Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity

Initial commit: breakpilot-compliance - Compliance SDK Platform

Browse Source 
Services: Admin-Compliance, Backend-Compliance,
AI-Compliance-SDK, Consent-SDK, Developer-Portal,
PCA-Platform, DSMS

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
Benjamin Boenisch
2026-02-11 23:47:28 +01:00
commit 4435e7ea0a
734 changed files with 251369 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

613
ai-compliance-sdk/policies/financial_regulations_corpus.yaml Normal file
View File

@@ -0,0 +1,613 @@
# =============================================================================
# Financial Regulations Legal Corpus
# For Legal RAG Integration
# =============================================================================
#
# Enthält Kernpassagen aus:
# - DORA (EU 2022/2554)
# - MaRisk (BaFin)
# - BAIT (BaFin)
#
# Diese Passagen werden in den Qdrant Vector Store geladen
# und für Legal RAG Erklärungen verwendet.
#
# =============================================================================
metadata:
version: "1.0.0"
created: "2026-01-29"
sources:
- name: "DORA"
reference: "Verordnung (EU) 2022/2554"
effective_date: "2025-01-17"
- name: "MaRisk"
reference: "Rundschreiben 10/2021 (BA)"
version: "7. MaRisk-Novelle"
- name: "BAIT"
reference: "Rundschreiben 10/2017 (BA)"
version: "2021"
# =============================================================================
# DORA - Digital Operational Resilience Act
# =============================================================================
dora_passages:
# --- Anwendungsbereich ---
- id: DORA-ART-2
article: "Artikel 2"
title: "Anwendungsbereich"
category: scope
text: |
(1) Diese Verordnung gilt für folgende Finanzunternehmen:
a) Kreditinstitute,
b) Zahlungsinstitute,
c) Kontoinformationsdienstleister,
d) E-Geld-Institute,
e) Wertpapierfirmen,
f) Anbieter von Krypto-Dienstleistungen,
g) Zentralverwahrer,
h) zentrale Gegenparteien,
i) Handelsplätze,
j) Transaktionsregister,
k) Verwalter alternativer Investmentfonds und Verwaltungsgesellschaften,
l) Datenbereitstellungsdienste,
m) Versicherungs- und Rückversicherungsunternehmen,
n) Versicherungsvermittler, Rückversicherungsvermittler und
Versicherungsvermittler in Nebentätigkeit,
o) Einrichtungen der betrieblichen Altersversorgung,
p) Ratingagenturen,
q) Administratoren kritischer Referenzwerte,
r) Schwarmfinanzierungsdienstleister,
s) Verbriefungsregister.
legal_refs:
- "DORA Art. 2(1)"
keywords:
- Anwendungsbereich
- Finanzunternehmen
- Kreditinstitute
- Versicherungen
- Krypto
# --- IKT-Risikomanagement ---
- id: DORA-ART-6
article: "Artikel 6"
title: "IKT-Risikomanagementrahmen"
category: ict_risk_management
text: |
(1) Finanzunternehmen verfügen über einen soliden, umfassenden und gut
dokumentierten IKT-Risikomanagementrahmen, der ihnen ermöglicht,
IKT-Risiken schnell, effizient und umfassend anzugehen und ein hohes
Maß an digitaler operationaler Resilienz zu gewährleisten.
(2) Der IKT-Risikomanagementrahmen umfasst mindestens Strategien,
Leit- und Richtlinien, Verfahren sowie IKT-Protokolle und -Tools,
die zum angemessenen Schutz aller Informations- und IKT-Assets
erforderlich sind.
(3) Das Leitungsorgan des Finanzunternehmens ist für die Festlegung,
Genehmigung, Überwachung und Verantwortung der Umsetzung aller
Vorkehrungen im Zusammenhang mit dem IKT-Risikomanagementrahmen
verantwortlich.
legal_refs:
- "DORA Art. 6"
keywords:
- IKT-Risikomanagement
- Governance
- Leitungsorgan
- digitale Resilienz
- id: DORA-ART-8
article: "Artikel 8"
title: "Identifizierung"
category: ict_risk_management
text: |
(1) Finanzunternehmen identifizieren, klassifizieren und dokumentieren
alle IKT-gestützten Unternehmensfunktionen, Rollen und Verantwortlichkeiten,
die Informations- und IKT-Assets, die diese Funktionen unterstützen,
sowie deren Abhängigkeiten in Bezug auf IKT-Risiken.
(2) Finanzunternehmen identifizieren alle Quellen von IKT-Risiken,
insbesondere das Risiko gegenüber und von anderen Finanzunternehmen,
und bewerten Cyberbedrohungen und IKT-Schwachstellen, die für ihre
IKT-gestützten Unternehmensfunktionen, Informations- und IKT-Assets
relevant sind.
legal_refs:
- "DORA Art. 8"
keywords:
- Identifizierung
- IKT-Assets
- Cyberbedrohungen
- Schwachstellen
- id: DORA-ART-9
article: "Artikel 9"
title: "Schutz und Prävention"
category: ict_risk_management
text: |
(1) Um einen angemessenen Schutz der IKT-Systeme zu gewährleisten und
Maßnahmen zur Reaktion auf IKT-bezogene Vorfälle zu organisieren,
überwachen und kontrollieren Finanzunternehmen kontinuierlich die
Sicherheit und das Funktionieren der IKT-Systeme und -Tools.
(2) Finanzunternehmen konzipieren und implementieren
IKT-Sicherheitsmaßnahmen, einschließlich Leit- und Richtlinien,
Verfahren, Protokolle und Tools zum Schutz aller IKT-Assets.
legal_refs:
- "DORA Art. 9"
keywords:
- Schutz
- Prävention
- IKT-Sicherheit
- Überwachung
# --- IKT-Vorfälle ---
- id: DORA-ART-17
article: "Artikel 17"
title: "IKT-bezogenes Vorfallmanagement"
category: incident_management
text: |
(1) Finanzunternehmen definieren, erstellen und implementieren einen
IKT-bezogenen Vorfallmanagementprozess zur Erkennung, Verwaltung und
Meldung von IKT-bezogenen Vorfällen.
(2) Finanzunternehmen zeichnen alle IKT-bezogenen Vorfälle und
erheblichen Cyberbedrohungen auf. Finanzunternehmen richten geeignete
Verfahren und Prozesse ein, um eine kohärente und integrierte
Überwachung, Handhabung und Nachverfolgung von IKT-bezogenen Vorfällen
zu gewährleisten.
legal_refs:
- "DORA Art. 17"
keywords:
- Vorfallmanagement
- Incident Response
- Meldepflicht
- Cyberbedrohungen
- id: DORA-ART-19
article: "Artikel 19"
title: "Meldung schwerwiegender IKT-bezogener Vorfälle"
category: incident_management
text: |
(1) Finanzunternehmen melden schwerwiegende IKT-bezogene Vorfälle der
nach Artikel 46 zuständigen Behörde.
(2) Bei der Klassifizierung von IKT-bezogenen Vorfällen und der
Bestimmung der Auswirkungen eines IKT-bezogenen Vorfalls wenden
Finanzunternehmen folgende Kriterien an:
a) die Anzahl und/oder Relevanz der betroffenen Kunden oder
Finanzgegenparteien,
b) die Dauer des IKT-bezogenen Vorfalls,
c) die geografische Ausbreitung,
d) die Datenverluste,
e) die Kritikalität der betroffenen Dienste,
f) die wirtschaftlichen Auswirkungen.
legal_refs:
- "DORA Art. 19"
keywords:
- Meldepflicht
- BaFin
- schwerwiegende Vorfälle
- Klassifizierung
# --- Digitale Resilienz-Tests ---
- id: DORA-ART-24
article: "Artikel 24"
title: "Allgemeine Anforderungen für Resilienz-Tests"
category: resilience_testing
text: |
(1) Finanzunternehmen richten ein solides und umfassendes Programm für
das Testen der digitalen operationalen Resilienz ein, das als integraler
Bestandteil des IKT-Risikomanagementrahmens Teil des Programms ist.
(2) Das Programm für das Testen der digitalen operationalen Resilienz
umfasst eine Reihe von Bewertungen, Tests, Methoden, Verfahren und
Tools, die gemäß den Artikeln 25 und 26 anzuwenden sind.
legal_refs:
- "DORA Art. 24"
keywords:
- Resilienz-Tests
- Penetrationstests
- Vulnerability Assessment
- Testprogramm
- id: DORA-ART-26
article: "Artikel 26"
title: "Erweiterte Tests von IKT-Tools"
category: resilience_testing
text: |
(1) Finanzunternehmen, die keine Kleinstunternehmen sind, führen
mindestens alle drei Jahre erweiterte Tests durch bedrohungsgeleitete
Penetrationstests (TLPT) durch.
(2) Der bedrohungsgeleitete Penetrationstest deckt mehrere oder alle
kritischen oder wichtigen Funktionen eines Finanzunternehmens ab und
wird an Live-Produktionssystemen durchgeführt, die diese Funktionen
unterstützen.
legal_refs:
- "DORA Art. 26"
keywords:
- TLPT
- Penetrationstest
- Red Teaming
- kritische Funktionen
# --- IKT-Drittparteirisiko ---
- id: DORA-ART-28
article: "Artikel 28"
title: "Allgemeine Grundsätze"
category: third_party_risk
text: |
(1) Finanzunternehmen verwalten das IKT-Drittparteirisiko als integralen
Bestandteil des IKT-Risikos innerhalb ihres IKT-Risikomanagementrahmens
und im Einklang mit folgenden Grundsätzen:
a) Finanzunternehmen, die vertragliche Vereinbarungen über die Nutzung
von IKT-Diensten mit IKT-Drittdienstleistern geschlossen haben,
bleiben jederzeit uneingeschränkt für die Einhaltung und Erfüllung
aller Verpflichtungen nach dieser Verordnung und dem geltenden
Finanzdienstleistungsrecht verantwortlich.
b) Das Leitungsorgan des Finanzunternehmens ist für die Überwachung
des IKT-Drittparteirisikos verantwortlich.
legal_refs:
- "DORA Art. 28"
keywords:
- Drittparteirisiko
- Outsourcing
- IKT-Dienstleister
- Verantwortlichkeit
- id: DORA-ART-30
article: "Artikel 30"
title: "Wesentliche Vertragsbestimmungen"
category: third_party_risk
text: |
(1) Die Rechte und Pflichten des Finanzunternehmens und des
IKT-Drittdienstleisters werden klar in einem schriftlichen Vertrag
festgelegt und zugewiesen.
(2) Vertragliche Vereinbarungen über die Nutzung von IKT-Diensten
enthalten mindestens folgende Elemente:
a) eine klare und vollständige Beschreibung aller Funktionen und
IKT-Dienste,
b) die Standorte, an denen Dienste erbracht werden und Daten
verarbeitet werden,
c) Bestimmungen über die Verfügbarkeit, Authentizität, Integrität
und Vertraulichkeit in Bezug auf den Datenschutz,
d) Bestimmungen über die Gewährleistung des Zugangs, der Wiederherstellung
und der Rückgabe von Daten,
e) Service Level Agreements,
f) Unterstützungspflichten bei IKT-Vorfällen,
g) Kündigungsfristen und Berichtspflichten.
legal_refs:
- "DORA Art. 30"
keywords:
- Vertragsbestimmungen
- SLA
- Auslagerungsvertrag
- Mindestanforderungen
- id: DORA-ART-29
article: "Artikel 29"
title: "Vorläufige Bewertung des IKT-Konzentrationsrisikos"
category: third_party_risk
text: |
(2) Finanzunternehmen identifizieren und bewerten das
IKT-Konzentrationsrisiko auf Ebene des Finanzunternehmens unter
Berücksichtigung:
a) des Umfangs der kritischen oder wichtigen Funktionen, die
gegenüber jedem IKT-Drittdienstleister bestehen,
b) des Grades der Substituierbarkeit jedes IKT-Drittdienstleisters,
c) des Anteils von IKT-Drittdienstleistern an einem begrenzten
Markt.
legal_refs:
- "DORA Art. 29"
keywords:
- Konzentrationsrisiko
- Substituierbarkeit
- kritische Dienstleister
- Marktkonzentration
# --- Sanktionen ---
- id: DORA-ART-50
article: "Artikel 50"
title: "Verwaltungsrechtliche Sanktionen"
category: sanctions
text: |
(1) Unbeschadet etwaiger strafrechtlicher Sanktionen und unbeschadet
der Aufsichtsbefugnisse der zuständigen Behörden stellen die
Mitgliedstaaten sicher, dass ihre zuständigen Behörden befugt sind,
verwaltungsrechtliche Sanktionen und Abhilfemaßnahmen zu verhängen.
(4) Die Mitgliedstaaten können vorsehen, dass die zuständigen Behörden
befugt sind, gegen juristische Personen Geldbußen zu verhängen,
die einen Höchstbetrag von mindestens 1 % des gesamten weltweiten
Jahresumsatzes erreichen.
legal_refs:
- "DORA Art. 50"
keywords:
- Sanktionen
- Bußgelder
- Compliance
- Durchsetzung
# =============================================================================
# MaRisk - Mindestanforderungen an das Risikomanagement
# =============================================================================
marisk_passages:
- id: MARISK-AT-4.3.5
section: "AT 4.3.5"
title: "Verwendung von Modellen"
category: model_risk
text: |
(1) Bei der Verwendung von Risikomodellen oder Risikomessverfahren
sind die mit der Verwendung von Modellen verbundenen Risiken
(Modellrisiken) zu identifizieren, zu überwachen und zu steuern.
(2) Für wesentliche Risikomodelle ist eine unabhängige Validierung
durchzuführen. Die Validierung umfasst mindestens:
- die Überprüfung der konzeptionellen Grundlagen,
- die Überprüfung der Datenqualität,
- das Backtesting,
- die Überprüfung der Modellanwendung.
(3) Die Ergebnisse der Validierung sind zu dokumentieren und der
Geschäftsleitung sowie dem zuständigen Aufsichtsorgan zu berichten.
(4) Bei wesentlichen Defiziten sind unverzüglich Maßnahmen zu
ergreifen und das Ergebnis der Maßnahmen zu dokumentieren.
legal_refs:
- "MaRisk AT 4.3.5"
keywords:
- Modellvalidierung
- Risikomodelle
- Backtesting
- KI-Modelle
- id: MARISK-AT-9
section: "AT 9"
title: "Auslagerung"
category: outsourcing
text: |
(1) Bei Auslagerungen hat das Institut vorab eine Risikoanalyse
durchzuführen. Die Risikoanalyse hat insbesondere zu umfassen:
- die strategische Bedeutung der Aktivitäten und Prozesse,
- die Auswirkungen auf das Risikoprofil des Instituts,
- die Qualifikation und Zuverlässigkeit des Auslagerungsunternehmens,
- die Wirtschaftlichkeit.
(2) Bei wesentlichen Auslagerungen sind die folgenden zusätzlichen
Anforderungen einzuhalten:
- schriftliche Auslagerungsvereinbarung mit Mindestinhalt,
- Sicherstellung von Weisungs-, Prüfungs- und Kontrollrechten,
- Gewährleistung von Zugangs- und Informationsrechten der Aufsicht,
- Einbeziehung in das Notfallmanagement,
- angemessene Exit-Strategien.
(3) Ein Auslagerungsregister ist zu führen und regelmäßig zu
aktualisieren.
legal_refs:
- "MaRisk AT 9"
keywords:
- Auslagerung
- Outsourcing
- Risikoanalyse
- Exit-Strategie
- id: MARISK-AT-4.3.2
section: "AT 4.3.2"
title: "Risikoberichterstattung"
category: risk_reporting
text: |
(1) Die Risikoberichterstattung hat die Geschäftsleitung und
gegebenenfalls das Aufsichtsorgan über die Risikosituation des
Instituts zu informieren.
(2) Die Berichte müssen:
- regelmäßig erstellt werden,
- aussagekräftig und für die Empfänger verständlich sein,
- die wesentlichen Risiken umfassen,
- Veränderungen der Risikosituation aufzeigen.
(3) Bei wesentlichen Ereignissen ist eine Ad-hoc-Berichterstattung
sicherzustellen.
legal_refs:
- "MaRisk AT 4.3.2"
keywords:
- Risikoberichterstattung
- Geschäftsleitung
- Monitoring
- Ad-hoc-Meldung
- id: MARISK-BTO-1.2
section: "BTO 1.2"
title: "Kreditrisikosteuerung"
category: credit_risk
text: |
(1) Die Kreditrisikosteuerung hat sicherzustellen, dass die aus der
Risikostrategie abgeleiteten Limite eingehalten werden.
(2) Bei der Verwendung von Scoring-Modellen für Kreditentscheidungen
ist deren Trennschärfe regelmäßig zu überprüfen (Backtesting).
(3) Die Entscheidungsprozesse bei Kreditvergaben müssen so gestaltet
sein, dass eine angemessene Kreditwürdigkeitsprüfung gewährleistet ist.
legal_refs:
- "MaRisk BTO 1.2"
keywords:
- Kreditrisiko
- Scoring
- Kreditentscheidung
- Backtesting
# =============================================================================
# BAIT - Bankaufsichtliche Anforderungen an die IT
# =============================================================================
bait_passages:
- id: BAIT-TZ-1-9
section: "Tz. 1-9"
title: "IT-Strategie"
category: it_strategy
text: |
(1) Das Institut hat eine mit der Geschäftsstrategie konsistente
IT-Strategie festzulegen. Die IT-Strategie hat mindestens folgende
Aspekte zu umfassen:
- strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation,
- strategische Entwicklung der IT-Architektur,
- Aussagen zu Standards für IT-Sicherheit,
- Aussagen zum Notfallmanagement.
(2) Die IT-Strategie ist regelmäßig und anlassbezogen zu überprüfen
und bei Bedarf anzupassen.
(3) Die IT-Strategie ist von der Geschäftsleitung zu genehmigen.
legal_refs:
- "BAIT Tz. 1-9"
keywords:
- IT-Strategie
- Geschäftsleitung
- IT-Architektur
- IT-Sicherheit
- id: BAIT-TZ-10-21
section: "Tz. 10-21"
title: "IT-Governance"
category: it_governance
text: |
(1) Das Institut hat aufbau- und ablauforganisatorische Regelungen
zur IT-Governance zu treffen. Diese müssen insbesondere:
- Rollen und Verantwortlichkeiten klar definieren,
- die IT-bezogenen Aufgaben der Geschäftsleitung festlegen,
- Regelungen zur IT-bezogenen Risikosteuerung umfassen.
(2) Die IT-Governance hat sicherzustellen, dass:
- Interessenkonflikte vermieden werden,
- ein Informationsrisikomanagement implementiert ist,
- Ressourcen für die IT-Sicherheit bereitgestellt werden.
(3) Das Drei-Linien-Modell ist auf die IT-Risiken anzuwenden.
legal_refs:
- "BAIT Tz. 10-21"
keywords:
- IT-Governance
- Rollen
- Verantwortlichkeiten
- Drei-Linien-Modell
- id: BAIT-TZ-27-42
section: "Tz. 27-42"
title: "Anwendungsentwicklung (Projektmanagement, SDLC)"
category: development
text: |
(1) Bei der Entwicklung von Anwendungen sind angemessene Verfahren
und Schutzmaßnahmen zu implementieren. Dies umfasst:
- Anforderungsmanagement,
- Entwicklungsrichtlinien,
- Testverfahren,
- Abnahme- und Freigabeverfahren.
(2) Die Entwicklung hat in kontrollierten Umgebungen zu erfolgen.
Testdaten dürfen keine produktiven Echtdaten enthalten, sofern
diese nicht angemessen anonymisiert oder pseudonymisiert sind.
(3) Änderungen an Anwendungen sind über ein Änderungsmanagement
zu steuern. Notfalländerungen sind nachträglich zu dokumentieren
und zu genehmigen.
legal_refs:
- "BAIT Tz. 27-42"
keywords:
- SDLC
- Anwendungsentwicklung
- Testverfahren
- Änderungsmanagement
- id: BAIT-TZ-58-66
section: "Tz. 58-66"
title: "Benutzerberechtigungsmanagement"
category: access_management
text: |
(1) Das Institut hat ein Berechtigungskonzept zu erstellen und
umzusetzen. Das Berechtigungskonzept hat mindestens zu umfassen:
- die Festlegung von Rollen und Berechtigungsprofilen,
- die Definition von Prozessen zur Vergabe, Änderung und
Entziehung von Berechtigungen,
- die Regelung zu privilegierten Berechtigungen.
(2) Berechtigungen sind nach dem Prinzip der minimalen Rechte
(Least-Privilege-Prinzip) zu vergeben.
(3) Berechtigungen sind regelmäßig (mindestens jährlich) zu
überprüfen und zu rezertifizieren.
legal_refs:
- "BAIT Tz. 58-66"
keywords:
- IAM
- Berechtigungen
- Least Privilege
- Rezertifizierung
- id: BAIT-TZ-67-72
section: "Tz. 67-72"
title: "IT-Betrieb (Protokollierung)"
category: logging
text: |
(1) Sicherheitsrelevante Ereignisse sind zu protokollieren. Die
Protokollierung umfasst mindestens:
- Anmeldeversuche (erfolgreich und fehlgeschlagen),
- Änderungen an Berechtigungen,
- Zugriffe auf sensitive Daten,
- administrative Tätigkeiten.
(2) Die Protokollierungsdaten sind vor unbefugter Veränderung zu
schützen und entsprechend den regulatorischen Anforderungen
aufzubewahren.
(3) Die Protokollierungsdaten sind regelmäßig auszuwerten.
legal_refs:
- "BAIT Tz. 67-72"
keywords:
- Protokollierung
- Logging
- Audit-Trail
- Auswertung
# =============================================================================
# Verknüpfungen (für Cross-Referencing)
# =============================================================================
cross_references:
# DORA verweist auf MaRisk-ähnliche Anforderungen
- from: DORA-ART-6
to: MARISK-AT-4.3.5
relation: "extends"
note: "DORA erweitert MaRisk-Anforderungen um IKT-spezifische Aspekte"
# DORA-Drittparteirisiko baut auf MaRisk-Auslagerung auf
- from: DORA-ART-28
to: MARISK-AT-9
relation: "extends"
note: "DORA konkretisiert Auslagerungsanforderungen für IKT"
# BAIT-SDLC ist relevant für DORA-Testanforderungen
- from: DORA-ART-24
to: BAIT-TZ-27-42
relation: "complements"
note: "BAIT-SDLC-Anforderungen unterstützen DORA-Testprogramm"
# MaRisk-Modellvalidierung gilt auch für KI-Modelle
- from: MARISK-AT-4.3.5
to: AI_ACT
relation: "applies_to"
note: "Modellvalidierung gilt auch für KI-Risikomodelle"