Experte für GRC und Regulatory Compliance (DORA, BAIT, VAIT)

Unterstützung bei der Umsetzung und Einhaltung von Vorgaben wie DORA, BAIT, VAIT, KAIT, NIS-2 und MaRisk für Finanzinstitute, Versicherer und KRITIS-Betreiber. Durchführung interner und externer IT-Prüfungen zur Bewertung von IT-Systemen, Prozessen und Compliance sowie Vorbereitung auf aufsichtliche Sonderprüfungen nach § 44 KWG und § 8a Abs. 4 BSIG. Implementierung und Zertifizierung interner Kontrollsysteme nach ISAE 3000, 3402, SOC und IDW PS 951 zur Optimierung der Kontrolllandschaft. Einführung, Zertifizierung und Verbesserung von Informationssicherheitsmanagementsystemen nach ISO/IEC 27001, BSI IT-Grundschutz und NIST. Entwicklung von GRC-Frameworks zur effektiven Steuerung von IT-Risiken und Sicherstellung regulatorischer Konformität.

Fachlicher Schwerpunkt: 
Regulatorische Compliance, u.a. BAIT, VAIT, KAIT, DORA, NIS-2, BSIG, MaRisk, KaMaRisk, MaComp, MiFID II IT-Audit, u.a. interne oder externe IT-Prüfungen sowie Sonderprüfungen gem. § 44 KWG und § 8a Abs. 4 BSIG Aufbau und Zertifizierung interner Kontrollsysteme (IKS), u.a. ISAE 3000 und 3402 (Typ 1 und 2), SOC, IDW PS 951 Informationssicherheitsmanagementsystem (ISMS), u.a. ISO/IEC 27001, BSI IT-Grundschutz, NIST Framework IT-Governance, Risk und Compliance

Standards:
BAIT, VAIT, KAIT, DORA, MaRisk, KaMaRisk § 44 KWG, § 8a Abs. 4 BSIG NIS-2 BSI-Standards 200-1, 200-2, 200-3 und 100-4 BSI IT-Grundschutz-Kompendium, ISO/IEC 27001 ISAE, SOC-1, SSAE16, IDW PS 951 HGB, IFRS, US-GAAP, WPHG

Definition der Unternehmensvision, -mission und strategischen Ziele mit Schwerpunkt auf IT-Sicherheit. Entwicklung und Umsetzung mittel- und langfristiger Strategien zur Erreichung dieser Ziele. Aufbau und Pflege von Beziehungen zu wichtigen Stakeholdern wie Finanzinstituten, Branchenexperten und Regulierungsbehörden. Rekrutierung, Schulung und Führung eines Teams von IT-Sicherheitsexperten, Prüfern und Beratern. Förderung einer kollaborativen und innovationsfördernden Arbeitskultur, die kontinuierliches Lernen und berufliche Weiterentwicklung aktiv unterstützt.

Leitung und Durchführung von KRITIS-Prüfungen gemäß § 8a Absatz 4 BSIG bei Betreibern kritischer Infrastrukturen. Die Prüfungen umfassen detaillierte, tiefgehende Analysen und Bewertungen nach BSI-Standard, die je nach Größe und Komplexität des Betreibers in der Regel drei bis sechs Monate in Anspruch nehmen. Dabei werden Sicherheitsmaßnahmen, organisatorische Prozesse und technische Systeme auf ihre Wirksamkeit und Konformität hinsichtlich regulatorischer Vorgaben und Best Practices geprüft, um eine robuste Resilienz gegenüber potenziellen Bedrohungen sicherzustellen. Darüber hinaus erfolgt eine enge Abstimmung mit den beteiligten Stakeholdern, um praxisnahe Empfehlungen und Maßnahmenpläne zu entwickeln.