DORA und NIS2: Warum plötzlich fast jedes Unternehmen betroffen ist – und warum Verträge zum entscheidenden Steuerungsinstrument werden
DORA und NIS2 wirken auf den ersten Blick wie branchenspezifische Regulierung. In Wahrheit sind sie etwas anderes: ein Durchgriff auf gesamte Wertschöpfungsketten.
Frankfurt am Main, 28.05.2026 (PresseBox) -
Regulierung hört nicht am Unternehmenszaun auf
Wer sich aktuell mit DORA und NIS2 beschäftigt, könnte zunächst den Eindruck gewinnen, dass es sich um klar abgegrenzte regulatorische Initiativen handelt. DORA richtet sich an den Finanzsektor, NIS2 an Betreiber kritischer und wichtiger Infrastrukturen. Doch diese scheinbare Klarheit hält der praktischen Realität nur sehr begrenzt stand.
Aus Geltungsbereich wird ein Netzwerk aus Abhängigkeiten
Denn sobald man den Blick über die direkt regulierten Unternehmen hinaus erweitert, wird deutlich: Die eigentliche Reichweite dieser Regulierungen entfaltet sich entlang der gesamten Wertschöpfungs- und Lieferketten. Jedes Unternehmen, das Leistungen für ein reguliertes Unternehmen erbringt – sei es als IT-Dienstleister, Softwareanbieter, Cloud-Provider oder klassischer Zulieferer – wird Teil des regulatorischen Systems. Nicht formell, aber faktisch.
Die eigentliche Wahrheit: DORA und NIS2 sind Third-Party-Regulierungen
Damit verschiebt sich das Problem grundlegend. DORA und NIS2 sind keine isolierten Compliance-Themen mehr, sondern wirken wie ein Netz, das sich über Unternehmensgrenzen hinweg spannt. Und je stärker Unternehmen auf externe Partner angewiesen sind, desto dichter wird dieses Netz.
In dieser neuen Realität rückt ein Element in den Mittelpunkt, das bislang oft unterschätzt wurde: der Vertrag.
Alles steht im Vertrag – aber kaum jemand kann es lesen
Denn alle Anforderungen, die DORA und NIS2 formulieren – die Kontrolle über Drittanbieter, die Nachvollziehbarkeit von Risiken, die Dokumentation von Maßnahmen, die kontinuierliche Überwachung – sind letztlich in Verträgen verankert. Verträge definieren Leistungen, Verantwortlichkeiten, Sicherheitsanforderungen, Auditrechte und Eskalationsmechanismen. Sie sind das tatsächliche Betriebssystem der Zusammenarbeit.
Unstrukturierte Verträge sind das größte Compliance-Risiko
Und genau hier liegt die größte Schwäche in der heutigen Praxis.
In vielen Unternehmen existiert keine durchgängige Transparenz über die eigene Vertragslandschaft. Verträge liegen in unterschiedlichen Formaten vor, häufig als PDFs, unstrukturiert, verteilt über verschiedene Systeme und Abteilungen. Inhalte sind nicht vergleichbar, Klauseln nicht standardisiert, Risiken nicht systematisch sichtbar. Bewertungen erfolgen oft manuell, in Excel-Tabellen oder individuellen Einschätzungen, die weder reproduzierbar noch skalierbar sind.
Wenn Prüfer fragen, beginnt in vielen Unternehmen die Suche
Diese Situation wird besonders kritisch, wenn Prüfungen anstehen. Dann zeigt sich schnell, dass viele der geforderten Nachweise zwar irgendwo vorhanden sind – aber nicht in einer Form, die einer systematischen, auditfesten Überprüfung standhält. Antworten auf typische Prüferfragen müssen mühsam zusammengesucht werden, Zusammenhänge bleiben implizit, Veränderungen über die Zeit hinweg sind kaum nachvollziehbar.
Silos statt Steuerung: Warum Organisationen den Überblick verlieren
Gleichzeitig fehlt es in vielen Organisationen an einer integrierten Steuerung. Legal, Procurement, IT und Risikomanagement arbeiten mit unterschiedlichen Daten, unterschiedlichen Perspektiven und oft auch unterschiedlichen Zielsetzungen. Was fehlt, ist eine gemeinsame, verbindliche Grundlage.
Der blinde Fleck: Verträge werden nicht als Daten verstanden
Genau an diesem Punkt setzt LEGANTA® an – allerdings nicht indem ein weiteres Tool in die bestehende Landschaft eingeführt wird, sondern durch einen grundlegenden Perspektivwechsel.
Form follows Contract: Der notwendige Perspektivwechsel
Der Ansatz lautet: Nicht die Systeme definieren die Compliance, sondern die Verträge.
LEGANTA® transformiert Vertragsdokumente – einschließlich Texte, Tabellen und sogar eingebetteter Informationen – in ein vollständig strukturiertes, semantisches Modell. Dieses Modell basiert auf mehreren tausend Variablen und verbindet regulatorische Anforderungen aus DORA und NIS2 mit dem tatsächlichen Lebenszyklus eines Unternehmens, also dem gesamten Unternehmenskreislauf.
Vom Dokument zum System: Verträge werden maschinenlesbar
Damit entsteht etwas, das in dieser Form bisher nicht existierte: Verträge werden maschinenlesbar, vergleichbar und systematisch auswertbar – und zwar auf Ebene einzelner Klauseln.
Keine Blackbox: Warum geführte KI entscheidend ist
Auf dieser Grundlage kann eine KI eingesetzt werden, die nicht frei interpretiert, sondern streng geführt wird. Das ist ein entscheidender Unterschied, denn gerade im regulatorischen Kontext geht es nicht um kreative Antworten, sondern um stabile, nachvollziehbare und reproduzierbare Ergebnisse.
Von der Klausel zur Entscheidung – automatisiert und nachvollziehbar
So wird es möglich, jede einzelne Vertragsbeziehung systematisch zu bewerten – sowohl auf Ebene des konkreten Vertrages als auch auf Ebene des jeweiligen Anbieters. Typische Prüferfragen lassen sich automatisiert beantworten, Schwächen und Lücken werden nicht nur identifiziert, sondern konkret eingeordnet. Daraus entstehen unmittelbar umsetzbare Maßnahmen, bis hin zu präzisen Empfehlungen für Vertragsverhandlungen.
Register entstehen nicht mehr – sie fallen automatisch an
Ein weiterer zentraler Aspekt ist die automatische Generierung der regulatorisch geforderten Register. Informationen, die bislang mühsam zusammengetragen werden mussten, entstehen direkt aus den analysierten Verträgen – etwa für das DORA Register of Information oder das NIS2 Digital Supplier Risk Register. Der Medienbruch entfällt, und mit ihm ein wesentlicher Teil der Fehleranfälligkeit.
Analyse allein reicht nicht: Die Lücke zur Umsetzung
Doch selbst die beste Analyse bleibt wirkungslos, wenn sie nicht in operative Prozesse überführt wird. Genau hier entfaltet die Kooperation mit top.legal ihre strategische Bedeutung.
Vom Erkenntnisgewinn zur Vertragsrealität – ohne Medienbruch
Durch die Integration werden die durch LEGANTA® strukturierten und bewerteten Vertragsdaten unmittelbar in operative Vertragsprozesse überführt. Verträge können automatisiert in top.legal angelegt, dort verhandelt und angepasst werden. Fristen, Änderungen und neue Anforderungen werden aktiv gesteuert. Anschließend fließen die aktualisierten Vertragsstände wieder zurück in LEGANTA®, wo sie automatisch neu bewertet werden.
Verträge werden verhandelbar, steuerbar und rückverfolgbar
Dieses Zusammenspiel schafft etwas, das bislang kaum erreichbar war: Eine durchgängige Verbindung von Analyse, Entscheidung und Umsetzung – und zwar ohne Medienbrüche.
Einmal Compliance herstellen – und dann dauerhaft behalten
Das Ergebnis ist eine neue Qualität von Compliance. Unternehmen können nicht nur einmalig den Status quo erfassen und Lücken schließen, sondern etablieren ein System, das Veränderungen kontinuierlich verarbeitet und bewertet. Jede Anpassung eines Vertrages wirkt sich automatisch auf Risikoanalysen, Bewertungen und Register aus. Historien bleiben nachvollziehbar, Entscheidungen auditierbar.
Vom Projekt zur Dauerfähigkeit: Compliance als System
Damit verändert sich die Rolle von Compliance grundlegend. Sie wird vom projektgetriebenen Kraftakt zu einem integrierten, laufenden Steuerungsprozess.
DORA und NIS2 als Auslöser eines strukturellen Wandels
DORA und NIS2 markieren in diesem Sinne weniger eine regulatorische Verschärfung als vielmehr einen Paradigmenwechsel. Sie zwingen Unternehmen dazu, ihre Abhängigkeiten von Drittanbietern strukturiert zu verstehen und aktiv zu steuern.
Die Zukunft beginnt nicht bei der Regulierung – sondern beim Vertrag
Und sie machen deutlich, dass dies nur dann gelingen kann, wenn die zugrunde liegenden Verträge nicht länger als statische Dokumente behandelt werden, sondern als dynamische, steuerbare Elemente des Unternehmens.
Oder anders formuliert: Die Zukunft der Compliance beginnt nicht bei der Regulierung – sondern beim Vertrag.
