• Audit-Vorbereitung, -management und Due Diligence im Bereich IT-Compliance & IT Regulierung: DORA, NIS2, AI-Act, BAIT, MaRisk, FINMA, EBA-Richtlinien
• IT-Audit Defense: Simulation, Begleitung und Verteidigung von OSI-/Aufsichts- und auch Jahresabschluss-Prüfungen (EZB, BaFin, FINMA)
• Vertragsverhandlungen bei Auslagerungen & Outsourcing, Vertragsmanagement, Due Diligence gem. Aufsichtsrecht und Aufsichtsprüfungen (EZB, EBA; EIOPA, ESMA, BaFin, FINMA, FCA, etc.) -> in DE nur mit offizieller Vertretungsmacht gem. §§ 164 ff. BGB
• IT-Risikomanagement: Identifikation, Bewertung und Steuerung von IT-Risiken & Third-Party-Risiken
• Cyber-Resilience & Security: Entwicklung von Sicherheitskonzepten und Implementierung von Resilience-Tests NIST2, NIST CSF, DORA
• IT-Outsourcing & Cloud Governance: Due Diligence, Vertragsgestaltung und Auditierung von Cloud-Anbietern (AWS, Azure, Google, SF)
• Training & Schulung: Dozent und Entwickler von Online-Lehrgängen im Bereich IT-Compliance & Cybersecurity

DORA / NIS-2 / AI-Act - Compliance-relevante Umsetzung bzw. Audit-Vorbereitung und -Defense:

• In den letzten Jahren hat sich für viele zivile Branchen in der EU ein von Laien oft unbemerkter Paradigmen-Wechsel weg von "freiwilligen" Best-Practices (z.B. ISO 2700x-Standards, ITIL, CoBit, BSI-Grundschutz, TISAX) hin zu davon unabhängigen gesetzlichen Vorgaben (NIS-2, DORA, AI-Act) ergeben.
• Regulatorische IT Compliance Vorgaben der EU-Gesetzgeber sind i. d.R. "agnostisch", d.h. neutral in Bezug auf Technik oder Best-Practices. Die GAPs sind Prüfern bestens bekannt und daher in der Regel in Audits leider oft die Grundlage für Findings, Moniten, Bussgelder
• Welche Zielrichtungen verfolgt also eigentlich man mit der Umsetzung regulatorischer IT-Risiko-Vorgaben?
  • Erlangung einer soliden Base-Line für die typischen Risiken im echten Leben, z.B. bei einem Cyber-Security Angriff
  • Um als reguliertes Unternehmen eine formelle behördliche Überprüfung der gesetzlich vorgegebenen Mindest-Massnahmen z.B. in einem Audit oder einer On-Site-Inspection (OSI) zu überstehen.
  • Um im fiskalischen Jahresabschluss durch Certified Public Accountant / Wirtschaftsprüfer keine unnötigen Zweifel an der soliden IT-Grundlage aufkommen zu lassen.
• Aus allen Szenarien können Schäden in Form von monetären Verlusten entstehen. Als Jurist und Informatiker beschäftige ich mich parallel zur Intensivierung der regulatorischen Anforderungen in den letzten ca. 5-10 Jahren immer häufiger mit den beiden letzten Bereichen, der Prüfungsvorbereitung und -Absicherung von Defiziten im Bereich regulatorischer Vorgaben im Zusammenhang mit IT-Organisation unter EU-Recht:
  • Verfahren & Risiko-Analysen
  • Policies, Richtlinien, Verträge, Prozess-Beschreibungen, Service Beschreibungen
  • Wertschöpfungsketten und 3rd Party Risks (BOM)
  • Digitale und operationale Resilience-Tests
  • Training & Schulungen, Awareness-Massnahmen, Workshops
• Mit einer fundierten Ausbildung in Jura und Informatik sowie über 30 Jahren operativer IT-Erfahrung in regulierten Branchen biete ich Unternehmen praxisnahe Beratung für komplexe Herausforderungen in IT-Organisation, Infrastruktur, Outsourcing und Compliance. Mein Fokus liegt auf Due Diligence, Audit, Audit-Defense, Governance-Risk-Compliance (GRC), ? mit einem tiefen Verständnis für die Anforderungen der Finanzindustrie, IT, Energiewirtschaft und andere kritische Branchen. Ich engagiere mich nicht nur als Interim-Manager und Berater, sondern auch als Dozent, um Wissen zu teilen und Fachkräfte in interdisziplinären Themen weiterzubilden.

Aktuelle IT-Compliance Entwicklung - warum aufgrund der Paradigmenwechsel der letzten Jahre dringend ein Umdenken erforderlich ist:

• Bisherige Best-Practices im Bereich IT und Risiko-Management werden in der EU und international zunehmend durch vom massentauglichen Stammtisch-Verständnis abweichende gesetzliche Anforderungen erweitert, konkretisiert oder sogar vollständig ersetzt. 
• Das passiert oft, ohne dass die Öffentlichkeit davon Notiz nimmt. Nicht selten werden Unternehmen von Regelungen, wie z.B. der EU-DSGVO oder auch NIS-2/DORA kalt erwischt, nur um dann fest zu stellen, das so ein Thema bereits eine Entwicklungshistorie von mehreren Jahren aufweist. 
• Es reicht seit ein paar Jahren für Audits nicht mehr aus, sich hinter rein technischen "Best-Practice Ansätzen" oder allgemeinen "Stand-der-Technik" Aussagen zu verstecken, wenn der EU-Gesetzgeber klar definierte und messbare Anforderungen formuliert hat, selbst wenn die alten Best-Practices durchaus für sich ihre Berechtigung haben und ansonsten noch vielfach wirksam eingesetzt werden können
• Im Hinblick auf Audits und OSIs durch Behörden in den regulierten Branchen bieten Verträge und Policies, die nur auf alte "Best Practices" abzielen, oft unnötige offene Flanken, weil sie vorgegebene Themen nicht regeln oder die nötige Tiefe nicht erreichen, oder organisatorisch nicht korrekt aufgehängt und verankert sind.

Hintergrund:

• Im Laufe der letzten 5-10 Jahre haben viele für juristische Laien "unverdächtige" Themen im neuerdings EU-regulierten Kontext der IT eine sehr eigene Konkretisierung erfahren, die oft weit über das alt hergebrachte Verständnis hinausgeht oder sich sogar deutlich davon unterscheidet, aber die Erwartungshaltung der Aufsichten im Falle von Audits sehr konkret bestimmt (z.B. Incident-Management, Risiko-Management, Auslagerung / Fremd-Bezug hin zu 3rd Party Risiko-Management, uvm.). 
• Unnötige Scheinsicherheit mit dem Risiko von Findings ist oft die Folge und es drohen konkrete Schäden durch Bussgelder unabhängig davon, ob sich ein Vorfall ereignet hat, oder nicht. Unter anderem auch deswegen sind z.B. viele nationale Eigen-Entwicklungen, wie z.B. BAIT, VAIT, etc. in DE im Anwendungsbereich von DORA inzwischen ausser Kraft gesetzt worden. 
• Der EU-Gesetzgeber hat sich zwar an bekannten Methoden orientiert, aber generell einen "agnostischen" und damit eigenständigen Ansatz gewählt und dabei oft eigene "Lessons learned" aus den letzten Jahren Aufsichtspraxis umgesetzt sowie Erkenntnisse aus den entsprechenden Branchen-Verbänden umgesetzt. Genau deswegen reicht oft sogar eine recht gute Umsetzung von ITIL oder ISO 2700x, etc. in Audits nicht mehr aus, sondern dient lediglich als Ausgangsbasis bzw. Grundlage (Originalzitat: BaFin für DE). 
• Hinweise auf die Komplexität und Historie sowie Hintergründe finden sich oft in den Erwägungsgründen, in den vor Veröffentlichung organisierten Konsultationen und FAQs, die aber Neu-Einsteigern und Hobby-Juristen i. d.R. nicht bekannt sind. Auch voran gegangene Diskussionen in einschlägigen Arbeitsgruppen werden natürlich im Gesetzestext nicht gesondert referenziert, bieten aber wichtige Informationen zur jeweiligen Tragweite und Auslegung der später veröffentlichten Regelungen und haben Relevanz in Prüfungen. 
• Daher reicht das auf die final veröffentlichten Gesetzes-Texte und ITSs/RTSs begrenzte Studium in den meisten Fällen nicht aus, da vom EU-Gesetzgeber und den involvierten Policy-Writern die eigenständige historische Entwicklung und der gesamtheitliche Kontext der vollständigen Bedeutung vieler Begrifflichkeiten oder Paradigmenwechsel als "unter Profis" bekannt voraus gesetzt wird. 
• In Audits wird so aus leider weit verbreitetem laienhaftem ?Scheinwissen" im Rahmen einer anscheinend erfolgreichen pragmatischen und leider oft auch zu "agilen" Umsetzung direkt ein akutes Bussgeld-Risiko. 
• Die Methodik der richtigen Auslegung von Gesetzen, Verordnungen und Verträgen lernen Juristen mühsam in den ersten Semestern des Studiums (z.B. grammatikalisch, systematisch, teleologisch oder eben historisch), ebenso die Hierarchie und Einschlägigkeit der jeweiligen Rechtstexte. 
• Hier prallen Methoden der Geisteswissenschaften und abweichende Logik der Naturwissenschaften oft aufeinander, was zu Defiziten und Findings in OSIs und anderen Aufsichtsprüfungen führt. 
• Einfaches Abhaken technischer Checklisten reicht nicht mehr aus, auch wenn es - oberflächlich betrachtet - zunächst ausreichend zu schein scheint. Neben dem "Was" ist oft auch das "Wie" und das "Warum" entscheident - insbesondere das Zustande-Kommen von Entscheidungen und deren Absicherung im Top-Management kann oft nicht nachgewiesen werden, weil wichtige Entscheidungsprotokolle fehlen. 
• Derartige Defizite im sogenannten "Reasoning" führen aber sehr schnell zu Zweifeln am "ordnungsgemässen Geschäftsbetrieb" und lösen weiter gehende Massnahmen bei den Auditoren aus. 
• Zudem werden fast immer andere Gesetze (Datenschutz aber auch Handelsrecht, Zivilrecht, Arbeitsrecht, etc.) mitbetroffen sein, die juristische Laien oft gar nicht kennen, oder aufgrund Hören-Sagen für nicht relevant halten.

Genau hier kann ich helfen:

• 30+ Jahre Expertise in der Unterstützung regulierter Branchen im Bereich IT Outsourcing und IT-Operations-Compliance - in den letzten ca. 5 Jahren insbes. im Bereich der DORA EU-Verordnung als Lex-Specialis zu NIS2, IT-Audit-Verteidigung und Digital Operational Resilience
• IT-Compliance ist komplex, aber nicht kompliziert. Mit drei Jahrzehnten Erfahrung in regulierten Branchen und erfolgreichen Audit-Verteidigungen unterstütze ich Sie belastbar und nachhaltig.

Datenschutz-Grundverordnung (DSGVO):

Eckpfeiler der EU-Agenda für digitale Rechte. Setzt den globalen Maßstab für den Schutz personenbezogener Daten und die Durchsetzung der Privatsphäre.

AI-Act:

Die weltweit erste umfassende KI-Verordnung. Führt risikobasierte Verpflichtungen für Anbieter und Betreiber von KI-Systemen sowie Regeln für GPAI-Modelle ein. Ziel ist die Gestaltung der globalen KI-Governance.

Digital Services Act (DSA):

Legt den Grundstein für die Regulierung von Online-Plattformen. Führt Sorgfaltspflichten, Risikomanagement und Transparenzpflichten für das gesamte Online-Ökosystem ein. Verpflichtet die wichtigsten Online-Plattformen zur Achtung der Grundrechte der Europäer.

Digital Markets Act (DMA):

Erlegt Online-Plattformen, die digitale Gatekeeper sind, Vorabverpflichtungen auf, um einen wettbewerbsfähigen Markteintritt zu ermöglichen und Marktfairness und Innovation zu gewährleisten.

Data Act:

Ermöglicht die breitere Nutzung von Industrie- und Internet-of-Things-Daten (IoT). Vermindert den Lock-in-Effekt von Cloud-Anbietern. Zentral für Europas Strategie für die Datenwirtschaft und die digitale Wettbewerbsfähigkeit.

Cyber Resilience Act (CRA):

Wegweisende Regulierung für vernetzte Produkte. Erfordert integrierte Sicherheit und schließt wichtige Cybersicherheitslücken in Hardware- und Software-Lieferketten.

Data Governance Act (DGA).

Führt neue Rahmenbedingungen für den Datenaustausch und vertrauenswürdige Vermittler ein. Er ergänzt den Data Act und unterstützt die europäischen Datenräume.

NIS 2-Richtlinie:

Erweitert die grundlegenden Cybersicherheitsvorschriften der EU. Deckt mehr Sektoren ab, sorgt für eine stärkere Aufsicht und harmonisiert die Reaktion auf Sicherheitsvorfälle.

Cybersecurity Act:

Verleiht der ENISA eine dauerhafte Rolle und schafft das EU-Zertifizierungssystem für Cybersicherheit ? die Grundlage für Vertrauen und Sicherheit.

Digital Operational Resilience Act (DORA):

Verpflichtet ein robustes IKT-Risikomanagement für den Finanzsektor und externe Technologieanbieter ? ein Konzept für sektorale Cyber-Resilienz.

Produkthaftungsrichtlinie (PLD):

Aktualisiert die EU-Haftungsregeln für das digitale Zeitalter. Deckt fehlerhafte Software, Updates und KI-Systeme unter verschuldensunabhängiger Haftung ab.

Produktsicherheitsverordnung (GPSR):

Überarbeitet die EU-Produktsicherheit für Online- und vernetzte Produkte. Verstärkt Rückverfolgbarkeit, Rückrufe und Marktpflichten.

Arbeitsprogramm der Kommission und Anhänge:

Legt die wichtigsten Strategien, Aktionspläne und Gesetzgebungsinitiativen dar, die die Kommission im Jahr 2025 auf den Weg bringen will.

Highlights:

35+ Jahre Erfahrung als Jurist und Informatiker

• Experte und Dozent im Bereich EU-Aufsichtsrecht und IT-Umsetzung
• Third-Party Management und IT Operations- / Cloud-Outsourcing
• IT-Audit und Due Diligence Experte inkl. Aufsichtsprüfungen
• IT Security und CyberSecurity Spezialwissen
• Erfahrener Strategy-, Business- und Regulatorik Analyst
• Interim CTO / CIO
• Krisenmanager

TOP-Skills:

• DORA 
• Regulatory Compliance 
• Due Diligence/IT Audit 
• Business Analyse 
• CyberSecurity 
• IT Compliance 
• Cloud Architektur 
• Outsourcing 
• 3rd Party Risikomanagement 
• Aufsichtsprüfung 
• Negotiation 
• IT Riskmanagement 
• IT Governance 
• IT Forensik 
• Supply Chain Management 
• Audit Defense 
• IT Vertragsmanagement 
• Business Analyse 
• IT Strategie 
• Operational Resilience 
• Security Standards: ITIL, ISO20000 COBIT, ISO 27001/2, COBIT, PCI-DSS, COBIT NIST, BSI Grundschutz 
• Interim CTO/CIO 
• Krisen-Management 
• Informationssicherheit 
• Ressourcen Bewusstsein

Skills:

• Der Digital Operational Resilience Act (DORA) ist Ende Januar 2023 in der EU in Kraft getreten ? MaRisk, BAIT, VAIT und nationale Gesetze in DE und im Rest Europas werden aktuell überarbeitet und strenger gefasst
• Gerade vor dem Hintergrund der nun drohenden Zwangs- und Bussgelder ist belastbare Beratung im Bereich Regulatorik-Compliance für die EU-Finanzbranchen in den folgenden Bereichen der Dokumentation essentiell:
  • Governance & Organization
  • Digital & Operational Resilience
  • IT Risk Management & Cyber Security
  • IT Incident Management
  • Third-Party Management
  • Vorbereitung und Begleitung von Behörden-Audits
• Die bisher geltenden Anforderungen der nationalen Behörden (z.B. in DE Bafin: MaRisk, MaGo, BAIT, VAIT, KAIT, etc.) werden aktuell entsprechend verschärft, während die entsprechenden RTS durch die EU-Aufsichtsbehörden federführend erstellt werden
• Betroffen von DORA sind in den EU-Finanzbranchen:
  • Kreditinstitute (Banken)
  • Zahlungs-Provider / E-money Anbieter
  • Investment Firmen
  • Trading Unternehmen
  • Versicherungen
  • Crowdfunding Services
  • ICT/Cloud und weitere 3rd Party IT Service Provider der o.g. EU-Finanz-Institute, z.B. Personal-Dienstleister als Generalunternehmer von IT-Leistungen
• Ich biete jederzeit einen aktuellen und belastbaren Kenntnis-Stand zu:
  • aktuelle aufsichtliche Prioritäten (Supervisory Priorities) der Europäischen Aufsichtsbehörden und Organe (EC, ENISA, ESAs) 2023 (inkl. Anforderungen aus DORA)
  • Empfehlungen der Regulierungs- und Aufsichtsinstanzen in der Europäischen Union (EU)
  • Anforderungen an interne Revision / Governance / Zulassungsverfahren
  • Anforderungen der Aufsicht an kritische Infrastrukturen und Auslagerung bzw. Ausgliederung von IT-Dienstleistungen
  • Anforderungen an Auslagerungen, digitale Prozesse, Betriebsmodelle sowie IT-Sicherheit, Konzentrationsrisiken bei Auslagerungen
  • NIS / NIS-2 IT // DE-Sicherheitsgesetz
  • IT-Outsourcing, Public Cloud Outsourcing (AWS, MS, Google, SF, SAP, etc.)
  • Vendor- / Provider- /Lieferketten Due Diligence und ESG-Qualifikation
  • Compliance zum Aufsichtsrecht der regulierten (Finanz-) Branchen (EBA, ESMA, EIOPA, BaFin, etc.)
  • Sub-Unternehmerketten Value- / Suply- Chain Transparenz
  • Umsetzung EBA / EIOPA / ESMA Guidelines und Abgleich MaRisk / BAIT / VAIT / KAIT / ZAIT
  • Umsetzung IT-, Risiko- und Outsourcing-Regulatorik in der Finanz- und Versicherungsbranche EU, DE, GB (teilw. US, Asia)
  • Umsetzung Anforderungen EIOPA und EBA-ICT-Risk-Management, EBA Internal Governance (EU-RL, MaRisk/MaGo, MaRisk, BAIT/VAIT/KAIT, MiFID II, PSD2, CRD, SREP, etc.)
  • Begleitung und Vorbereitung von Sonderprüfungen/OSI´s durch EBA, EZB, Bundesbank, BaFin etc. z.B. nach § 44 KWG
  • Auditierung von Beschaffungs- und Providermanagement-Prozessen (2nd line of defense)
  • Unterstützung der Vertragsverhandlung (Financial Services Regulation Requirements)
  • Anforderungen an die Vorsorge bei IT- und Cyberrisiken (DORA - digital operational resilience act RTS proposal)
• Nicht unwesentlich ist dabei meine langjährige Kenntnis von IT- und Cloud Architekturen als IT-Generalist mit Technologie-agnostischem Ansatz
• Weitere bekannte Standards aus dem US Kontext:
• • Federal agencies: Federal Information Security Management Act (FISMA)
  • U.S. Financial Institutions: Gramm-Leach Bliley Act (GBLA)
  • US Healthcare organizations: Health Insurance Portability and Accountability Act (HIPAA)
  • US Corporations: Sarbanes-Oxley Act (SOX)
  • US Payment Card Industry: Payment Card Industry Data Security Standard (PCI-DSS)
  • US Medizinprodukte: MDSAP ? Medical Device Single Audit Program
  • US Unternehmens-Bilanzen: EDGAR

KERNKOMPETENZEN:

• Regulatorisches Fachwissen
  • EU-Regulierung: DORA, NIS2, CER, CRA, AI-Act, DSA, DMA, Data Act, Cyber Resilience Act
  • Finanzaufsicht: EBA, EIOPA, ESMA, MaRisk, BAIT, VAIT, EBA Guidelines, ?
  • Datenschutz & Security: ENISA Guidelines, ISO 27001, TISAX, BSI-Grundschutz, NIST CSF
  • KRITIS: BSI, IT-Sicherheitsgesetz, Kritische Infrastrukturen
• Operative Expertise
  • IT-Audit Vorbereitung, Management und Defense (EZB, BaFin, FINMA, Wirtschaftsprüfer)
  • Third-Party Risk Management und Lieferkettenmanagement (Supply Chain)
  • Cloud Governance (AWS, Azure, Google Cloud, Salesforce)
  • Digital Operational Resilience Testing (DORA, +TLPT)
  • IT-Outsourcing: Vertragsverhandlung, Due Diligence, Exit-Management
  • Incident Management und Cyber Security Response
  • Governance, Risk & Compliance (GRC) Frameworks
• Methodische Kompetenz
• • ITIL, COBIT, ISO 27001, NIST, Three Lines of Defense
  • Risk Assessment und Risk Management Framework
  • Contract Management und SLA-Design
  • DevSecOps Security Assessment
  • Business Continuity Management (BCM)

TECHNOLOGIE-STACK & TOOLS:

• Cloud Platforms: AWS, Microsoft Azure, Google Cloud Platform, Salesforce
• Compliance Tools: GRC-Plattformen, Risk Assessment Tools, Audit Management Systems
• Security Tools: Nessus, SIEM-Systeme, Vulnerability Scanners, Penetration Testing Tools
• Documentation: ARIS, Visio, Confluence, SharePoint
• Project Management: MS Project, Jira, Agile/Scrum Methodologies
• Standards & Frameworks: ITIL, COBIT, ISO 27001, NIST CSF, CIS Controls, OWASP

Branchen-Expertise:

• Finanzdienstleistungen (Banken, Versicherungen, Asset Management) 
• Kritische Infrastrukturen (Energie, Telekommunikation) 
• Industrie & Mittelstand 
• IT-Service Provider

Arbeitsweise:

• Remote & On-Site (DACH-weit) 
• Flexible Projektlaufzeiten (Interim Management, Projektberatung, Task Force)
• Kurzfristige Verfügbarkeit

Besondere Stärken:

• Schnelle Einarbeitung in komplexe regulatorische Anforderungen 
• Brückenbauer zwischen Technik, Recht und Business 
• Pragmatische, umsetzungsorientierte Beratung 
• Nachweisliche Erfolge bei Audit-Defense 
• Train-theTrainer Expertise