit. Es reicht nicht mehr aus, Risiken nur zu beschreiben. Unternehmen müssen zeigen können, wo diese Risiken konkret liegen und wie sie gesteuert werden. Dafür braucht es belastbare, konsistente Daten – nicht nur Policies und Organigramme.

Handelsblatt: Welche Rolle spielt dabei das Management?

Antwort: Eine sehr zentrale. Die Fragestellung hat sich deutlich verändert. Es geht nicht mehr nur um regulatorische Konformität, sondern um die Stabilität der eigenen Wertschöpfung. Der Vorstand muss verstehen, welche kritischen Funktionen von welchen externen Abhängigkeiten getragen werden – und wo potenzielle Schwachstellen liegen. Genau das ist kein reines IT-Thema mehr, sondern ein Governance- und Steuerungsthema auf Management-Ebene.

Handelsblatt: Wo sehen Sie den größten Handlungsbedarf?

Antwort: In der systematischen Erschließung und Strukturierung von Vertrags- und Lieferantendaten. Erst daraus entsteht eine belastbare Sicht auf Abhängigkeiten, Risiken und Konzentrationen. Ohne diese Grundlage bleiben viele Anforderungen aus DORA und NIS2 in der Praxis fragmentiert. Dann erzeugt man Aktivität, aber keine Steuerbarkeit.

Handelsblatt: Ihr Fazit?

Antwort: Die größte Herausforderung ist nicht die Regulierung selbst, sondern die fehlende Transparenz über die eigenen Abhängigkeiten. Organisationen, die diese Transparenz nicht herstellen, werden mittelfristig sowohl regulatorisch als auch operativ unter Druck geraten. Wer DORA und NIS2 ernst nimmt, muss die digitale Lieferkette aus dem Schatten holen.