Gesamtprojektleitung
End-to-End Steuerung komplexer Compliance- und IT-Security-Projekte. Verantwortung für Time, Budget, Scope, Quality und Stakeholder-Kommunikation auf Vorstands- und Aufsichtsratsebene.
Compliance · IT-Sicherheit
najhs Secure Trust GmbH
Unser Beratungsportfolio
Von der strategischen Compliance-Roadmap bis zur operativen Projektumsetzung: strukturiert, zertifizierungsfähig und auf Ihre Institution zugeschnitten.
Regulatorisch präzise. Technisch fundiert. Operativ umsetzbar.
PMO
Projektmanagement
Gesamtprojektleitung, Teilprojektleitung, agile Steuerung und Governance.
REG
Regulatorische Compliance
DORA, BAIT, KAIT, VAIT, NIS2, MaRisk, MaComp, BSI und EU AI Act.
ISO
Managementsysteme
IKS, CMS, ISMS, ISO/IEC 27001, ISO 22301 und BSI IT-Grundschutz.
BCM
Resilienz & Prozesse
BCM, BIA, Notfallkonzepte, ITSM, Outsourcing und IT-Governance.
Leistungen im Überblick
Projektmanagement
Projektmanagement
Teilprojektleitung
Übernahme definierter Workstreams in laufenden Transformations- oder Regulierungsprojekten. Nahtlose Integration in bestehende Projektstrukturen Ihres Hauses oder externer Beratungsmandate.
Agiles Projektmanagement
Einführung und Steuerung agiler Methoden auch in regulierten Umgebungen. Compliance-konformes Scrum und Kanban für Compliance-Projekte, IT-Implementierungen und Zertifizierungsvorhaben.
PMO-Setup & Governance
Aufbau projektbegleitender Office-Strukturen, Methodenstandardisierung, Berichts- und Eskalationswege sowie revisionssichere Dokumentation für aufsichtsrechtliche Prüfungen.
Regulatorische Compliance
Regulatorik für BaFin-beaufsichtigte Institute
Wir begleiten BaFin-beaufsichtigte Institute bei der Interpretation, Gap-Analyse, Implementierung und Vorbereitung auf interne, externe sowie aufsichtliche Prüfungen. Unsere Leistungen decken das Spektrum der Finanzmarktregulierung in den Themengebieten Risikomanagement und aufsichtliche Mindestanforderungen, IT- und Cyber-Security sowie Künstliche Intelligenz und Daten ab.
Regulierung
Inhalt & Schwerpunkt
Unsere Leistung
DORA
EU 2022/2554
EU 2022/2554
Digital Operational Resilience Act, ICT-Risikomanagement, Incident Reporting, Resilience-Tests und Drittpartei-Überwachung.
Gap-Analyse, RTS/ITS-Implementierung, Resilience-Test-Begleitung und Outsourcingmanagement.
BAIT / KAIT / VAIT
IT-Strategie, IT-Governance, Informationssicherheit, IT-Projekte und aufsichtliche Anforderungen an die IT.
IT-Strategie, IT-Governance-Dokumentation, IT-Organisation, Compliance-Assessment, ISB-Support, Auslagerungsmanagement, Prüfungsvorbereitung und MaRisk AT 7.2-Abgleich.
NIS2-Richtlinie
Netz- und Informationssicherheit, umgesetzt über das NIS2UmsuCG.
Gap-Analyse, Bestandsaufnahme, Umsetzungsbegleitung, Maßnahmenplanung, Prüfungsvorbereitung und Nachweisdokumentation.
BSI IT-Grundschutz
Methoden- und Rahmenwerk zur Umsetzung der Informationssicherheit.
Schutzbedarfsfeststellung, Strukturanalyse, Grundschutz-Check, Gap-Analyse, Maßnahmenplanung und Umsetzungsbegleitung.
MaRisk
Mindestanforderungen an das Risikomanagement, Aufbau- und Ablauforganisation, Risikotragfähigkeit und Outsourcing.
Risikohandbuch, Aufbau- und Ablauforganisation, Outsourcing-Governance, Auslagerungsmanagement, MaRisk-Novelle-Umsetzung und Prüfungsvorbereitung.
MaComp
Mindestanforderungen an die Compliance-Funktion.
Compliance-Funktionsaufbau, Rollenkonzept, Richtlinien, Verfahrensanweisungen, Überwachungs- und Kontrollsysteme.
EU AI Act
Pflichten für Betreiber von KI-Systemen im Finanzsektor.
Bestandsaufnahme, Risikoklassifizierung eingesetzter KI-Systeme, Prüfung von Anbieter-Dokumentation und Konformitätsnachweisen sowie Aufbau interner AI-Governance.
Managementsysteme
Managementsysteme
Internes Kontrollsystem
Aufbau, Weiterentwicklung und Zertifizierung interner Kontrollsysteme.
- ISAE 3402 Typ 1 & Typ 2, SOC 1
- Kontrolldesign und Dokumentation
- Organisatorische Implementierung
- Prüfungsvorbereitung
Compliance Management System
Compliance Management System nach IDW PS 980.
- IST-Aufnahme, Compliance-Risikoanalyse und Gap-Analyse
- CMS-Struktur, Richtlinien, Organisation und Maßnahmen
- Umsetzung, Schulungen, Kommunikation und Prozesse
- Monitoring, Reporting, interne Audits und kontinuierliche Verbesserung
Informationssicherheitsmanagementsystem
Einführung, Zertifizierung und kontinuierliche Verbesserung von Informationssicherheitsmanagementsystemen.
- ISO/IEC 27001, BSI IT-Grundschutz und NIST Cybersecurity Framework 2.0
- Scope, Kontext der Organisation und Stakeholder-Anforderungen
- Informationswerte, Risiken, Bewertung und Gap-Analyse
- Controls nach Anhang A, Richtlinien, Prozesse und Schulungen
- Audits, Managementbewertung, KPIs und kontinuierlicher Verbesserungsprozess
Business Continuity
Business Continuity Management
BCM-Framework
Aufbau vollständiger Business-Continuity-Management-Strukturen gemäß ISO 22301, BSI-Standard 200-4 und den Anforderungen der MaRisk AT 7.3 sowie DORA Art. 11.
Business Impact Analyse
Strukturierte Identifikation und Priorisierung kritischer Geschäftsprozesse, Ressourcenabhängigkeiten und Recovery-Anforderungen für Finanzdienstleister und IT-Dienstleister im Finanzsektor.
Notfall- & Wiederanlaufkonzepte
Erstellung anwendbarer Notfallpläne, Notfallhandbücher und Wiederanlaufpläne für IT-Systeme, kritische Anwendungen und Kernprozesse inklusive Kommunikations- und Eskalationsstrukturen.
Disaster Recovery & Tests
Erstellung und Pflege aufsichtskonformer Disaster-Recovery-Pläne. Planung, Durchführung und Auswertung von BCM-Übungen, Tabletop-Szenarien und technischen Failover-Tests.
IT-Service & Prozesse
IT-Services & Prozesse
IT-Service-Management nach ITIL
Einführung und Optimierung ITIL-konformer Prozesse: Incident-, Problem-, Change-, Release- und Configuration-Management, angepasst an aufsichtliche Anforderungen aus BAIT, VAIT und DORA.
Prozessentwicklung & -optimierung
Analyse, Redesign und Automatisierung von IT-, Service- und Compliance-Prozessen. Modellierung nach Business Process Model and Notation, Kennzahlenentwicklung und kontinuierliche Verbesserung.
Outsourcing & Third-Party-Management
Regulatorisch konforme Gestaltung von IT-Auslagerungen gemäß MaRisk AT 9, EBA-Outsourcing-Leitlinien und DORA Kapitel V. Vertragsgestaltung, Risikoanalyse und laufendes Monitoring.
IT-Governance & Organisation
Aufbau belastbarer IT-Governance-Strukturen: Rollenkonzepte, Gremienstrukturen, IT-Strategie-Dokumentation und aufsichtsrechtlich anforderungsgerechte Berichtswege.