09.11.2025 aktualisiert
Premiumkunde
100 % verfügbarIT PM & Compliance Expert DORA Richtlinien/Verfahren, MaRisk, GRC, TPRM, Outsourcing & Strategien
Siegenfeld, Österreich
Weltweit
OrganisationswissenschaftenÜber mich
Experte & Projektleiter für DORA- und MaRisk-Compliance mit Fokus auf Operationalisierung: Erstellung und Anpassung von Richtlinien, Prozessen und SOPs, Durchführung von GAP-Analysen sowie Implementierung regulatorischer Anforderungen inkl. GRC-Plattformen in Banken- und Versicherungsunternehmen.
Skills
GRCNIS 2.0NIST CSFISO 27001IT-OutsourcingDORA RTS/ITSDORABAIT VAIT ZAIT KAITEBA MaRisk BaFinDrittparteien Management
Ich verfuege ueber hohe fachliche und methodische Kompetenz in der Umsetzung der Digital Operational Resilience Act (DORA) sowie der zugehoerigen RTS- und ITS-Vorgaben. Auf Basis einer eigenen Implementierungsmatrix decke ich alle DORA-Domaenen auf hoechster Stufe ab – von Strategieentwicklung ueber Governance bis hin zu Auditfaehigkeit und Umsetzungskontrolle. Im Bereich IKT-Strategie und Governance (Art.5DORA/RTSArt.2ff.) habe ich strategische Rahmenwerke entwickelt, die Governance-, Risiko-, Sicherheits-, Cloud-, Daten- und Ueberwachungskomponenten integriert abbilden. Ich steuere DORA-Gesamtstrategien mit Priorisierung, Abhaengigkeitsmatrix und Massnahmenplanung, einschliesslich Definition von RACI-Strukturen, KPI/KRI-Systemen und Kontrollmechanismen zur Sicherstellung regulatorischer Nachvollziehbarkeit. Im Auslagerungsmanagement und Third-Party Governance (Art.28-30DORA/RTSTPPArt.15-17) habe ich Strategien und Richtlinien entworfen, die Rollen, Kontroll- und Berichtspflichten, Auditrechte und Exit-Verfahren definieren. Ich gestalte SLA-Kataloge und Steuerungsprozesse, die Anforderungen aus DORA, EBA und BAIT erfuellen und organisatorisch verankert sind. Im IKT-Risikomanagement (Art.5-10DORA/RTSRMF) liegt mein Schwerpunkt auf risikobasierten Kontroll- und Bewertungsverfahren nach PS951/ISAE3402,SOC1-2/SOX und NIST. Ich habe Assessments und IKS-Systeme aufgebaut, die eine belastbare Verbindung zwischen IT-Assets, Risiken und regulatorischen Anforderungen herstellen und zur kontinuierlichen Ueberwachung beitragen. Fuer die operativen DORA-Domaenen habe ich standardisierte Betriebsverfahren (SOPs) entwickelt – etwa Schwachstellenmanagement, Patch- und Haertungsmanagement, Netzwerkschutz, Kryptographie, IAM und Protokollierung. Diese Verfahren enthalten Prozessschritte, Kontrollpunkte, Rollen, KPI/KRI und Audit-Verknuepfungen und sichern die regulatorische Nachvollziehbarkeit in der Praxis. Im Bereich IKT-Vorfaelle und Resilienztests (Art.11-14und24-27DORA) habe ich Melde- und Klassifikationsverfahren implementiert, Resilienztests nach RTS Art.10(a-h) gestaltet und Schwachstellenprozesse bis zur Wirksamkeitspruefung operationalisiert. Zudem konzipiere ich Daten- und Ressourcenmanagement-Frameworks mit Asset-ID, CIA-Klassifizierung und Vererbungslogik. Meine Zertifizierungen DORA Certified Compliance Specialist, NIS 2 Directive Trained Professional, GRC Professional/Audit, MaRisk-, BAIT/VAIT/ZAIT-Compliance, und ISO/NIST – belegen meine Tiefe in Governance, Risiko, Compliance und IT-Management. Mit ueber dreissig Jahren Erfahrung vereine ich technologische, organisatorische und regulatorische Anforderungen in leitender Funktion. Ich leite Programme, in denen DORA- und GRC-Vorgaben nicht nur theoretisch erfuellt, sondern praktisch umgesetzt, auditiert und dauerhaft verankert werden. Meine Staerke liegt darin, komplexe regulatorische und technische Sachverhalte in steuerbare Massnahmen zu uebersetzen – pragmatisch, messbar und revisionssicher.
Sprachen
DeutschMutterspracheEnglischverhandlungssicherSerbischMutterspracheKroatischMuttersprache
Projekthistorie
Technical Writer – Umsetzung des BNPP IT PROD SEC Service-Katalogs
BNP Paribas Deutschland
Zeitraum: 01.04.2025 – 30.09.2025
Ort: Frankfurt am Main, Deutschland
Projekt: Konzeption, Autorenschaft und Finalisierung des IT PROD SEC Service-Katalogs für BNP Paribas Deutschland mit acht standardisierten Services (S-ID001–S-ID008): Vulnerability Management, Security Network Services, Access & Rights Management (ARM), Privileged Access Management (PAM), Security Monitoring Services, Compliance Checks Services, Data Security Services sowie Governance & Monitoring Services. Ziel war eine durchgängig standardisierte Servicebeschreibung inkl. Prozessen, Zuständigkeiten und Leistungskennzahlen zur Operationalisierung regulatorischer Anforderungen (DORA, BAIT, MaRisk, EBA).
Verantwortlichkeiten: Leitverantwortung für Struktur, Inhalte und Qualität des Katalogs. Ausarbeitung konsistenter Service Components & Deliverables, RACI-Zuweisungen und SLA/KPI-Definitionen je Service; Abbildung der BaFin-Dokumentenanforderungen nach DORA in den Servicebeschreibungen; Abstimmung mit IT, Compliance, Risk und Operations zur fachlichen Validierung. Für Governance & Monitoring. Festlegung des Governance-Takts, Evidenz-Lieferprozesse und Audit-Unterstützung sowie messbarer KPIs; Definition der Messmethodik. Sicherstellung, dass alle sieben übrigen Services analog standardisiert, messbar und auditfest dokumentiert sind.
Ergebnis: Abgenommener Service-Katalog (8 Services) als verbindliche Grundlage für Delivery, Governance und Audits; transparente SLAs/KPIs je Service etabliert; DORA/BAIT/MaRisk-konforme Dokumentation mit klaren Verantwortlichkeiten (RACI) und Nachweisführung; verbesserte Steuerbarkeit durch regelmäßiges KPI-Reporting und definierte Eskalationspfade.
Technologien und Tools: Confluence, Jira, ServiceNow, Microsoft PowerPoint, Microsoft Visio, Office 365.
BNP Paribas Deutschland
Zeitraum: 01.04.2025 – 30.09.2025
Ort: Frankfurt am Main, Deutschland
Projekt: Konzeption, Autorenschaft und Finalisierung des IT PROD SEC Service-Katalogs für BNP Paribas Deutschland mit acht standardisierten Services (S-ID001–S-ID008): Vulnerability Management, Security Network Services, Access & Rights Management (ARM), Privileged Access Management (PAM), Security Monitoring Services, Compliance Checks Services, Data Security Services sowie Governance & Monitoring Services. Ziel war eine durchgängig standardisierte Servicebeschreibung inkl. Prozessen, Zuständigkeiten und Leistungskennzahlen zur Operationalisierung regulatorischer Anforderungen (DORA, BAIT, MaRisk, EBA).
Verantwortlichkeiten: Leitverantwortung für Struktur, Inhalte und Qualität des Katalogs. Ausarbeitung konsistenter Service Components & Deliverables, RACI-Zuweisungen und SLA/KPI-Definitionen je Service; Abbildung der BaFin-Dokumentenanforderungen nach DORA in den Servicebeschreibungen; Abstimmung mit IT, Compliance, Risk und Operations zur fachlichen Validierung. Für Governance & Monitoring. Festlegung des Governance-Takts, Evidenz-Lieferprozesse und Audit-Unterstützung sowie messbarer KPIs; Definition der Messmethodik. Sicherstellung, dass alle sieben übrigen Services analog standardisiert, messbar und auditfest dokumentiert sind.
Ergebnis: Abgenommener Service-Katalog (8 Services) als verbindliche Grundlage für Delivery, Governance und Audits; transparente SLAs/KPIs je Service etabliert; DORA/BAIT/MaRisk-konforme Dokumentation mit klaren Verantwortlichkeiten (RACI) und Nachweisführung; verbesserte Steuerbarkeit durch regelmäßiges KPI-Reporting und definierte Eskalationspfade.
Technologien und Tools: Confluence, Jira, ServiceNow, Microsoft PowerPoint, Microsoft Visio, Office 365.
Technical Writer – Erstellung von Standardisierten Betriebsverfahren nach DORA
Deutsche Rückversicherung AG
Zeitraum: 01.01.2025 – 30.09.2025
Ort: Düsseldorf, Deutschland
Projekt: Unterstützung der Deutschen Rückversicherung AG bei der Operationalisierung regulatorischer Anforderungen des Digital Operational Resilience Act (DORA). Schwerpunkt war die Erstellung von standardisierten Betriebsverfahren sowie die Anpassung bestehender Richtlinien an die schriftlich fixierte Ordnung nach DORA, um eine konsistente, prüfbare und auditfeste Dokumentation sicherzustellen.
Verantwortlichkeiten: Als Technical Writer verantwortete ich die Konzeption und Erstellung von Standard Operating Procedures (SOPs) für zentrale DORA-Bereiche. Die SOPs wurden systematisch in Subverfahren gegliedert, die jeweils detaillierte Einzelprozesse mit klaren Tätigkeiten, Rollen, Eskalationswegen und Nachweisführungen beschrieben. Jeder Subprozess wurde so dokumentiert, dass die operative Umsetzung, die Verantwortlichkeiten und die regulatorische Konformität jederzeit nachvollziehbar und prüfbar waren. Parallel dazu überarbeitete und harmonisierte ich bestehende Richtlinien, sodass diese den Anforderungen der schriftlich fixierten Ordnung nach DORA entsprachen.
Ergebnis: Fertigstellung eines vollständigen Sets an SOPs mit klar strukturierten Subverfahren und deren Einzelprozessen, die regulatorisch belastbar, auditfähig und operativ anwendbar sind. Überarbeitete Richtlinien gemäß den Vorgaben der schriftlich fixierten Ordnung wurden erfolgreich implementiert. Damit wurde die regulatorische Konformität nachhaltig gestärkt und die operative Resilienz der Deutschen Rückversicherung AG erhöht.
Technologien und Tools: Microsoft Word, Microsoft Visio, Office 365.
Deutsche Rückversicherung AG
Zeitraum: 01.01.2025 – 30.09.2025
Ort: Düsseldorf, Deutschland
Projekt: Unterstützung der Deutschen Rückversicherung AG bei der Operationalisierung regulatorischer Anforderungen des Digital Operational Resilience Act (DORA). Schwerpunkt war die Erstellung von standardisierten Betriebsverfahren sowie die Anpassung bestehender Richtlinien an die schriftlich fixierte Ordnung nach DORA, um eine konsistente, prüfbare und auditfeste Dokumentation sicherzustellen.
Verantwortlichkeiten: Als Technical Writer verantwortete ich die Konzeption und Erstellung von Standard Operating Procedures (SOPs) für zentrale DORA-Bereiche. Die SOPs wurden systematisch in Subverfahren gegliedert, die jeweils detaillierte Einzelprozesse mit klaren Tätigkeiten, Rollen, Eskalationswegen und Nachweisführungen beschrieben. Jeder Subprozess wurde so dokumentiert, dass die operative Umsetzung, die Verantwortlichkeiten und die regulatorische Konformität jederzeit nachvollziehbar und prüfbar waren. Parallel dazu überarbeitete und harmonisierte ich bestehende Richtlinien, sodass diese den Anforderungen der schriftlich fixierten Ordnung nach DORA entsprachen.
Ergebnis: Fertigstellung eines vollständigen Sets an SOPs mit klar strukturierten Subverfahren und deren Einzelprozessen, die regulatorisch belastbar, auditfähig und operativ anwendbar sind. Überarbeitete Richtlinien gemäß den Vorgaben der schriftlich fixierten Ordnung wurden erfolgreich implementiert. Damit wurde die regulatorische Konformität nachhaltig gestärkt und die operative Resilienz der Deutschen Rückversicherung AG erhöht.
Technologien und Tools: Microsoft Word, Microsoft Visio, Office 365.
DORA-Experte – Unterstützung bei der Umsetzung der DORA-Konformität
Börse Stuttgart Gruppe
Zeitraum: 01.07.2024 – 30.09.2025
Ort: Stuttgart, Deutschland
Projekt: Unterstützung der Börse Stuttgart Gruppe bei der Umsetzung der Maßnahmen zur Sicherstellung der Konformität mit dem Digital Operational Resilience Act (DORA). Schwerpunkte waren die Entwicklung der DOR-Strategie, die Anpassung der Auslagerungsstrategie 2025, die Überarbeitung zentraler Sicherheitskonzepte sowie die Erstellung nach Standardisierten Betriebsverfahren und die Anpassung von Richtlinien gemäß den BaFin-Dokumentenanforderungen unter DORA.
Hintergrund: Mit Einführung von DORA mussten bestehende IT-Prozesse, Sicherheitsstrukturen und Auslagerungsstrategien überprüft und angepasst werden. Maßgebliche Beteiligung an der Umsetzung der erforderlichen Maßnahmen zur Einhaltung der regulatorischen Vorgaben und zur Stärkung der operativen Resilienz der IT-Landschaft.
Verantwortlichkeiten: Im Rahmen meiner Tätigkeit war ich verantwortlich für die Entwicklung und Implementierung der DOR-Strategie zur Erhöhung der Widerstandsfähigkeit und Risikominderung. Darüber hinaus übernahm ich die Anpassung der Auslagerungsstrategie 2025 an die DORA-Anforderungen sowie die Erstellung nach Standardisierten Betriebsverfahren und die Anpassung von Richtlinien gemäß den BaFin-Dokumentenanforderungen. Zu meinen Aufgaben gehörte zudem die Konzeption und Einführung optimierter Prozesse für das Informationssicherheits-Vorfallsmanagement, um regulatorische Meldepflichten und Reaktionszeiten zu verbessern. Ergänzend analysierte ich bestehende IT-Systeme und unterstützte die Umsetzung kontinuierlicher Verbesserungen der Sicherheitsarchitektur. Die enge Zusammenarbeit mit internen Abteilungen wie IT, Compliance und Risk Management sowie mit externen Dienstleistern, unter anderem KPMG, rundete mein Verantwortungsgebiet ab.
Ergebnis: Erfolgreiche Weiterentwicklung der DOR-Strategie, Anpassung der Auslagerungsstrategie 2025, korrekte Abbildung der Daten im Informationsregister und nachhaltige Verbesserung der Sicherheitskonzepte.
Technologien und Tools: Confluence, Monday, Jira, Microsoft PowerPoint, Microsoft Visio, Vmware und Office 365.
Börse Stuttgart Gruppe
Zeitraum: 01.07.2024 – 30.09.2025
Ort: Stuttgart, Deutschland
Projekt: Unterstützung der Börse Stuttgart Gruppe bei der Umsetzung der Maßnahmen zur Sicherstellung der Konformität mit dem Digital Operational Resilience Act (DORA). Schwerpunkte waren die Entwicklung der DOR-Strategie, die Anpassung der Auslagerungsstrategie 2025, die Überarbeitung zentraler Sicherheitskonzepte sowie die Erstellung nach Standardisierten Betriebsverfahren und die Anpassung von Richtlinien gemäß den BaFin-Dokumentenanforderungen unter DORA.
Hintergrund: Mit Einführung von DORA mussten bestehende IT-Prozesse, Sicherheitsstrukturen und Auslagerungsstrategien überprüft und angepasst werden. Maßgebliche Beteiligung an der Umsetzung der erforderlichen Maßnahmen zur Einhaltung der regulatorischen Vorgaben und zur Stärkung der operativen Resilienz der IT-Landschaft.
Verantwortlichkeiten: Im Rahmen meiner Tätigkeit war ich verantwortlich für die Entwicklung und Implementierung der DOR-Strategie zur Erhöhung der Widerstandsfähigkeit und Risikominderung. Darüber hinaus übernahm ich die Anpassung der Auslagerungsstrategie 2025 an die DORA-Anforderungen sowie die Erstellung nach Standardisierten Betriebsverfahren und die Anpassung von Richtlinien gemäß den BaFin-Dokumentenanforderungen. Zu meinen Aufgaben gehörte zudem die Konzeption und Einführung optimierter Prozesse für das Informationssicherheits-Vorfallsmanagement, um regulatorische Meldepflichten und Reaktionszeiten zu verbessern. Ergänzend analysierte ich bestehende IT-Systeme und unterstützte die Umsetzung kontinuierlicher Verbesserungen der Sicherheitsarchitektur. Die enge Zusammenarbeit mit internen Abteilungen wie IT, Compliance und Risk Management sowie mit externen Dienstleistern, unter anderem KPMG, rundete mein Verantwortungsgebiet ab.
Ergebnis: Erfolgreiche Weiterentwicklung der DOR-Strategie, Anpassung der Auslagerungsstrategie 2025, korrekte Abbildung der Daten im Informationsregister und nachhaltige Verbesserung der Sicherheitskonzepte.
Technologien und Tools: Confluence, Monday, Jira, Microsoft PowerPoint, Microsoft Visio, Vmware und Office 365.
Zertifikate
ESG – ESG from the perspective of Group Risk Management
ERSTE BANK GROUP AG [04.12.2023 – 06.12.2023] Adresse: AT Wien (Österreich)2024
PCSM – Erstellung von Kredit Rating Strategien, der Wartung und Optimierung
Experian Information Solutions, Inc [12.01.2024 – 19.01.2024] Adresse: IRL Dublin (IRLAND)2024
Certified Integrated Data Privacy Professional (IDPP)
OCEG & GRC Certify2023
NIS2DTP – NIS 2 Directive Trained Professional (NIS2DTP)
Cyber Risk GmbH2023
Certified GRC Audit (GRCA) - Governance, Risk and Compliance Audit
OCEG & GRC Certify2022
Zertifiziert in MaRisk Compliance
Frankfurt School of Finance & Management2022
CERTIFIED SAFE® 5 LEAN PORTFOLIO MANAGER
Scaled Agile, Inc.2021
Certified Integrated Policy Management Professional (IPMP)
OCEG & GRC Certify2021
Certified GRC Professional (GRCP) - Governance, Risk and Compliance Professional
OCEG & GRC Certify2021
SIG Fundamentals Training for Standardized Information Gathering in Third Party Risk Management
Shared Assessments2021
BAIT / KAIT / VAIT / ZAIT - Aufsichtsrechtliche Anforderungen an die IT verstehen und erfolgreich umsetzen!
Frankfurt School of Finance & Management2021
CERTIFIED SAFE® 5 PROGRAM CONSULTANT
Scaled Agile, Inc.2020
CERTIFIED SAFE® PRODUCT OWNER/PRODUCT MANAGER
Scaled Agile, Inc.2019
CERTIFIED SCRUM MASTER
Scrum Alliance2017
CERTIFIED AGILE PRACTITIONER
IFFAI2016
CERTIFIED PMI LEVEL C
PMI Chapter Austria2014