DORA, MaRisk, VAG/MaGo und NIS2 — nicht nur beraten. Umgesetzt.
Ich übernehme als Interim Manager die operative Umsetzung regulatorischer
Anforderungen in Banken, Versicherungen, Zahlungsverkehrsdienstleistern, Kapitalanlagegesellschaften, Dienstleistern und der Industrie —
vom Gap-Assessment bis zur prüfungssicheren Übergabe an Ihre Linienorganisation.
Keine Grundsatzgutachten — konkrete Register, Prozesse, Richtlinien und Nachweise,
die einer Prüfung durch Aufsicht, Wirtschaftsprüfer und interne Revision standhalten.
Im Zentrum: die Umsetzung von DORA, MaRisk, VAG/MaGo und NIS2.
DORAArt. 5–16Art. 17–23Art. 28–30
DORA-Umsetzung
Digital Operational Resilience Act — für Banken, Versicherer, Zahlungsverkehrsdienstleister und Kapitalanlagegesellschaften
Informationsregister aufbauen und pflegen — inkl. Erstbewertung und Meldefähigkeit
Auslagerungs- & Dienstleistermanagement: Due Diligence, Risikoanalysen, SLA/KPI, Exit-Strategien
IKT-Risikomanagement aufbauen und ins Enterprise Risk Management integrieren
IKT-Vorfallmanagement und Meldeprozesse etablieren
Vertragsprüfung und -anpassung gemäß DORA-Mindestanforderungen
BCM & Notfallmanagement — auch für KRITIS-Dienstleister
Begleitung von Prüfungen: Aufsicht, Wirtschaftsprüfer, interne Revision
MaRiskVAG / MaGoAT 9§§ 23 ff. VAG
MaRisk- & MaGo-Umsetzung
Anforderungen an die Geschäftsorganisation nach KWG und VAG — für Banken und Versicherer
Gap-Analyse gegen die aktuelle MaRisk-Novelle bzw. die MaGo und Umsetzung in der schriftlich fixierten Ordnung
Governance und Geschäftsorganisation nach §§ 23 ff. VAG — Rollen, Schlüsselfunktionen, Gremien
Aufbau und Weiterentwicklung des IKS — Kontrollhandbuch, Schlüsselkontrollen, KPI-Reporting
Auslagerungs- bzw. Ausgliederungsmanagement (AT 9 / § 32 VAG) — verzahnt mit den DORA-Anforderungen
Berechtigungsmanagement nach AT 4.3.1, BAIT und VAIT
Aufbau zentrales Risikomanagement und Integration der IKT-Risiken
Abarbeitung von Feststellungen aus Prüfungen von Aufsicht und WP
NIS2Art. 20–21Art. 23NIS2UmsuCG
NIS2-Umsetzung
Netz- und Informationssicherheit — für wichtige und besonders wichtige Einrichtungen
Betroffenheitsanalyse und Gap-Assessment gegen die Risikomanagementmaßnahmen
Governance verankern: Pflichten und Haftung der Leitungsorgane operationalisieren
Lieferkettensicherheit: Dienstleister identifizieren, bewerten und vertraglich einbinden
Meldepflichten umsetzen: Prozesse für 24h-Erstmeldung und 72h-Folgemeldung
Richtlinien, IKS-Kontrollen und Schulungskonzepte erstellen und einführen
Nachweisführung und Audit-Readiness gegenüber Aufsicht und Prüfern
Weitere Schwerpunkte
§ 44 KWGPS 951
Audit-Readiness & Prüfungsbegleitung
Aufsichtliche Prüfungen steuerbar machen — vor, während und nach der Prüfung
Vorbereitung: Readiness-Check, Soll-Ist-Abgleich der SfO mit der gelebten Praxis, Briefing von Vorstand und Führungskräften
Begleitung: Prüfungsmanagement, Unterlagenbereitstellung, Ad-hoc-Analysen, Sparringspartner gegenüber den Prüfern
Abarbeitung: ursachenbasierte Maßnahmen je Feststellung, Umsetzung in der Linie, Nachweise für Folgeprüfungen
Erfahrung aus der Begleitung von §44-KWG-, PS-951-, WP- und EZB-Prüfungen — auf Instituts- wie auf Prüferseite (Big Four)
IAM · PAMMaRisk / BAIT Kap. 5VAIT Kap. 5
Berechtigungsmanagement, das Prüfungen standhält
Identity & Access Management und privilegierte Zugriffe — regulatorisch sauber für Banken und Versicherungen
Prüfungsfeste Berechtigungskonzepte und SfO — Rollenmodelle nach RBAC und ABAC
Joiner-/Mover-/Leaver-Prozesse, Rezertifizierungen und SoD-Konfliktmanagement inkl. Ausnahmeprozessen
Tool-Einführung und Migration aus der Praxis — u. a. Garancy, One Identity, Omada, FSP, CyberArk, SailPoint und andere; angebunden an AD, Entra ID, RACF
Abarbeitung von IAM-Findings aus EZB-, BaFin- und WP-Prüfungen
KIEU AI Act
Wie setze ich KI richtig ein?
Produktiver KI-Einsatz in Compliance & Risk — nutzbringend und aufsichtskonform
Identifikation der Use Cases mit echtem Hebel: Due-Diligence-Auswertung, Vertragsanalyse, Monitoring externer Risikoquellen
KI-Governance im Einklang mit EU AI Act, DORA und BaFin-Erwartungen: KI-Register, Risikoklassifizierung, Human Oversight
KI-Strategie und Richtlinien — verzahnt mit IKS, Datenschutz und Auslagerungsmanagement
Bereits produktiv umgesetzt: KI-Agenten für Fragebogen-Auswertung mit Risikoeinstufung und DORA-konforme Vertragsprüfung
Befähigung Ihrer Teams statt Abhängigkeit von externen Tools
Vorgehen
Vom Gap zur prüfungssicheren Linie
Ein erprobter Umsetzungspfad — in jedem Mandat angepasst an Größe,
Risikoprofil und Reifegrad Ihrer Organisation.
Phase 1
Analyse & Betroffenheit
Gap-Assessment gegen DORA, MaRisk, VAG/MaGo und NIS2, Priorisierung nach Risiko und Frist,
belastbare Entscheidungsgrundlage für die Geschäftsleitung.
Phase 2
Zielbild & Fahrplan
Target Operating Model, Rollen, Gremien und Reporting-Linien —
inklusive Entscheidungsvorlagen für Vorstand und Geschäftsführung.
Phase 3
Umsetzung in der Linie
Register, Prozesse, Richtlinien, Verträge und Tools werden aufgebaut —
mit Führung interdisziplinärer Teams aus Compliance, Risk, IT und Legal.
Phase 4
Prüfungssicherheit & Übergabe
Nachweisführung, Begleitung von Audits und geordnete Übergabe
an Ihre Linienorganisation — inklusive Befähigung der Mitarbeitenden.
Interim heißt: Ich komme, setze um und übergebe.
Keine Dauerberatung — eine funktionierende Organisation, die ohne mich weiterläuft.
Referenzen
Ausgewählte Mandate
Aufbau- und Umsetzungsmandate in Banken, Versicherungen und bei Finanzdienstleistern.
Gesamtverantwortung für den Aufbau einer Compliance-, Governance- und Risk-Organisation.
Integriertes GRC-Modell, Executive-Reporting für den Vorstand, KI-gestützte Automatisierung
von Due-Diligence-Auswertung und Vertragsanalyse.
IT- & Mediendienstleister der Banken (KRITIS)
Auslagerungsmanagement & zentraler Einkauf unter DORA, NIS2, PSD2
Vollständiges Informations- und Auslagerungsregister, Dienstleistermanagement mit
SLA/KPI-Modell, BCM für einen KRITIS-Dienstleister, Übergabe der Abteilung an die Linie.
Versicherungsgruppe
DORA-Umsetzung im Dienstleistermanagement
Informationsregister, Definition kritischer Funktionen und Dienstleister,
Due-Diligence-Prozesse, Vertragsanpassungen gemäß DORA, Exit-Planung und -Strategie.
Internationaler Versicherungskonzern
Strategieberatung VAIT / DORA
Schriftlich fixierte Ordnung für alle VAIT/DORA-Themen, Richtlinien für IAM und
Informationssicherheit, Einführung eines GRC-Tools, Informationsregister mit Erstbewertung.
IT-Dienstleister für Banken
IKS, IAM & Begleitung regulatorischer Prüfungen
Einführung Garancy, SoD-Konfliktmanagement inkl. Ausnahmeprozessen, prüfungsfeste
Berechtigungskonzepte. Begleitung von §44-KWG-, PS-951-, WP- und Datenschutzprüfungen
sowie Umsetzung der Findings.
Depotbank / Fondsplattform
Projektleitung & IAM-Architektur
Fachliche Führung eines 10-köpfigen Projektteams, Transformation der IAM-Lösung
in die Cloud, Aufbau IT-Notfallmanagement und Auslagerungsprozesse,
Schutzbedarfsanalyse und Informationssicherheit.
Weitere Stationen (Auswahl): Big-Four-Wirtschaftsprüfung · Direktbank ·
Landesbank · Genossenschaftliche Zentralbank · Europäische Energiebörse ·
IT-Dienstleister einer Großbank · Wertpapierhaus der Sparkassen
Partnernetzwerk
Ein Ansprechpartner — und rund 50 Spezialisten im Rücken.
Seit 25 Jahren arbeite ich in einer erfolgreichen, gewachsenen Partnerschaft mit
rund 50 selbstständigen Beraterinnen und Beratern zusammen — Spezialisten, die auf
Abruf zur Verfügung stehen. So lassen sich auch größere Programme stemmen, ohne
dass Sie den Overhead einer großen Beratung einkaufen.
Der entscheidende Unterschied: Diese Teams sind eingespielt. Wir kennen unsere
Arbeitsweisen, Stärken und Schnittstellen aus vielen gemeinsamen Mandaten —
und können deshalb auch kurzfristig arbeitsfähige Teams aufbauen, passgenau
zu Ihrem Projekt. Sie behalten dabei stets einen Ansprechpartner: mich.
Interim CIO, CRO / Head of Compliance & Risk / Head of Governance
Über 25 Jahre Führungserfahrung in Banken, Versicherungen, im Zahlungsverkehr, bei Kapitalanlagegesellschaften, Dienstleistern und in der Industrie.
Spezialisiert auf den Aufbau und die Transformation von Compliance-, Risk- und
Governance-Organisationen in hochregulierten Unternehmen — mit nachweisbaren
Erfolgen bei der Umsetzung regulatorischer Großprogramme und der Begleitung
aufsichtsrechtlicher Prüfungen.
Ich verbinde strategische Beratung auf Vorstandsebene mit einer ausgeprägten
Hands-on-Mentalität: Entscheidungsvorlagen, die getroffen werden. Register, die
gepflegt werden. Prozesse, die gelebt werden.
Standort
Hamburg — Einsätze europaweit & remote
Sprachen
Deutsch, Englisch, Italienisch (Grundkenntnisse)
Rollen
Interim Manager · Projektleiter · Sparringspartner der Geschäftsleitung
Schwerpunkte
Regulatorik, Governance & Standards: DORA, MaRisk, BAIT, VAIT, NIS2 sowie Informationssicherheits- und Resilienzstandards nach ISO/IEC 27001, 27002, 27005 und ISO 22301; ergänzend Datenschutz-Governance und Privacy-Anforderungen im Kontext DSGVO / ISO 27701 sowie Prüfungs- und Attestierungsstandards nach SOC 2
Ob Gap-Assessment, Informationsregister oder kompletter Organisationsaufbau —
im Erstgespräch klären wir unverbindlich, wo Sie stehen und was der schnellste
Weg zur Prüfungssicherheit ist.
Eingetragen im Handelsregister der Republik Zypern (Department of the Registrar of
Companies and Intellectual Property, Nikosia)
Registernummer: HE 428319
Umsatzsteuer-Identifikationsnummer: CY10428319Q
Verantwortlich für den Inhalt gemäß § 18 Abs. 2 MStV
Michael Schwendemann
Lilli Zografou 5
4102 Limassol, Zypern
Streitbeilegung
Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit:
https://ec.europa.eu/consumers/odr. Wir sind nicht bereit und nicht verpflichtet, an
Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.
Haftung für Inhalte
Die Inhalte dieser Website wurden mit größter Sorgfalt erstellt. Für die Richtigkeit,
Vollständigkeit und Aktualität der Inhalte können wir jedoch keine Gewähr übernehmen.
Als Diensteanbieter sind wir für eigene Inhalte auf diesen Seiten nach den allgemeinen
Gesetzen verantwortlich. Wir sind jedoch nicht verpflichtet, übermittelte oder
gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die
auf eine rechtswidrige Tätigkeit hinweisen. Verpflichtungen zur Entfernung oder Sperrung
der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt.
Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten
Rechtsverletzung möglich. Bei Bekanntwerden von entsprechenden Rechtsverletzungen werden
wir diese Inhalte umgehend entfernen.
Haftung für Links
Diese Website enthält gegebenenfalls Links zu externen Websites Dritter, auf deren
Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch
keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige
Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten wurden zum
Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft; rechtswidrige Inhalte
waren zu diesem Zeitpunkt nicht erkennbar. Eine permanente inhaltliche Kontrolle der
verlinkten Seiten ist ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar.
Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Links umgehend entfernen.
Urheberrecht
Die durch den Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen
dem Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der
Verwertung außerhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung
des jeweiligen Autors bzw. Erstellers. Downloads und Kopien dieser Seite sind nur für den
privaten, nicht kommerziellen Gebrauch gestattet.
Datenschutzerklärung
Stand: Juli 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Sifor LTD
Michael Schwendemann
Lilli Zografou 5
4102 Limassol, Zypern
Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen
Datenschutzvorschriften, insbesondere der DSGVO, sowie dieser Datenschutzerklärung.
Die Nutzung dieser Website ist in der Regel ohne Angabe personenbezogener Daten möglich.
Soweit personenbezogene Daten (beispielsweise Name, E-Mail-Adresse oder Telefonnummer)
erhoben werden, erfolgt dies, soweit möglich, stets auf freiwilliger Basis.
3. Datenerfassung beim Besuch dieser Website (Server-Logfiles)
Beim Aufruf dieser Website werden durch den Hosting-Anbieter automatisch Informationen
in sogenannten Server-Logfiles erfasst, die Ihr Browser automatisch übermittelt. Dies
sind: Browsertyp und Browserversion, verwendetes Betriebssystem, Referrer-URL, Hostname
des zugreifenden Rechners, Uhrzeit der Serveranfrage und IP-Adresse. Eine Zusammenführung
dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung erfolgt auf
Grundlage von Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in der
technisch fehlerfreien Darstellung und der Sicherheit dieser Website. Die Logfiles werden
nach kurzer Zeit automatisch gelöscht.
4. Kontaktaufnahme
Wenn Sie uns per E-Mail oder Telefon kontaktieren, werden Ihre Angaben inklusive der von
Ihnen mitgeteilten Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von
Anschlussfragen bei uns gespeichert. Die Verarbeitung erfolgt auf Grundlage von
Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Anbahnung oder Erfüllung eines
Vertrags zusammenhängt, im Übrigen auf Grundlage unseres berechtigten Interesses an der
effektiven Bearbeitung der an uns gerichteten Anfragen (Art. 6 Abs. 1 lit. f DSGVO).
Diese Daten geben wir nicht ohne Ihre Einwilligung weiter. Die Daten werden gelöscht,
sobald sie für die Erreichung des Zwecks ihrer Erhebung nicht mehr erforderlich sind
und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
5. Cookies und Tracking
Diese Website verwendet keine Cookies zu Analyse- oder Marketingzwecken, setzt keine
Tracking- oder Analysedienste ein und bindet keine Inhalte von Drittanbietern
(z. B. externe Schriftarten, Karten- oder Videodienste) ein.
6. Ihre Rechte als betroffene Person
Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf:
unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft
und Empfänger und den Zweck der Datenverarbeitung (Art. 15 DSGVO); Berichtigung
unrichtiger Daten (Art. 16 DSGVO); Löschung Ihrer Daten (Art. 17 DSGVO); Einschränkung
der Verarbeitung (Art. 18 DSGVO); Datenübertragbarkeit (Art. 20 DSGVO) sowie Widerspruch
gegen die Verarbeitung Ihrer Daten (Art. 21 DSGVO). Sofern eine Verarbeitung auf Ihrer
Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.
Darüber hinaus steht Ihnen ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu
(Art. 77 DSGVO), insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres
Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Für den Verantwortlichen
zuständig ist das Office of the Commissioner for Personal Data Protection, Zypern
(www.dataprotection.gov.cy).
7. SSL- bzw. TLS-Verschlüsselung
Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher
Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie
daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt.
8. Aktualität und Änderung dieser Datenschutzerklärung
Durch die Weiterentwicklung unserer Website oder aufgrund geänderter gesetzlicher bzw.
behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung anzupassen.
Die jeweils aktuelle Fassung kann jederzeit auf dieser Website abgerufen werden.