28.11.2025 aktualisiert
Premiumkunde
100 % verfügbarSenior GRC & IT-Regulatorik Experte: EU IT-/Cyber-Regulatorik (DORA, NIS-2, AI-Act, CRA, und AUDITS)
Konstanz / St.Gallen (CH), Deutschland
Deutschland +2
Dipl.jur., Dipl.inf.Über mich
Ich biete belastbare freiberufliche IT-Compliance Expertise in Bereichen der EU-Regulatorik, Governance, Risiko-Management, Supply-Chain, Dokumentation, Verhandlung, Umsetzung, Training, Organisation, Prozesse, Services, Produkte, sBOM inkl. solider technisch-organisatorischer Massnahmen bei Audits
Skills
Künstliche IntelligenzAuditsAuditmanagementPrüfungsstandardsAutomatisierungAusschreibungenBusiness AnalysisUnternehmensberatungBetriebswirtschaftBusiness Process OutsourcingKorrektur- und VorbeugemaßnahmeCloud ComputingKommunikationswissenschaftenComplianceCompliance-SchulungenInformationssicherheitVertragsauslegungContract Lifecycle ManagementVertragsmanagementVertragsverhandlungSteuerungssystemeCorporate GovernanceCertified Regulatory Compliance ManagerInternetrechtDue DiligenceGap-AnalyseSteuerungGovernance-Risikomanagement und ComplianceITILIncident-ManagementIt-RisikomanagementAuditing (Informationstechnik)It-GovernanceIt OperationsInfrastrukturInternationale StandardsISO / IEC 27001Iso 2700XIt Service ManagementRechtswissenschaftVerhandlungOpen System InterconnectionOrganisationsstrukturAuslagerungRegulatorischen AnforderungenCloud-ServicesSchreiben von DokumentationRisikoanalyseSupply Chain ManagementSicherheitsrichtlinienSicherheitsanforderungenDienstleistungsverwaltungSimulationenSox-ComplianceSupplier Performance ManagementWertschöpfungsketteVendor Relationship ManagementIEC 62443VertragserstellungInterne KontrollmaßnahmenAblaufplanungSicherheitsauditsVertragsrechtInformationssicherheits-ManagementsystemUnternehmensinfrastrukturJuristische DienstleistungenDigital ComplianceMariskRechtliche UnterlagenTrainingsplanungProjektunterstützungVertragserfüllungUnternehmensrichtlinienDSGVOPrüfungsnahe BeratungVertragsprüfungSupplier Relationship ManagementRisikomanagementRechtliche VereinbarungenAnalyse der Schwachstellen
Meine Expertise liegt im Bereich der GAP-Analyse und Anpassung bestehender von IT-Governance, IT-Prozessen und IT-Systemen an neue regulatorische Compliance-Anforderungen der EU, sowie der prüfungssicheren Implementierung von Risiko- und Kontrollmaßnahmen, Beratung zu Anforderungen und Umsetzungsmöglichkeiten, Dokumentation und Umsetzung von technischen und organisatorischen Maßnahmen (TOMs) im Einklang mit aktueller EU-Regulatorik und rechtssicheren internen wie externen Services Beschreibungen und SLAs – z. B. DORA, NIS2, AI-Act, Cyber Resilience Act, DSGVO bis hin zur Auditabsicherung (OSI, WP-JAP, DueDiligence, etc.), Audit-Prep, Defense, Mitigation, Remediation
IT-Compliance & Regulatorik
Vorbereitung/Nachbereitung von IT-Compliance-Prüfungen, Jahresabschlussprüfungen (JAP) und On-Site-Inspections (OSI) der zuständigen Behörden EU/national
Umsetzung regulatorischer Anforderungen und Integration internationaler Standards (DORA, NIS2, AI-Act, EBA, EIOPA, ESMA, ENISA, ISO 2700x , IEC, NIST, ITIL, BSI C5 + Grundschutz)
Dokumentation, sfO und Richtlinienmanagement sowie Dienst- und Service Beschreibungen
Einführung AI-Governance und AI Code of Practice
Projektbegleitung & Risikoanalysen
Proaktive Compliance-Begleitung von IT-Projekten
Erstellung von Risiko- und Schwachstellenanalysen
Ableitung von Korrekturmaßnahmen, Digital operational Resilience Tests, Tiber-EU TLPT
Automatisierung von Compliance- und Kontrollprozessen soweit möglich
IT-Risikomanagement & Governance
Identifikation, Bewertung und Steuerung von IT- und Third-Party-Risiken
Entwicklung von Massnahmen, Sicherheitskonzepten, Resilience-Tests, xBOM-Strategien
Aufbau einer nachhaltigen IT-Governance
Audit Defense & Aufsicht
Simulation, Begleitung und Verteidigung von IT-Audits, OSIs und Aufsichtsprüfungen (EZB, BaFin, FINMA, BSI)
Unterstützung bei Vertragsverhandlungen, Auslagerungs-/Outsourcing- und Due-Diligence-Prozessen
Mitigation / Remediation
Change & Compliance Management
Begleitung des regulatorischen Paradigmenwechsels von „Best Practice“ zu „Compliance-Pflicht“
Harmonisierung internationaler Frameworks: DORA 2025, IDW PS 528, IEC 62443, BSI TR-03183, NIST SSDF, SBOMs, SOX, etc.
Schulung & Awareness
Schulungsvideos für Online-Lernsysteme im Bereich EU-Regulatorik, aktuell z.B. AI-Act, DORA, NIS2
Planung und Durchführung von Workshops zur Erfüllung gesetzlicher Kompetenzanforderungen
Awareness-Programme für Management / Fachbereiche
Ausbildung & Hintergrund
1984: Abitur
1986–1991: Studium der Rechtswissenschaften, 1. Staatsexamen (1989), Anerkennung als Dipl.-Jurist 2006
1990–1993: Studium der Betriebswirtschaft (Organisation/BWL)
1999–2003: Fernstudium Informations- und Kommunikationswissenschaften
400+ Fortbildungen im Bereich IT-Compliance
Sprachen
DeutschverhandlungssicherEnglischverhandlungssicher
Projekthistorie
- Dokumentations-Prüfung
- Identifikation "False Positives"
- Entkräftung und Fehlernachweis von fehlerhaften Audit-Feststellungen
- Offenlegung reiner Alibi- bzw. "Checklisten"-Audits
- Nachweis mangelhaften Reasonings durch IT Auditoren
- Nachweis mangelhafter Audit-Grundlagen
- Nacheeis fehlerhafter Priorisierung von Regelungen (Hierarchie)
- Nachweis mangelhafter vertraglicher Bezüge (Halluzinationen des Auditors)
Hintergrund:
- Angebliche Findings im Bereich "technisch operativer Massnahmen" im Kontext BA-IT und VA-IT
- Anforderungen waren allerdings nie vertraglich konkretisiert
- erforderliche Zusatzaufwände sollten ohne monetäre Kompensation geleistet werden
Themen:
- Technische Standards zum Rahmenwerk für das IKT-Risikomanagement
- Technische Standards zum vereinfachten Rahmenwerk für das IKT-Risikomanagement
- Technische Standards zu den Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen
- Technische Standards zur Erstellung der Vorlagen für das Informationsregister
- Technische Standards zur Spezifizierung der Richtlinie für IKT-Dienstleistungen von IKT-Drittanbietern
- Technische Standards zu Inhalten, Fristen und Vorlagen für die Meldung von Vorfällen
- Technische Standards zur Vergabe kritischer oder wichtiger Funktionen an Unterauftragnehmer
- Technische Standards zur Harmonisierung der Aufsicht
- RTS zu bedrohungsbasierten Penetrationstests TLP
- Early Adoption des geplanten NIS2UmsuCG in DE im Bereich NIS2 / CER
- SBOM / SCA für DORA, CRA, NIS2
- Vorbereitung oder Review von Policies und Verfahrensregeln anhand DORA Vorgaben
- Vorbereitung oder Review von Vertragsunterlagen
- Prozesse der Zusammenarbeit
- Konzeption und Durchführung von Operational Resilience Tests/Audits
- Durchführung von Verhandlungen mit Dritt-Parteien zu SLAs (Dienstgüte-Vereinbarungen)
- Design von Exit-Strategien
- Risiko-Bewertungen und Due Diligence
- Implementierung der folgenden DORA-Anforderungen:
- Vorfall- und Berichtswesen,
- IT Risikomanagement,
- Digital Operational Resiience Testing Programm,
- Threat Led Pen-Testing Konzeption
- 3rd Party Risks und Wertschöpfungsketten (Sub-Unternehmer)
- Third Party Register inkl. Wertschöpfungsketten und LEI-Info-Abgleich
- Incident bzw. Vorfalls- Meldungen
- Provider-Management - Vertragsmanagement und Tools
- DRY-RUN Informationsregister
- etc.
Einsatz von AI als "verlängerte Werkbank" zur Erstellung von individuellem Unterrichtsmaterial für Lern-Management Systeme (LMS)
- Early-Bird Preview der ersten 6 Module auf YouTube: AI-Act Kompakt-Schulung" mit Judy als AI-Avatar
Portfolio
Trainingsvideos zu regulatorischen GRC Themen
Maßgeschneiderte, KI-gestützte und von Experten geprüfte Schulungsvideos zu regulatorischen GRC-Themen
https://www.youtube.com/@thegreyape
Grundlagen-Schulung zum AI-Act bzw. KI-Verordnung
Der EU AI-Act bzw. die KI-Verordnung ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz Seit dem 1. August 2024 ist er in Kraft. In dieser kostenlosen Schulung erfahren Sie, was der AI-Act konkret bedeutet, wen er betrifft und wie Sie Ihr Unternehmen jetzt vorbereiten.
https://www.youtube.com/playlist?list=PLOgq6SqfOynfdxeud8xS0F7_n2g8fhpJM