"Sind Sie DORA-Sub-Processor-fähig (Art. 28)?"

"Ja. Sub-Processor-Liste ist öffentlich, DORA-Art-28-konformer Vertrag liegt vor. Wir aktualisieren die Liste quarterly und informieren Sie sofort bei Änderungen. Aus-Subcontracting (Sub-Sub-Processor) machen wir nicht ohne Ihre expliziten Genehmigung."

"Können Sie TLPT (Threat-Led Penetration Testing) durchführen?"

"Ja, mit zertifiziertem Partner für rote-Team-Operationen. Wir liefern den blauen Anteil: Threat-Modellierung, Szenarien-Definition, Red-Team-Orchestrierung, Auswertung, Remediation-Planung. Test-Durchführung ist DORA Art. 8-konform."

"Wie sieht BaFin-Audit-Begleitung konkret aus?"

"Standard. Wir liefern Evidence in der Form, die BaFin erwartet: ICT-Risk-Register, Policies, Incident-Response-Logs, Third-Party-Risk-Assessments, TLPT-Ergebnisse. Meist reicht das, um Aufsichtsprüfung zu bestehen."

"Wie sehen Sie den EU AI Act — brauchen wir Panik?"

"Nein, aber Vorbereitung, ja. LLM Gateway ist Audit-fähig — die Art. 12-Anforderungen (Dokumentation, Monitoring, Mensch-in-Schleife) werden unterstützt. Wir helfen, Hochrisiko-Systeme zu identifizieren und Governance aufzubauen."

Zurück zu Branchen

BRANCHEN · FINANZ- & VERSICHERUNGSWESEN

DORA, BaFin, BAIT, ZAIT — ICT-Risiko-Management nachweisbar.

TL;DR. Banken, Versicherer, ICT-Dienstleister. Wir kennen die regulatorische Schichtenwelt — DORA seit Januar 2025 voll in Kraft, BaFin-Aufsichts-Audits hart geworden. KI-native Operations mit nachweisbarer ICT-Risiko-Trace.

DORA-konform BaFin-Aufsicht Multi-Modell-LLM-Gateway

Branchen-Briefing anfragen Zurück zur Branchen-Übersicht

Was diese Branche typischerweise belastet

DORA (Digital Operational Resilience Act) ist seit Januar 2025 voll in Kraft. Die Frist für signifikante Institute ist gestern — Art. 5 (ICT-Risk-Management-Framework), Art. 8 (Threat-Led Penetration Testing), Art. 17 (ICT-Incident-Reporting an Aufsicht in Stunden). Die BaFin führt Hart-Audits durch und prüft nicht nur Theorie, sondern Operationalisierung: zeigt mir eure ICT-Risk-Register, zeigt mir eure Incident-Response-Logs, zeigt mir eure Third-Party-Risk-Assessments.

Parallel fordert BaFin MaRisk AT 7.2 ein IT-Risiko-Management-System nach dem Standard. BAIT und ZAIT konkretisieren das für Banken und Versicherer. Third-Party-Risk ist ein Albtraum: DORA Art. 28 fordert Sub-Processor-Listen, Risk-Scoring, kontinuierliche Überwachung. Die meisten Institute haben da Lücken. Und jetzt kommt der EU AI Act: Hochrisiko-Anwendungen (Art. 6) sind reguliert — für Finanz sind das z.B. Credit-Scoring-Modelle oder Fraud-Detection. Transparenzanforderungen verschärfen sich.

Die Cyber-Threat-Landschaft ist für Finanz so hart wie für KRITIS: Ransomware-Attacken auf Institute sind täglich. Und anders als bei Herstellern ist der Reputations-Impact sofort — Medien, Kunden, Regulierung fragt am gleichen Tag. Incident-Reporting an BaFin muss in Stunden erfolgen, nicht in Tagen.

Wie wir typischerweise helfen

Wir bauen ICT-Risk-Management mit auditierter Spur. Das heißt: LLM Gateway protokolliert nicht nur Anfragen, sondern auch Modell-Wahl und Output-Begründung — DORA-tauglich. Business Agents automatisieren ICT-Incident-Reporting: ein erkannter Vorfall triggert sofort ein strukturiertes Formular, wird an Compliance geroutet, und kann in 2 Stunden bei der BaFin eingehen.

Knowledge Base speichert DORA-Anforderungen, BaFin-MaRisk-AT-7.2-Konkretisierungen und Third-Party-Risk-Scoring-Modelle. Threat-Led-Penetration-Testing (TLPT) ist ein Service, den wir orchestrieren (mit zertifizierten roten Teams) — wir liefern den blauen Anteil (Vorbereitung, Auswertung, Remediation-Planung). Sub-Processor-Register mit Live-Risk-Scoring ermöglicht DORA-Art-28-Compliance ohne manuallen Overhead.

EU-Cloud oder On-Prem — beide üblich. Aber die Regulierung ist identisch: vollständige Audit-Trail, DSGVO-konform, Sub-Processor-Transparenz.

Was sich in dieser Branche oft als erstes lohnt

Banken und Versicherer sollten mit ICT-Risk und Third-Party-Risk starten — das sind die Audit-Schwerpunkte.

DORA-ICT-Risk-Framework-Aufbau: ICT-Risk-Register bauen, Risikoappetit definieren, Schlüsselmetriken (KRIs) etablieren.
BaFin-MaRisk-AT-7.2-Evidence-Pack: IT-Risiko-Governance nachweisen, Policies, Prozesse, Governance-Struktur dokumentieren.
ICT-Incident-Reporting-Automation: Incident-Detection → Priorisierung → Eskalation → BaFin-Reporting in standardisierter Form, alles zeitgesteuert.
TLPT-Vorbereitung: Threat-Model für Ihre kritischen Systeme bauen, Red-Team-Szenarios definieren, Blue-Team-Readiness überprüfen.
Sub-Processor-Register mit Risk-Scoring: Liste aller Third Parties (Cloud, SaaS, Outsourcing), Risk-Scores nach DORA Art. 28, Monitoring-Plan.
KI-Governance-Framework: Für AI-Act-Vorbereitung: Hochrisiko-Modelle identifizieren, Transparenzanforderungen erfassen, Audit-Trail aufbauen.

Konkrete Angebote

Was Sie übernehmen lassen können

DORA-ICT-Risk-Framework-Aufbau

Risk-Register, Risikoappetit, KRIs (Key Risk Indicators) etablieren, Reporting-Dashboard aufbauen.
BaFin-MaRisk-AT-7.2-Evidence-Pack

Policies, Prozesse, Governance-Struktur, Audit-Logs dokumentieren und für Aufsichtsprüfung aufbereiten.
ICT-Incident-Reporting-Automation

Detection → Priorisierung → BaFin-Reporting in 2–4 Stunden, mit vollständiger Dokumentation und Compliance-Audit-Trail.
TLPT-Vorbereitung und Durchführung

Threat-Modelle bauen, rote Teams orchestrieren, blauen Anteil (Auswertung, Remediation) liefern, Audit-Readiness verbessern.
Sub-Processor-Register mit Risk-Scoring

Third-Party-Liste aufbauen, DORA-Art-28-Scoring durchführen, kontinuierliche Überwachung automatsieren.
KI-Governance-Framework (AI-Act-Vorbereitung)

Hochrisiko-Systeme identifizieren, Transparency-Anforderungen erfassen, Audit-Trails für Aufsicht aufbauen.

Regulatorischer Rahmen

Pflichten, die wir adressieren

Finanz- und Versicherungswesen ist 2026 die dichteste Regulatory-Schicht in DACH: DORA seit Januar 2025 voll in Kraft, BaFin MaRisk mit konkretisierten Sektor-Auflagen, DSGVO als Grundlage, Geldwäsche- und Anti-Fraud-Pflichten und der EU AI Act für KI-Hochrisiko.

DORA Art. 5

EU 2022/2554 DORA · Art. 5 ICT-Risk-Management-Framework

Pflicht zum dokumentierten ICT-Risk-Management mit Risk-Tolerance, Risk-Register, Mitigation-Plan. BaFin prüft im Rahmen der ICT-Aufsicht. Wir bauen das ICT-Risk-Framework, betreiben das Risk-Register live in Nova9 und liefern quartalsweise Reports im aufsichts-konformen Format.
DORA Art. 7

DORA · Art. 7 ICT-Systems und Security-Standards

Schreibt Security-Standards für jedes kritische ICT-System vor — Zugangskontrollen, Verschlüsselung, Logging, Vulnerability-Management. Wir bauen die technische Compliance-Schicht auf Nova9 und dokumentieren jedes kritische System mit Asset-Inventar und Risk-Scoring.
DORA Art. 8

DORA · Art. 8 TLPT (Threat-Led Penetration Testing)

Signifikante Institute müssen TLPT alle drei Jahre durchführen — mit zugelassenem Red-Team-Partner unter TIBER-EU-Methodik. Wir bringen den blauen Anteil (Defender-Team, Detection, Incident-Response), bereiten den Test vor und liefern die Aufsichts-Reports im TIBER-Format.
DORA Art. 17

DORA · Art. 17 ICT-Incident-Reporting

Erhebliche ICT-Incidents müssen binnen 4 Stunden initial, binnen 24 Stunden ausführlich und binnen 1 Monat abschließend an BaFin gemeldet werden — strikter Zeitrahmen als NIS2. Wir liefern den automatisierten Workflow von Detection-Trigger bis BaFin-Submission mit GF-Sign-off.
DORA Art. 28

DORA · Art. 28 ICT-Third-Party-Risk

Sub-Processor-Register mit Risk-Scoring, Substitutability-Analyse und ICT-Konzentrationsrisiko-Bewertung sind Pflicht. Wir liefern das DORA-Sub-Processor-Konstrukt-Register, pflegen es laufend und integrieren Vertragstemplates für DORA-konforme Sub-Processor-Verträge.
BaFin MaRisk

BaFin MaRisk · AT 7.2 IT-Risiko-Governance

Konkretisiert für deutsche Banken das ICT-Risiko-Management — Governance-Strukturen, Berichtswege, Reifegrad-Bewertung. Wir mappen unsere DORA-Implementierung auf MaRisk AT 7.2 und liefern den parallelen Compliance-Stack für die nationale BaFin-Aufsicht.
BAIT

BAIT · Bankaufsichtliche Anforderungen an die IT

Operationelle Konkretisierung von MaRisk AT 7.2 für Banken — IT-Strategie, IT-Governance, Informationssicherheits-Management, Identitäts-/Berechtigungs-Management, Notfallmanagement. Wir liefern den BAIT-konformen Implementation-Stack und das Audit-Evidence-Pack.
ZAIT

ZAIT · Versicherungsaufsichtliche Anforderungen an die IT

BaFin-Pendant zu BAIT für Versicherer — operationelle Konkretisierung von MaRisk und VAIT-Vorgängern. Wir liefern den ZAIT-konformen Implementation-Stack mit versicherungs-spezifischen Risk-Profilen (Solvency, Underwriting-IT, Bestandsdaten-Systeme).
GwG

Geldwäschegesetz · §6, §10 Sorgfaltspflichten und Monitoring

Kreditinstitute und Versicherer müssen Geldwäsche- und Terrorismus-Finanzierungs-Risiken systematisch überwachen — Detection-Logik, Sanctions-Screening, Verdachtsmeldung-Workflow. Wir bauen die technische Detection-Schicht und integrieren in bestehende GwG-Tooling (Actimize, Fircosoft, Inhouse).
AI Act

EU AI Act · Art. 6 Hochrisiko-KI im Finanzsektor

Credit Scoring, Fraud Detection, Insurance Pricing fallen unter Hochrisiko-KI — Governance, Transparenz, Bias-Testing, menschliche Aufsicht. Wir bauen den AI-Act-Stack auf Basis des LLM Gateway mit Output-Validierung, Bias-Metrik und vollständigem Audit-Trail.

Branchen-Fakten

Stand: 2026-05-27 · Quelle: dynexo Operations + BaFin/DORA-Dokumentation
Typische Mandats-Größe	200–10.000 MA (je nach Institute-Größe; signifikante Institute ≥2.000 MA)
Häufigste Trigger	DORA-Frist überschritten, BaFin-Aufsichtsprüfung, ICT-Incident-Reporting-Verpflichtung, TLPT-Anforderung von Regulierung
Typisches Betriebsmodell	EU-Cloud bei dynexo oder On-Prem (je nach Datensensibilität und interne Governance) · Grund: DSGVO-Anforderung und Audit-Kontrollierbarkeit
Kernregulierung	DORA, BaFin MaRisk AT 7.2, BAIT/ZAIT, DSGVO, EU AI Act (Art. 6–12)
Nova9-Module im Einsatz	Knowledge Base (DORA/MaRisk-Mapping), Business Agents (Incident-Reporting-Automation), LLM Gateway (Output-Nachverfolgung), Observability (KRI-Tracking), Endpoint Agents
Typisches Onboarding	60–90 Tage (Risk-Framework, Third-Party-Audit, TLPT-Vorbereitung, Evidence-Pack-Aufbau)
Audit-Mirror	Vollständig in EU · Retention: 10 Jahre (DORA/MaRisk-Anforderung)
Klon-Übergabe	Verfügbar — DORA-relevant für Compliance-Handover

Oft gefragt

Was vor dem Briefing oft gefragt wird

Sind Sie DORA-Sub-Processor-fähig (Art. 28)?

Ja. Sub-Processor-Liste ist öffentlich, DORA-Art-28-konformer Vertrag liegt vor. Wir aktualisieren die Liste quarterly und informieren Sie sofort bei Änderungen. Aus-Subcontracting (Sub-Sub-Processor) machen wir nicht ohne Ihre expliziten Genehmigung.
Können Sie TLPT (Threat-Led Penetration Testing) durchführen?

Ja, mit zertifiziertem Partner für rote-Team-Operationen. Wir liefern den blauen Anteil: Threat-Modellierung, Szenarien-Definition, Red-Team-Orchestrierung, Auswertung, Remediation-Planung. Test-Durchführung ist DORA Art. 8-konform.
Wie sieht BaFin-Audit-Begleitung konkret aus?

Standard. Wir liefern Evidence in der Form, die BaFin erwartet: ICT-Risk-Register, Policies, Incident-Response-Logs, Third-Party-Risk-Assessments, TLPT-Ergebnisse. Meist reicht das, um Aufsichtsprüfung zu bestehen.
Wie sehen Sie den EU AI Act — brauchen wir Panik?

Nein, aber Vorbereitung, ja. LLM Gateway ist Audit-fähig — die Art. 12-Anforderungen (Dokumentation, Monitoring, Mensch-in-Schleife) werden unterstützt. Wir helfen, Hochrisiko-Systeme zu identifizieren und Governance aufzubauen.

Nächster Schritt

Wie machen wir Ihre ICT-Risiko-Governance DORA-konform?

Das Branchen-Briefing bewertet Ihren aktuellen DORA-Status (Art. 5–17), zeigt Gaps in Risk-Management, TLPT-Readiness und Third-Party-Governance und skizziert einen 12-Monats-Plan — für signifikante Institute oft kritisch.

Branchen-Briefing anfragen Sicherheits-Briefing buchen