DORA, IT Regulatorik, Governance, Risk-Management, Digitalisierung, Aufsichtsrecht, IT Architektur, Outsourcing, IT Security, Cloud
Aktualisiert am 25.01.2025
Profil
Freiberufler / Selbstständiger
Remote-Arbeit
Verfügbar ab: 26.01.2025
Verfügbar zu: 100%
davon vor Ort: 20%
DORA
IT Compliance
IT Audit
Cloud Architektur
Outsourcing
3rd Party
Risikomanagement
Aufsichtsprüfung
Negotiation
IT Riskmanagement
IT Governance
Cyber Security
IT Forensik
ESG
Supply Chain Management
Lieferantenbewertung
AI
Audit Defense
Onsite Inspections
Vertragsmanagement
Business Analyse
Design Thinking
Regulatory Affairs
Englisch
Muttersprache
Deutsch
Muttersprache

Einsatzorte

Einsatzorte

Stuttgart (+200km) Frankfurt am Main (+200km)
Deutschland, Schweiz, Österreich
möglich

Projekte

Projekte

1 Jahr 1 Monat
2024-01 - heute

Freiberufliche Expertise für Finanzinstitute zu typischen DORA Compliance Themen insbes. Policies und Verträge 

Externer Experte
Externer Experte
  • Vorbereitung oder Review von Policies und Verfahrensregeln anhand DORA Vorgaben
  • Vorbereitung oder Review von Vertragsunterlagen
  • Prozesse der Zusammenarbeit
  • Konzeption und Durchführung von Operational Resilience Tests/Audits
  • Durchführung von Verhandlungen mit Dritt-Parteien zu SLAs (Dienstgüte-Vereinbarungen)
  • Design von Exit-Strategien
  • Risiko-Bewertungen und Due Diligence
  • Implementierung der folgenden DORA-Anforderungen:
    - Vorfall- und Berichtswesen,
    - IT Risikomanagement,
    - Digital Operational Resiience Testing Programm,
    - Threat Led Pen-Testing Konzeption
    - 3rd Party Risks und Wertschöpfungsketten (Sub-Unternehmer)
    - Third Party Register inkl. Wertschöpfungsketten und LEI-Info-Abgleich
    - Incident bzw. Vorfalls- Meldungen
    - Provider-Management
    - etc.
4 Jahre 7 Monate
2020-07 - heute

Beratung im Bereich Outsourcing in die Public Cloud

  • Szenarien-orientierte Risiko-Analyse des Outsourcing Vorhabens
  • Einbeziehung von Cloud-Integratoren
  • GAP Analyse der vertraglichen Regelungen mit Outsourcing-Anbieter gegen regulatorische Anforderungen (MaRisk 2021, BAIT 2021, ENISA Cloud Certification, EBA Guidelines, etc.)
  • Neu-Ordnung der internen Governance
  • Analyse der Sub-Unternehmer-Wertschöpfungsketten
  • Vertragsanalyse, Verhandlung und Due Diligence mit AWS, Microsoft, Google, SAP, Salesforce, etc
  • Vorbereitung der BaFin Prüfung nach §44KWG zu Outsourcing Themen
Oldenburgische Landesbank
Nord - Deutschland
9 Monate
2023-06 - 2024-02

IT Audit Defense im Rahmen eines Jahresabschlusses


(Confidential) - KRITIS, ISO 27001, NIST, TISAX, CSA sowie GDPR  
2 Monate
2023-05 - 2023-06

IT Audit für Organ öffentlichen Rechts im Bereich kritische Infrastrutur)

Lead Auditor
Lead Auditor
3 Monate
2023-04 - 2023-06

Durchführung IT Cyber Security SDLC Audit

  • Durchführung IT-Audit CI/CD Prozesse innerhalb einer DevSecOps Organisation eines Cloud Providers, SDLC, Infracstructure as a Code, etc
  • Vulnerability Chaining, , Jenkings, GIT, CVEs, CVSS, SSVC

IT Security Audit Cloud Provider
4 Monate
2023-03 - 2023-06

IT und Datenschutz-Audit Öffentlicher Bereich Gesundheit



Kassenärztliche Vereinigung NO Düsseldorf
Durchführung IT-Audit (KRITIS, ISO 27001, NIST, CSA) sowie GDPR Audit  
3 Monate
2023-01 - 2023-03

Defense -EBA Aufsichtsprüfung

  • Begleitung EBA / EZB-Aufsichtsprüfung
  • NDA in Kraft kann aufgrund Verschwiegenheitsverpflichtung nicht offengelegt werden

6 Monate
2022-06 - 2022-11

Erst-Outsourcing in die Microsoft Cloud M365/ Azure

  • Outsourcing-Wechsel von Unix Hoster inkl. Libre Office in die MS 365 Cloud inkl. Infrastruktur unter Beachtung der Regulatorik und Compliance Anforderungen EIOPA Guidelines, MAGO/VAIT, DORA

Stuttgarter Versicherung
Deutschland
4 Monate
2022-03 - 2022-06

Erstellung weltweite IT Strategie

  • Niederlassungen in 14 Ländern / Umstellung auf SIAM, etc
  • Sicherstellung der unterschiedlichen internationalen Compliance und Datenschutzanforderungen ? Vorbereitung Continous Auditing

Traditionsunternehmen Zwilling AG
4 Monate
2022-01 - 2022-04

Risiko-Bewertung sonst. IT Fremdbezüge

  • Prozessanpassungen aufgrund neuer MaRisk 08/2021
  • Audit der Einhaltung bei IT Dienstleistern

Bank
Nord-Deutschland
3 Monate
2021-06 - 2021-08

Due Diligence Beratung im Bereich Outsourcing in Public Cloud

  • Due Diligence des Outsourcing Vorhaben
  • entspr. regulatorische Anforderungen (MaRisk 2021, ZAIT / BAIT 2021, EBA Guidelines Outsourcing und EBA Guidelines ICT-Risk-Management, etc.)
  • Analyse der Sub-Unternehmer-Wertschöpfungsketten inkl. der vertraglich zugesicherten Audit- und Weisungsrechte
  • Vertragsanalyse, Verhandlung 
Groß-Bank
Hessen (DE)
5 Monate
2021-01 - 2021-05

Beratung im Bereich Outsourcing Bank in Public Cloud

  • Risiko-Analyse im Outsourcing Vorhaben
  • Nachverhandlung der Vertrag-Templates der Outsourcing-Anbieter entspr. regulatorische Anforderungen (MaRisk 2021, ZAIT / BAIT 2021, EBA Guidelines Outsourcing und EBA Guidelines ICT-Risk-Management, etc.)
  • Analyse der Sub-Unternehmer-Wertschöpfungsketten inkl. der vertraglich zugesicherten Audit- und Weisungsrechte
  • Vertragsanalyse, Verhandlung und Due Diligence mit AWS, Microsoft, Google, Genesys, etc
Team-Bank
Bayern
6 Monate
2020-01 - 2020-06

Beratung im Bereich Cloud-Outsourcing

  • Szenarien-orientierte Risiko-Analyse des Outsourcing Vorhabens in die Cloud
  • GAP Analyse zwischen vertraglichen Regelungen mit Kunden und Outsourcing Anbieter sowie Regulatorischen Anforderungen (EBA Guidelines, etc.)
  • Etablierung einer 3 lines of defense Governance
  • Verhandlungen mit den potentiellen Providern
  • Verhandlungen mit den ca. 300 institutionellen Kunden (Banken)
dwp Bank
5 Monate
2019-07 - 2019-11

Task-Force zur Korrektur von Findings und Moniten

Task-Force zur Korrektur von Findings und Moniten im Bereich Outsourcing beim Outsourcing-Dienstleister nach Prüfung der Aufsicht (Solvency II, § 32 VAG, MaGo, VAIT, EUDSGVO, etc.)
  • Neu-Bewertung der Risiken des Outsourcing Vorhabens
  • GAP Analyse zwischen vertraglichen Regelungen, Status und Soll (EIOPA-Vorgaben)
  • Durchführung von Korrektur-Arbeiten im TaskForce Modus zur Vorbereitung einer BaFin Prüfung
  • Neu-Strukturierung der Outsourcing-Governance analog 3 Lines of Defense
  • Überarbeitung IT Reporting-Strukturen im Hinblick auf Vertrag und VAIT Anforderungen
Viridium SE (Groß-Versicherung)
10 Monate
2018-08 - 2019-05

Etablierung Zentrales Auslagerungsmanagement

Etablierung Zentrales Auslagerungsmanagement (2nd LoD) mit weltweiter Verantwortung
  • Prüfen von Sachverhalten auf Auslagerungsrelevanz im Auftrag der Revision gemäß den Vorgaben aus der MaRisk AT9 bzw. den nationalen Anforderungen der Niederlassungen (FAC, MAS, EBA, etc)
  • Analyse der Gaps zwischen neuen Regulatorik-Anforderungen (EBA, FAC, BaFin, etc.) und vertraglichen bzw. faktischem StatusQuo
  • Monitoring der regulatorischen Neuerungen im Bereich IT und Outsourcing der Niederlassungen außerhalb der EU
  • Beratung und Begleitung der Fachbereiche in D im Ausland bei der Erstellung der Risikoanalysen zu Auslagerungen (inbes. mit Bezug, CLOUD, KRITIS, Cyber-Security, etc.)
  • Beratung der Fachbereiche bei Risikosteuerung und Reporting an Vorstände und Aufsicht
  • Auswertung aller Auslagerungsberichte (national und international)
  • Umsetzung der EU-weiten regulatorischen Neuerungen (insbes. EBA GL)
  • Einführung einheitlicher Regeln für die Bewertung von Providern nach internationalen Standards
  • Abstimmung mit Fachbereichen, Datenschutz, IT-Security, Risk-Management, etc.
  • LBBW (dt. Landesbank m. Niederlassungen in D, GB, US, Singapur, etc.)
LBBW (dt. Landesbank)
Niederlassungen in D, GB, US, Singapur
1 Jahr 7 Monate
2016-11 - 2018-05

Begleitung Outsourcing Themen KWG25, MaRisk, BAIT, MaGo, KRITIS, EUDSGVO, etc

?Bereitstellung von Beratungsleistung für das Provider-Management des Kunden im Kontext Aus- und Weiterverlagerungen von Datenverarbeitung und Wirtschaftsinformatik im Bankwesen unter Beachtung aktueller Anforderungen der Aufsichtsbehörden BaFin, EZB und Bundesbank, EBA sowie der allgemeinen gesetzlichen Anforderungen in den Bereichen:

  • Bürgerliches Recht
  • Handels- und Gesellschaftsrecht
  • Arbeits- und (Wirtschafts)- Strafrecht
  • Datenschutzrecht
  • Entwicklung und Einführung von Konzepten zur Organisationsentwicklung unter Beachtung der regulatorischen Rahmenbedingungen
  • Aufbau eines Vertragsbaukastens
  • Beratung im Rahmen von Vertragsverhandlungen mit Dienstleistern
  • Abstimmung zwischen internen und externen Kunden, Lieferanten und eigenen Fachbereichen
  • Konzeption, Erprobung und Überführung von Strukturen und Prozessen zur Adressierung regulatorischer Anforderungen im Providermanagement ?
  • Vorbereitung Etablierung ?Zentrales Auslagerungs-Management?
    • Bewertung von Outsourcing Vorhaben
    • Begleitung der Korrektur-Projekte nach EZB Prüfung
    • Neu-Strukturierung von Outsourcing-Bewertungen
    • Neu-Bewertung der Risiken von wesentlichen Auslagerungen
    • Überarbeitung IT Report-Strukturen im Hinblick auf BCBS 239, MaRisk 2017, BA-IT
Finanz Informatik (S-Finanzgruppe)
1 Jahr 1 Monat
2015-08 - 2016-08

Re-Design existierender IT Auslagerungen im regulierten Bereich (KWG, MaRisk, etc.)

  • Fachliche Leitung des Neudesign der Verträge und Governance aufgrund Restrukturierung
  • Definition neuer Governance- und Organisations- Schnittstellen, sowie optimierter Prozesse im Provider-Management
  • Entwurf der entsprechenden Auslagerungsverträge
  • Überarbeitung IT Report-Strukturen im Hinblick auf BCBS 239 , MaRisk 2016
  • Einführung von Tool-Sets
Postbank AG
7 Monate
2014-11 - 2015-05

Vorbereitung KWG 44 Prüfung

  • Backup der Projektleitung im Bereich operative Governance und Outsourcing
  • Definition von technischen und organisatorischen Schnittstellen und Maßnahmen
  • Etablierung des Provider-Management
ING DiBa
1 Jahr 2 Monate
2013-07 - 2014-08

Design der Service Delivery Prozesse im Outsourcing Verhältnis

(KRITIS-Relevanz in der Energie-Branche)
  • Projektleitung ?Design der operativen Governance?
  • Definition von technischen und organisatorischen Schnittstellen und Maßnahmen
  • Abbildung der Governance, Risk und Compliance Prozesse
  • Konzeption und Erstellung der erforderlichen RACI Matrizen sowie Cross-Referenz Tabellen für Schnittstellen inkl. Abhängigkeiten
  • Definition einer Information-Governance
  • Abstimmung und Definition der KPI´s und LÜP´s und Report-Inhalte
  • Dokumentation wesentlicher Prozesse in ARIS und Visio als WSK
Amprion GmbH
6 Monate
2013-01 - 2013-06

Setup und Coaching der Retained Organization für ein Auslagerungsvorhaben (ENwG)

  • Design der Steuerungs-Prozesse in Adonis
  • Definition von Schnittstellen und Leistungsübergabepunkte

RWE AG
9 Monate
2012-04 - 2012-12

Interim Management Transition-Out ohne vertragliche Grundlage (ungeplanter Exit)

  • Projektleitung
  • Claim-Management
  • Verhandlungs-Management

RWE IT GmbH

Aus- und Weiterbildung

Aus- und Weiterbildung

1 Jahr 10 Monate
2023-04 - heute

Security Risks in AI and Machine Learning: Categorizing Attacks and Failure Modes

Skills:

  • Information Security 
  • Third Party Risk Management (TPRM) 
  • Cloud Computing 
  • Operational Risk 
  • External Audit 
  • Business Analysis 
  • Regulatory Audits 
  • IT Audit 
  • Risk Management

1 Monat
2023-04 - 2023-04

Using SABSA to Architect Cloud SecurityUsing SABSA to Architect Cloud Security

Skills:

  • Cloud Computing 
  • Operational Risk 
  • External Audit 
  • Regulatory Audits 
  • IT Audit 
  • Risk Management 
  • Due Diligence

1 Monat
2023-04 - 2023-04

Soft Skills for Information Security Professionals

Skills:

  • Information Security 
  • Third Party Risk Management (TPRM) 
  • IT Audit

1 Monat
2023-04 - 2023-04

IT Security Foundations: Core Concepts

Skills:

  • Third Party Risk Management (TPRM) 
  • IT Audit 
  • IT Security Operations 
  • Due Diligence

1 Monat
2023-04 - 2023-04

Scaling Your Cybersecurity and Privacy Program

Skills:

  • Information Security 
  • US Law 
  • Cloud Computing 
  • Operational Risk 
  • External Audit 
  • Business Analysis 
  • Regulatory Audits 
  • IT Audit 
  • Risk Management 
  • Cybersecurity 
  • Due Diligence

1 Monat
2023-04 - 2023-04

Practical Cybersecurity for IT Professionals

Skills:

  • Information Security 
  • Cloud Computing 
  • Operational Risk 
  • External Audit 
  • Regulatory Audits 
  • IT Audit 
  • Risk Management 
  • Cybersecurity 
  • Due Diligence

1 Monat
2023-04 - 2023-04

Learning Vulnerability Management

Skills:

  • Third Party Risk Management (TPRM) 
  • Cloud Computing 
  • Business Analysis 
  • IT Audit 
  • Vulnerability Management 
  • Due Diligence

1 Monat
2023-04 - 2023-04

Learning Threat Modeling for Security Professionals

Skills:

  • Third Party Risk Management (TPRM) 
  • Threat Modeling 
  • Cloud Computing 
  • Business Analysis 
  • IT Audit

1 Monat
2023-04 - 2023-04

Learning Cyber Incident Response and Digital Forensics

Skills:

  • Business Analysis
  • Due Diligence

1 Monat
2023-04 - 2023-04

Learning Computer ForensicsLearning Computer Forensics

Skills:

  • Computer Forensics 
  • Third Party Risk Management (TPRM) 
  • Cloud Computing 
  • Business Analysis 
  • IT Audit 
  • Due Diligence

1 Monat
2023-04 - 2023-04

IT and Cybersecurity Risk Management Essential Training

Skills:

  • IT Risk Management 
  • Information Security 
  • Third Party Risk Management (TPRM) 
  • Cloud Computing 
  • Operational Risk 
  • External Audit 
  • Regulatory Audits 
  • IT Audit 
  • Risk Management 
  • Cybersecurity 
  • Due Diligence

1 Monat
2023-04 - 2023-04

IT Security Foundations: Operating System Security

Skills:

  • Cybersecurity 
  • Due Diligence

1 Monat
2023-04 - 2023-04

IT Security Foundations: Network Security

Skills:

  • IT Security Operations
  • Due Diligence

Position

Position

  • Berater (freelance)
  • Interim Manager (freelance)
  • DORA
  • IT Regulatorik
  • IT Audit
  • Due Diligence
  • Governance
  • Risk-Management
  • Aufsichtsrecht
  • IT Architektur
  • Outsourcing
  • IT Security
  • Cloudsecurity
  • DevSecOps

Kompetenzen

Kompetenzen

Top-Skills

DORA IT Compliance IT Audit Cloud Architektur Outsourcing 3rd Party Risikomanagement Aufsichtsprüfung Negotiation IT Riskmanagement IT Governance Cyber Security IT Forensik ESG Supply Chain Management Lieferantenbewertung AI Audit Defense Onsite Inspections Vertragsmanagement Business Analyse Design Thinking Regulatory Affairs

Schwerpunkte

Regulatory Compliance bei operativen Risiken in der EU Finanzbranche

Produkte / Standards / Erfahrungen / Methoden

Regulatorik
Experte
Business Analyse
Experte
Compliance
Experte
3rd Party
Experte
IT Security
Experte
ESG
Experte
Non financial Risk
Experte
DueDiligence
Experte
Cybersecurity
Experte

Profil:

  • Ich bin ausgebildeter Jurist und Informatiker, verfüge über mehr als 30 Jahre operative Erfahrung in den regulierten Bereichen IT Organisation und Infrastruktur sowie 3rd Party / Outsourcing Management mit den Schwerpunkten DueDiligence/Audit, Governance, Risk, Compliance, Resilience, Digitalisierung, Business Analyse, Datenschutz, etc.. und bin ein Fan von ständiger fach-übergreifender Weiterbildung
  • Als bekennender Analytiker und Methodiker verfolge ich in der Regel einen agnostischen Ansatz, und folge nicht der Produkt-, Schulungs- oder Marketingpolitik bestimmter Hersteller oder den daraus resultierenden Glaubensbekenntnissen (leider oft nur Hören-Sagen aufgrund guten Marketings oder guten Lobby-Arbeit) einzelner Mitarbeiter oder Berater von Kundenunternehmen
  • Meine Ziele:
    • Mängelfreie Prüfungs- oder Inspektionsberichte von zuständigen Behörden, Aufsichten und damit aufgrund der Beratung möglichst nicht (!) verhängte Bussgelder bzw. die erfolgreiche Verhinderung von weiteren Korrektur-Sanktionen
    • die erfolgreiche Verhinderung des Eintritts von Risiken, die Schäden zu Lasten der von mir betreuten Unternehmen bedeuten können
  • Ich verfüge (oft aus reiner operativer Notwendigkeit der Verifizierung und Plausibilisierung von Laien-Aussagen anderer) über hersteller-spezifisches in-depth Know-How (siehe Zertifizierungen), strebe daher auch keine Tätigkeit als weisungsgebundener Erfüllungsgehilfe einzelner Mitarbeiter an
  • Ich helfe Unternehmen in Finanzmärkten und anderen kritischen Branchen, wie z.B. Energiewirtschaft als Interim Manager auf Temp- oder Freelancer-Basis dabei, kritische oder regulatorische Compliance Anforderungen in ihren Projekten oder für die Aufrechterhaltung des laufenden ordnungsgemässen Betriebes solange sicher zu stellen, bis geeignetes Personal auf Dauer gefunden wird und unterstütze auch gern bei der Auswahl und Einarbeitung in Hinblick auf einen reibungslosen Übergang
  • Das verschafft Ihnen die Möglichkeit, alle Compliance Auflagen auch jetzt schon einzuhalten, selbst dann, wenn der Wunsch-Kandidat oder die Wunschkandidatin nicht direkt zur Verfügung steht
  • Kurz gesagt:
    • Ich plane nicht selbst auf Dauer zu bleiben
    • ich helfe Lücken solange abzudecken, bis Sie auf Dauer jemanden gefunden haben
  • Belastbar und prüfungssicher. - Nicht wenige Aufsichtsprüfungen habe ich selbst begleitet
    • Ein erster Schritt ist es, im Innenverhältnis für die notwendige Dokumentation der internen Richtlinien und Verfahren sowie der entsprechenden Prozesse und Arbeitsanweisungen zu sorgen
    • Das gleiche gilt entsprechend im Aussenverhältnis in Bezug auf 3rd Party Beziehungen, ob es nun Outsourcing, schlichtes Procurement oder andere Arten von Dauerschuldverhältnissen mit dritten sind
    • Zum dritten ist dafür zu sorgen, dass entsprechende Beweise (Reports, Evidenzen, Protokollarien, Beschlüsse, etc.) dafür vorhanden sind, dass das, was zu tun vorgegeben wurde, auch tatsächlich gemacht wurde
  • Hierbei hilft mir eine solide Methodik aufgrund meiner juristischen Ausbildung
  • Mit anderen Worten: Ich spreche fliessend regulatorisch


Highlights:

35+ Jahre Erfahrung als Jurist und Informatiker

  • Experte und Dozent im Bereich EU-Aufsichtsrecht und IT-Umsetzung
  • Third-Party Management und IT Operations- / Cloud-Outsourcing
  • IT-Audit und Due Diligence Experte inkl. Aufsichtsprüfungen
  • IT Security und CyberSecurity Spezialwissen
  • Erfahrener Strategy-, Business- und Regulatorik Analyst
  • Interim CTO / CIO
  • Krisenmanager


TOP-Skills:

  • DORA 
  • Regulatory Compliance 
  • Due Diligence/IT Audit 
  • Business Analyse 
  • CyberSecurity 
  • IT Compliance 
  • Cloud Architektur 
  • Outsourcing 
  • 3rd Party Risikomanagement 
  • Aufsichtsprüfung 
  • Negotiation 
  • IT Riskmanagement 
  • IT Governance 
  • IT Forensik 
  • Supply Chain Management 
  • Audit Defense 
  • IT Vertragsmanagement 
  • Business Analyse 
  • IT Strategie 
  • Operational Resilience 
  • Security Standards: ITIL, ISO20000 COBIT, ISO 27001/2, COBIT, PCI-DSS, COBIT NIST, BSI Grundschutz 
  • Interim CTO/CIO 
  • Krisen-Management 
  • Informationssicherheit 
  • Ressourcen Bewusstsein


Skills:

  • Der Digital Operational Resilience Act (DORA) ist Ende Januar 2023 in der EU in Kraft getreten ? MaRisk, BAIT, VAIT und nationale Gesetze in DE und im Rest Europas werden aktuell überarbeitet und strenger gefasst
  • Gerade vor dem Hintergrund der nun drohenden Zwangs- und Bussgelder ist belastbare Beratung im Bereich Regulatorik-Compliance für die EU-Finanzbranchen in den folgenden Bereichen der Dokumentation essentiell:
    • Governance & Organization
    • Digital & Operational Resilience
    • IT Risk Management & Cyber Security
    • IT Incident Management
    • Third-Party Management
    • Vorbereitung und Begleitung von Behörden-Audits
  • Die bisher geltenden Anforderungen der nationalen Behörden (z.B. in DE Bafin: MaRisk, MaGo, BAIT, VAIT, KAIT, etc.) werden aktuell entsprechend verschärft, während die entsprechenden RTS durch die EU-Aufsichtsbehörden federführend erstellt werden
  • Betroffen von DORA sind in den EU-Finanzbranchen:
    • Kreditinstitute (Banken)
    • Zahlungs-Provider / E-money Anbieter
    • Investment Firmen
    • Trading Unternehmen
    • Versicherungen
    • Crowdfunding Services
    • ICT/Cloud und weitere 3rd Party IT Service Provider der o.g. EU-Finanz-Institute, z.B. Personal-Dienstleister als Generalunternehmer von IT-Leistungen
  • Ich biete jederzeit einen aktuellen und belastbaren Kenntnis-Stand zu:
    • aktuelle aufsichtliche Prioritäten (Supervisory Priorities) der Europäischen Aufsichtsbehörden und Organe (EC, ENISA, ESAs) 2023 (inkl. Anforderungen aus DORA)
    • Empfehlungen der Regulierungs- und Aufsichtsinstanzen in der Europäischen Union (EU)
    • Anforderungen an interne Revision / Governance / Zulassungsverfahren
    • Anforderungen der Aufsicht an kritische Infrastrukturen und Auslagerung bzw. Ausgliederung von IT-Dienstleistungen
    • Anforderungen an Auslagerungen, digitale Prozesse, Betriebsmodelle sowie IT-Sicherheit, Konzentrationsrisiken bei Auslagerungen
    • NIS / NIS-2 IT // DE-Sicherheitsgesetz
    • IT-Outsourcing, Public Cloud Outsourcing (AWS, MS, Google, SF, SAP, etc.)
    • Vendor- / Provider- /Lieferketten Due Diligence und ESG-Qualifikation
    • Compliance zum Aufsichtsrecht der regulierten (Finanz-) Branchen (EBA, ESMA, EIOPA, BaFin, etc.)
    • Sub-Unternehmerketten Value- / Suply- Chain Transparenz
    • Umsetzung EBA / EIOPA / ESMA Guidelines und Abgleich MaRisk / BAIT / VAIT / KAIT / ZAIT
    • Umsetzung IT-, Risiko- und Outsourcing-Regulatorik in der Finanz- und Versicherungsbranche EU, DE, GB (teilw. US, Asia)
    • Umsetzung Anforderungen EIOPA und EBA-ICT-Risk-Management, EBA Internal Governance (EU-RL, MaRisk/MaGo, MaRisk, BAIT/VAIT/KAIT, MiFID II, PSD2, CRD, SREP, etc.)
    • Begleitung und Vorbereitung von Sonderprüfungen/OSI´s durch EBA, EZB, Bundesbank, BaFin etc. z.B. nach § 44 KWG
    • Auditierung von Beschaffungs- und Providermanagement-Prozessen (2nd line of defense)
    • Unterstützung der Vertragsverhandlung (Financial Services Regulation Requirements)
    • Anforderungen an die Vorsorge bei IT- und Cyberrisiken (DORA - digital operational resilience act RTS proposal)
  • Nicht unwesentlich ist dabei meine langjährige Kenntnis von IT- und Cloud Architekturen als IT-Generalist mit Technologie-agnostischem Ansatz
  • Weitere bekannte Standards aus dem US Kontext:
    • Federal agencies: Federal Information Security Management Act (FISMA)
    • U.S. Financial Institutions: Gramm-Leach Bliley Act (GBLA)
    • US Healthcare organizations: Health Insurance Portability and Accountability Act (HIPAA)
    • US Corporations: Sarbanes-Oxley Act (SOX)
    • US Payment Card Industry: Payment Card Industry Data Security Standard (PCI-DSS)
    • US Medizinprodukte: MDSAP ? Medical Device Single Audit Program
    • US Unternehmens-Bilanzen: EDGAR

Branchen

Branchen

  • Kreditinstitute (Banken)
  • Zahlungs-Provider / E-money Anbieter
  • Investment Firmen
  • Trading Unternehmen
  • Versicherungen
  • Crowdfunding Services
  • ICT/Cloud Anbieter

Einsatzorte

Einsatzorte

Stuttgart (+200km) Frankfurt am Main (+200km)
Deutschland, Schweiz, Österreich
möglich

Projekte

Projekte

1 Jahr 1 Monat
2024-01 - heute

Freiberufliche Expertise für Finanzinstitute zu typischen DORA Compliance Themen insbes. Policies und Verträge 

Externer Experte
Externer Experte
  • Vorbereitung oder Review von Policies und Verfahrensregeln anhand DORA Vorgaben
  • Vorbereitung oder Review von Vertragsunterlagen
  • Prozesse der Zusammenarbeit
  • Konzeption und Durchführung von Operational Resilience Tests/Audits
  • Durchführung von Verhandlungen mit Dritt-Parteien zu SLAs (Dienstgüte-Vereinbarungen)
  • Design von Exit-Strategien
  • Risiko-Bewertungen und Due Diligence
  • Implementierung der folgenden DORA-Anforderungen:
    - Vorfall- und Berichtswesen,
    - IT Risikomanagement,
    - Digital Operational Resiience Testing Programm,
    - Threat Led Pen-Testing Konzeption
    - 3rd Party Risks und Wertschöpfungsketten (Sub-Unternehmer)
    - Third Party Register inkl. Wertschöpfungsketten und LEI-Info-Abgleich
    - Incident bzw. Vorfalls- Meldungen
    - Provider-Management
    - etc.
4 Jahre 7 Monate
2020-07 - heute

Beratung im Bereich Outsourcing in die Public Cloud

  • Szenarien-orientierte Risiko-Analyse des Outsourcing Vorhabens
  • Einbeziehung von Cloud-Integratoren
  • GAP Analyse der vertraglichen Regelungen mit Outsourcing-Anbieter gegen regulatorische Anforderungen (MaRisk 2021, BAIT 2021, ENISA Cloud Certification, EBA Guidelines, etc.)
  • Neu-Ordnung der internen Governance
  • Analyse der Sub-Unternehmer-Wertschöpfungsketten
  • Vertragsanalyse, Verhandlung und Due Diligence mit AWS, Microsoft, Google, SAP, Salesforce, etc
  • Vorbereitung der BaFin Prüfung nach §44KWG zu Outsourcing Themen
Oldenburgische Landesbank
Nord - Deutschland
9 Monate
2023-06 - 2024-02

IT Audit Defense im Rahmen eines Jahresabschlusses


(Confidential) - KRITIS, ISO 27001, NIST, TISAX, CSA sowie GDPR  
2 Monate
2023-05 - 2023-06

IT Audit für Organ öffentlichen Rechts im Bereich kritische Infrastrutur)

Lead Auditor
Lead Auditor
3 Monate
2023-04 - 2023-06

Durchführung IT Cyber Security SDLC Audit

  • Durchführung IT-Audit CI/CD Prozesse innerhalb einer DevSecOps Organisation eines Cloud Providers, SDLC, Infracstructure as a Code, etc
  • Vulnerability Chaining, , Jenkings, GIT, CVEs, CVSS, SSVC

IT Security Audit Cloud Provider
4 Monate
2023-03 - 2023-06

IT und Datenschutz-Audit Öffentlicher Bereich Gesundheit



Kassenärztliche Vereinigung NO Düsseldorf
Durchführung IT-Audit (KRITIS, ISO 27001, NIST, CSA) sowie GDPR Audit  
3 Monate
2023-01 - 2023-03

Defense -EBA Aufsichtsprüfung

  • Begleitung EBA / EZB-Aufsichtsprüfung
  • NDA in Kraft kann aufgrund Verschwiegenheitsverpflichtung nicht offengelegt werden

6 Monate
2022-06 - 2022-11

Erst-Outsourcing in die Microsoft Cloud M365/ Azure

  • Outsourcing-Wechsel von Unix Hoster inkl. Libre Office in die MS 365 Cloud inkl. Infrastruktur unter Beachtung der Regulatorik und Compliance Anforderungen EIOPA Guidelines, MAGO/VAIT, DORA

Stuttgarter Versicherung
Deutschland
4 Monate
2022-03 - 2022-06

Erstellung weltweite IT Strategie

  • Niederlassungen in 14 Ländern / Umstellung auf SIAM, etc
  • Sicherstellung der unterschiedlichen internationalen Compliance und Datenschutzanforderungen ? Vorbereitung Continous Auditing

Traditionsunternehmen Zwilling AG
4 Monate
2022-01 - 2022-04

Risiko-Bewertung sonst. IT Fremdbezüge

  • Prozessanpassungen aufgrund neuer MaRisk 08/2021
  • Audit der Einhaltung bei IT Dienstleistern

Bank
Nord-Deutschland
3 Monate
2021-06 - 2021-08

Due Diligence Beratung im Bereich Outsourcing in Public Cloud

  • Due Diligence des Outsourcing Vorhaben
  • entspr. regulatorische Anforderungen (MaRisk 2021, ZAIT / BAIT 2021, EBA Guidelines Outsourcing und EBA Guidelines ICT-Risk-Management, etc.)
  • Analyse der Sub-Unternehmer-Wertschöpfungsketten inkl. der vertraglich zugesicherten Audit- und Weisungsrechte
  • Vertragsanalyse, Verhandlung 
Groß-Bank
Hessen (DE)
5 Monate
2021-01 - 2021-05

Beratung im Bereich Outsourcing Bank in Public Cloud

  • Risiko-Analyse im Outsourcing Vorhaben
  • Nachverhandlung der Vertrag-Templates der Outsourcing-Anbieter entspr. regulatorische Anforderungen (MaRisk 2021, ZAIT / BAIT 2021, EBA Guidelines Outsourcing und EBA Guidelines ICT-Risk-Management, etc.)
  • Analyse der Sub-Unternehmer-Wertschöpfungsketten inkl. der vertraglich zugesicherten Audit- und Weisungsrechte
  • Vertragsanalyse, Verhandlung und Due Diligence mit AWS, Microsoft, Google, Genesys, etc
Team-Bank
Bayern
6 Monate
2020-01 - 2020-06

Beratung im Bereich Cloud-Outsourcing

  • Szenarien-orientierte Risiko-Analyse des Outsourcing Vorhabens in die Cloud
  • GAP Analyse zwischen vertraglichen Regelungen mit Kunden und Outsourcing Anbieter sowie Regulatorischen Anforderungen (EBA Guidelines, etc.)
  • Etablierung einer 3 lines of defense Governance
  • Verhandlungen mit den potentiellen Providern
  • Verhandlungen mit den ca. 300 institutionellen Kunden (Banken)
dwp Bank
5 Monate
2019-07 - 2019-11

Task-Force zur Korrektur von Findings und Moniten

Task-Force zur Korrektur von Findings und Moniten im Bereich Outsourcing beim Outsourcing-Dienstleister nach Prüfung der Aufsicht (Solvency II, § 32 VAG, MaGo, VAIT, EUDSGVO, etc.)
  • Neu-Bewertung der Risiken des Outsourcing Vorhabens
  • GAP Analyse zwischen vertraglichen Regelungen, Status und Soll (EIOPA-Vorgaben)
  • Durchführung von Korrektur-Arbeiten im TaskForce Modus zur Vorbereitung einer BaFin Prüfung
  • Neu-Strukturierung der Outsourcing-Governance analog 3 Lines of Defense
  • Überarbeitung IT Reporting-Strukturen im Hinblick auf Vertrag und VAIT Anforderungen
Viridium SE (Groß-Versicherung)
10 Monate
2018-08 - 2019-05

Etablierung Zentrales Auslagerungsmanagement

Etablierung Zentrales Auslagerungsmanagement (2nd LoD) mit weltweiter Verantwortung
  • Prüfen von Sachverhalten auf Auslagerungsrelevanz im Auftrag der Revision gemäß den Vorgaben aus der MaRisk AT9 bzw. den nationalen Anforderungen der Niederlassungen (FAC, MAS, EBA, etc)
  • Analyse der Gaps zwischen neuen Regulatorik-Anforderungen (EBA, FAC, BaFin, etc.) und vertraglichen bzw. faktischem StatusQuo
  • Monitoring der regulatorischen Neuerungen im Bereich IT und Outsourcing der Niederlassungen außerhalb der EU
  • Beratung und Begleitung der Fachbereiche in D im Ausland bei der Erstellung der Risikoanalysen zu Auslagerungen (inbes. mit Bezug, CLOUD, KRITIS, Cyber-Security, etc.)
  • Beratung der Fachbereiche bei Risikosteuerung und Reporting an Vorstände und Aufsicht
  • Auswertung aller Auslagerungsberichte (national und international)
  • Umsetzung der EU-weiten regulatorischen Neuerungen (insbes. EBA GL)
  • Einführung einheitlicher Regeln für die Bewertung von Providern nach internationalen Standards
  • Abstimmung mit Fachbereichen, Datenschutz, IT-Security, Risk-Management, etc.
  • LBBW (dt. Landesbank m. Niederlassungen in D, GB, US, Singapur, etc.)
LBBW (dt. Landesbank)
Niederlassungen in D, GB, US, Singapur
1 Jahr 7 Monate
2016-11 - 2018-05

Begleitung Outsourcing Themen KWG25, MaRisk, BAIT, MaGo, KRITIS, EUDSGVO, etc

?Bereitstellung von Beratungsleistung für das Provider-Management des Kunden im Kontext Aus- und Weiterverlagerungen von Datenverarbeitung und Wirtschaftsinformatik im Bankwesen unter Beachtung aktueller Anforderungen der Aufsichtsbehörden BaFin, EZB und Bundesbank, EBA sowie der allgemeinen gesetzlichen Anforderungen in den Bereichen:

  • Bürgerliches Recht
  • Handels- und Gesellschaftsrecht
  • Arbeits- und (Wirtschafts)- Strafrecht
  • Datenschutzrecht
  • Entwicklung und Einführung von Konzepten zur Organisationsentwicklung unter Beachtung der regulatorischen Rahmenbedingungen
  • Aufbau eines Vertragsbaukastens
  • Beratung im Rahmen von Vertragsverhandlungen mit Dienstleistern
  • Abstimmung zwischen internen und externen Kunden, Lieferanten und eigenen Fachbereichen
  • Konzeption, Erprobung und Überführung von Strukturen und Prozessen zur Adressierung regulatorischer Anforderungen im Providermanagement ?
  • Vorbereitung Etablierung ?Zentrales Auslagerungs-Management?
    • Bewertung von Outsourcing Vorhaben
    • Begleitung der Korrektur-Projekte nach EZB Prüfung
    • Neu-Strukturierung von Outsourcing-Bewertungen
    • Neu-Bewertung der Risiken von wesentlichen Auslagerungen
    • Überarbeitung IT Report-Strukturen im Hinblick auf BCBS 239, MaRisk 2017, BA-IT
Finanz Informatik (S-Finanzgruppe)
1 Jahr 1 Monat
2015-08 - 2016-08

Re-Design existierender IT Auslagerungen im regulierten Bereich (KWG, MaRisk, etc.)

  • Fachliche Leitung des Neudesign der Verträge und Governance aufgrund Restrukturierung
  • Definition neuer Governance- und Organisations- Schnittstellen, sowie optimierter Prozesse im Provider-Management
  • Entwurf der entsprechenden Auslagerungsverträge
  • Überarbeitung IT Report-Strukturen im Hinblick auf BCBS 239 , MaRisk 2016
  • Einführung von Tool-Sets
Postbank AG
7 Monate
2014-11 - 2015-05

Vorbereitung KWG 44 Prüfung

  • Backup der Projektleitung im Bereich operative Governance und Outsourcing
  • Definition von technischen und organisatorischen Schnittstellen und Maßnahmen
  • Etablierung des Provider-Management
ING DiBa
1 Jahr 2 Monate
2013-07 - 2014-08

Design der Service Delivery Prozesse im Outsourcing Verhältnis

(KRITIS-Relevanz in der Energie-Branche)
  • Projektleitung ?Design der operativen Governance?
  • Definition von technischen und organisatorischen Schnittstellen und Maßnahmen
  • Abbildung der Governance, Risk und Compliance Prozesse
  • Konzeption und Erstellung der erforderlichen RACI Matrizen sowie Cross-Referenz Tabellen für Schnittstellen inkl. Abhängigkeiten
  • Definition einer Information-Governance
  • Abstimmung und Definition der KPI´s und LÜP´s und Report-Inhalte
  • Dokumentation wesentlicher Prozesse in ARIS und Visio als WSK
Amprion GmbH
6 Monate
2013-01 - 2013-06

Setup und Coaching der Retained Organization für ein Auslagerungsvorhaben (ENwG)

  • Design der Steuerungs-Prozesse in Adonis
  • Definition von Schnittstellen und Leistungsübergabepunkte

RWE AG
9 Monate
2012-04 - 2012-12

Interim Management Transition-Out ohne vertragliche Grundlage (ungeplanter Exit)

  • Projektleitung
  • Claim-Management
  • Verhandlungs-Management

RWE IT GmbH

Aus- und Weiterbildung

Aus- und Weiterbildung

1 Jahr 10 Monate
2023-04 - heute

Security Risks in AI and Machine Learning: Categorizing Attacks and Failure Modes

Skills:

  • Information Security 
  • Third Party Risk Management (TPRM) 
  • Cloud Computing 
  • Operational Risk 
  • External Audit 
  • Business Analysis 
  • Regulatory Audits 
  • IT Audit 
  • Risk Management

1 Monat
2023-04 - 2023-04

Using SABSA to Architect Cloud SecurityUsing SABSA to Architect Cloud Security

Skills:

  • Cloud Computing 
  • Operational Risk 
  • External Audit 
  • Regulatory Audits 
  • IT Audit 
  • Risk Management 
  • Due Diligence

1 Monat
2023-04 - 2023-04

Soft Skills for Information Security Professionals

Skills:

  • Information Security 
  • Third Party Risk Management (TPRM) 
  • IT Audit

1 Monat
2023-04 - 2023-04

IT Security Foundations: Core Concepts

Skills:

  • Third Party Risk Management (TPRM) 
  • IT Audit 
  • IT Security Operations 
  • Due Diligence

1 Monat
2023-04 - 2023-04

Scaling Your Cybersecurity and Privacy Program

Skills:

  • Information Security 
  • US Law 
  • Cloud Computing 
  • Operational Risk 
  • External Audit 
  • Business Analysis 
  • Regulatory Audits 
  • IT Audit 
  • Risk Management 
  • Cybersecurity 
  • Due Diligence

1 Monat
2023-04 - 2023-04

Practical Cybersecurity for IT Professionals

Skills:

  • Information Security 
  • Cloud Computing 
  • Operational Risk 
  • External Audit 
  • Regulatory Audits 
  • IT Audit 
  • Risk Management 
  • Cybersecurity 
  • Due Diligence

1 Monat
2023-04 - 2023-04

Learning Vulnerability Management

Skills:

  • Third Party Risk Management (TPRM) 
  • Cloud Computing 
  • Business Analysis 
  • IT Audit 
  • Vulnerability Management 
  • Due Diligence

1 Monat
2023-04 - 2023-04

Learning Threat Modeling for Security Professionals

Skills:

  • Third Party Risk Management (TPRM) 
  • Threat Modeling 
  • Cloud Computing 
  • Business Analysis 
  • IT Audit

1 Monat
2023-04 - 2023-04

Learning Cyber Incident Response and Digital Forensics

Skills:

  • Business Analysis
  • Due Diligence

1 Monat
2023-04 - 2023-04

Learning Computer ForensicsLearning Computer Forensics

Skills:

  • Computer Forensics 
  • Third Party Risk Management (TPRM) 
  • Cloud Computing 
  • Business Analysis 
  • IT Audit 
  • Due Diligence

1 Monat
2023-04 - 2023-04

IT and Cybersecurity Risk Management Essential Training

Skills:

  • IT Risk Management 
  • Information Security 
  • Third Party Risk Management (TPRM) 
  • Cloud Computing 
  • Operational Risk 
  • External Audit 
  • Regulatory Audits 
  • IT Audit 
  • Risk Management 
  • Cybersecurity 
  • Due Diligence

1 Monat
2023-04 - 2023-04

IT Security Foundations: Operating System Security

Skills:

  • Cybersecurity 
  • Due Diligence

1 Monat
2023-04 - 2023-04

IT Security Foundations: Network Security

Skills:

  • IT Security Operations
  • Due Diligence

Position

Position

  • Berater (freelance)
  • Interim Manager (freelance)
  • DORA
  • IT Regulatorik
  • IT Audit
  • Due Diligence
  • Governance
  • Risk-Management
  • Aufsichtsrecht
  • IT Architektur
  • Outsourcing
  • IT Security
  • Cloudsecurity
  • DevSecOps

Kompetenzen

Kompetenzen

Top-Skills

DORA IT Compliance IT Audit Cloud Architektur Outsourcing 3rd Party Risikomanagement Aufsichtsprüfung Negotiation IT Riskmanagement IT Governance Cyber Security IT Forensik ESG Supply Chain Management Lieferantenbewertung AI Audit Defense Onsite Inspections Vertragsmanagement Business Analyse Design Thinking Regulatory Affairs

Schwerpunkte

Regulatory Compliance bei operativen Risiken in der EU Finanzbranche

Produkte / Standards / Erfahrungen / Methoden

Regulatorik
Experte
Business Analyse
Experte
Compliance
Experte
3rd Party
Experte
IT Security
Experte
ESG
Experte
Non financial Risk
Experte
DueDiligence
Experte
Cybersecurity
Experte

Profil:

  • Ich bin ausgebildeter Jurist und Informatiker, verfüge über mehr als 30 Jahre operative Erfahrung in den regulierten Bereichen IT Organisation und Infrastruktur sowie 3rd Party / Outsourcing Management mit den Schwerpunkten DueDiligence/Audit, Governance, Risk, Compliance, Resilience, Digitalisierung, Business Analyse, Datenschutz, etc.. und bin ein Fan von ständiger fach-übergreifender Weiterbildung
  • Als bekennender Analytiker und Methodiker verfolge ich in der Regel einen agnostischen Ansatz, und folge nicht der Produkt-, Schulungs- oder Marketingpolitik bestimmter Hersteller oder den daraus resultierenden Glaubensbekenntnissen (leider oft nur Hören-Sagen aufgrund guten Marketings oder guten Lobby-Arbeit) einzelner Mitarbeiter oder Berater von Kundenunternehmen
  • Meine Ziele:
    • Mängelfreie Prüfungs- oder Inspektionsberichte von zuständigen Behörden, Aufsichten und damit aufgrund der Beratung möglichst nicht (!) verhängte Bussgelder bzw. die erfolgreiche Verhinderung von weiteren Korrektur-Sanktionen
    • die erfolgreiche Verhinderung des Eintritts von Risiken, die Schäden zu Lasten der von mir betreuten Unternehmen bedeuten können
  • Ich verfüge (oft aus reiner operativer Notwendigkeit der Verifizierung und Plausibilisierung von Laien-Aussagen anderer) über hersteller-spezifisches in-depth Know-How (siehe Zertifizierungen), strebe daher auch keine Tätigkeit als weisungsgebundener Erfüllungsgehilfe einzelner Mitarbeiter an
  • Ich helfe Unternehmen in Finanzmärkten und anderen kritischen Branchen, wie z.B. Energiewirtschaft als Interim Manager auf Temp- oder Freelancer-Basis dabei, kritische oder regulatorische Compliance Anforderungen in ihren Projekten oder für die Aufrechterhaltung des laufenden ordnungsgemässen Betriebes solange sicher zu stellen, bis geeignetes Personal auf Dauer gefunden wird und unterstütze auch gern bei der Auswahl und Einarbeitung in Hinblick auf einen reibungslosen Übergang
  • Das verschafft Ihnen die Möglichkeit, alle Compliance Auflagen auch jetzt schon einzuhalten, selbst dann, wenn der Wunsch-Kandidat oder die Wunschkandidatin nicht direkt zur Verfügung steht
  • Kurz gesagt:
    • Ich plane nicht selbst auf Dauer zu bleiben
    • ich helfe Lücken solange abzudecken, bis Sie auf Dauer jemanden gefunden haben
  • Belastbar und prüfungssicher. - Nicht wenige Aufsichtsprüfungen habe ich selbst begleitet
    • Ein erster Schritt ist es, im Innenverhältnis für die notwendige Dokumentation der internen Richtlinien und Verfahren sowie der entsprechenden Prozesse und Arbeitsanweisungen zu sorgen
    • Das gleiche gilt entsprechend im Aussenverhältnis in Bezug auf 3rd Party Beziehungen, ob es nun Outsourcing, schlichtes Procurement oder andere Arten von Dauerschuldverhältnissen mit dritten sind
    • Zum dritten ist dafür zu sorgen, dass entsprechende Beweise (Reports, Evidenzen, Protokollarien, Beschlüsse, etc.) dafür vorhanden sind, dass das, was zu tun vorgegeben wurde, auch tatsächlich gemacht wurde
  • Hierbei hilft mir eine solide Methodik aufgrund meiner juristischen Ausbildung
  • Mit anderen Worten: Ich spreche fliessend regulatorisch


Highlights:

35+ Jahre Erfahrung als Jurist und Informatiker

  • Experte und Dozent im Bereich EU-Aufsichtsrecht und IT-Umsetzung
  • Third-Party Management und IT Operations- / Cloud-Outsourcing
  • IT-Audit und Due Diligence Experte inkl. Aufsichtsprüfungen
  • IT Security und CyberSecurity Spezialwissen
  • Erfahrener Strategy-, Business- und Regulatorik Analyst
  • Interim CTO / CIO
  • Krisenmanager


TOP-Skills:

  • DORA 
  • Regulatory Compliance 
  • Due Diligence/IT Audit 
  • Business Analyse 
  • CyberSecurity 
  • IT Compliance 
  • Cloud Architektur 
  • Outsourcing 
  • 3rd Party Risikomanagement 
  • Aufsichtsprüfung 
  • Negotiation 
  • IT Riskmanagement 
  • IT Governance 
  • IT Forensik 
  • Supply Chain Management 
  • Audit Defense 
  • IT Vertragsmanagement 
  • Business Analyse 
  • IT Strategie 
  • Operational Resilience 
  • Security Standards: ITIL, ISO20000 COBIT, ISO 27001/2, COBIT, PCI-DSS, COBIT NIST, BSI Grundschutz 
  • Interim CTO/CIO 
  • Krisen-Management 
  • Informationssicherheit 
  • Ressourcen Bewusstsein


Skills:

  • Der Digital Operational Resilience Act (DORA) ist Ende Januar 2023 in der EU in Kraft getreten ? MaRisk, BAIT, VAIT und nationale Gesetze in DE und im Rest Europas werden aktuell überarbeitet und strenger gefasst
  • Gerade vor dem Hintergrund der nun drohenden Zwangs- und Bussgelder ist belastbare Beratung im Bereich Regulatorik-Compliance für die EU-Finanzbranchen in den folgenden Bereichen der Dokumentation essentiell:
    • Governance & Organization
    • Digital & Operational Resilience
    • IT Risk Management & Cyber Security
    • IT Incident Management
    • Third-Party Management
    • Vorbereitung und Begleitung von Behörden-Audits
  • Die bisher geltenden Anforderungen der nationalen Behörden (z.B. in DE Bafin: MaRisk, MaGo, BAIT, VAIT, KAIT, etc.) werden aktuell entsprechend verschärft, während die entsprechenden RTS durch die EU-Aufsichtsbehörden federführend erstellt werden
  • Betroffen von DORA sind in den EU-Finanzbranchen:
    • Kreditinstitute (Banken)
    • Zahlungs-Provider / E-money Anbieter
    • Investment Firmen
    • Trading Unternehmen
    • Versicherungen
    • Crowdfunding Services
    • ICT/Cloud und weitere 3rd Party IT Service Provider der o.g. EU-Finanz-Institute, z.B. Personal-Dienstleister als Generalunternehmer von IT-Leistungen
  • Ich biete jederzeit einen aktuellen und belastbaren Kenntnis-Stand zu:
    • aktuelle aufsichtliche Prioritäten (Supervisory Priorities) der Europäischen Aufsichtsbehörden und Organe (EC, ENISA, ESAs) 2023 (inkl. Anforderungen aus DORA)
    • Empfehlungen der Regulierungs- und Aufsichtsinstanzen in der Europäischen Union (EU)
    • Anforderungen an interne Revision / Governance / Zulassungsverfahren
    • Anforderungen der Aufsicht an kritische Infrastrukturen und Auslagerung bzw. Ausgliederung von IT-Dienstleistungen
    • Anforderungen an Auslagerungen, digitale Prozesse, Betriebsmodelle sowie IT-Sicherheit, Konzentrationsrisiken bei Auslagerungen
    • NIS / NIS-2 IT // DE-Sicherheitsgesetz
    • IT-Outsourcing, Public Cloud Outsourcing (AWS, MS, Google, SF, SAP, etc.)
    • Vendor- / Provider- /Lieferketten Due Diligence und ESG-Qualifikation
    • Compliance zum Aufsichtsrecht der regulierten (Finanz-) Branchen (EBA, ESMA, EIOPA, BaFin, etc.)
    • Sub-Unternehmerketten Value- / Suply- Chain Transparenz
    • Umsetzung EBA / EIOPA / ESMA Guidelines und Abgleich MaRisk / BAIT / VAIT / KAIT / ZAIT
    • Umsetzung IT-, Risiko- und Outsourcing-Regulatorik in der Finanz- und Versicherungsbranche EU, DE, GB (teilw. US, Asia)
    • Umsetzung Anforderungen EIOPA und EBA-ICT-Risk-Management, EBA Internal Governance (EU-RL, MaRisk/MaGo, MaRisk, BAIT/VAIT/KAIT, MiFID II, PSD2, CRD, SREP, etc.)
    • Begleitung und Vorbereitung von Sonderprüfungen/OSI´s durch EBA, EZB, Bundesbank, BaFin etc. z.B. nach § 44 KWG
    • Auditierung von Beschaffungs- und Providermanagement-Prozessen (2nd line of defense)
    • Unterstützung der Vertragsverhandlung (Financial Services Regulation Requirements)
    • Anforderungen an die Vorsorge bei IT- und Cyberrisiken (DORA - digital operational resilience act RTS proposal)
  • Nicht unwesentlich ist dabei meine langjährige Kenntnis von IT- und Cloud Architekturen als IT-Generalist mit Technologie-agnostischem Ansatz
  • Weitere bekannte Standards aus dem US Kontext:
    • Federal agencies: Federal Information Security Management Act (FISMA)
    • U.S. Financial Institutions: Gramm-Leach Bliley Act (GBLA)
    • US Healthcare organizations: Health Insurance Portability and Accountability Act (HIPAA)
    • US Corporations: Sarbanes-Oxley Act (SOX)
    • US Payment Card Industry: Payment Card Industry Data Security Standard (PCI-DSS)
    • US Medizinprodukte: MDSAP ? Medical Device Single Audit Program
    • US Unternehmens-Bilanzen: EDGAR

Branchen

Branchen

  • Kreditinstitute (Banken)
  • Zahlungs-Provider / E-money Anbieter
  • Investment Firmen
  • Trading Unternehmen
  • Versicherungen
  • Crowdfunding Services
  • ICT/Cloud Anbieter

Vertrauen Sie auf Randstad

Im Bereich Freelancing
Im Bereich Arbeitnehmerüberlassung / Personalvermittlung

Fragen?

Rufen Sie uns an +49 89 500316-300 oder schreiben Sie uns:

Das Freelancer-Portal

Direktester geht's nicht! Ganz einfach Freelancer finden und direkt Kontakt aufnehmen.