nexalign

Branche · Banken & Finanzdienstleister

DecisionOS für Banken und Finanzdienstleister

Banken und Finanzdienstleister treffen IT-Entscheidungen unter der dichtesten Regulatorik in Europa: DORA, MaRisk (AT 7.2), BAIT, KWG, EBA-Outsourcing-Guidelines und NIS2 fließen gleichzeitig ein. DecisionOS ist die Infrastruktur, die jede materielle IT-Beschaffungs- oder Auslagerungsentscheidung in ein strukturiertes, auditfähiges Decision Memo überführt, das direkt in Art. 28–30 DORA und in die MaRisk-Evidenz einspeist.

TL;DR

Banken entscheiden unter DORA, MaRisk, BAIT gleichzeitig. DecisionOS liefert das Memo, das alle drei Prüfer akzeptieren.

Regulatorik im Überblick

DORANIS2MaRisk AT 7.2BAITKWG §25bEBA-Outsourcing-GuidelinesISO 27001

Regulatorischer Kontext

Für ein typisches deutsches Kreditinstitut greifen bei einer IT-Beschaffungsentscheidung mindestens DORA (seit 17. Januar 2025 anwendbar), MaRisk AT 7.2 und BAIT gleichzeitig. Für systemrelevante Häuser kommen SSM-Erwartungen der EZB hinzu. Das Memo muss alle gleichzeitig bedienen.

DORA ist der dominante Rahmen: Art. 5 (ICT-Risikomanagement-Framework), Art. 17–23 (Incident-Management und Meldung), Art. 24–27 (Digital Operational Resilience Testing, inkl. TLPT für signifikante Entitäten), Art. 28–30 (ICT-Drittanbieter-Risiko, Register, Vertragsklauseln) und Art. 45–49 (Informationsaustausch).

MaRisk AT 7.2 fordert ein angemessenes IT-Risikomanagement, klare Verantwortlichkeiten und dokumentierte Entscheidungen über Technologieausstattung und -architektur. BAIT präzisiert das auf Informationssicherheit, Benutzerberechtigungen, Projekte und Auslagerungen.

Typische Entscheidungen

EDR / XDR Auswahl

IAM / IGA / PAM Stack

Sovereign Cloud Migration

IT-Outsourcing / Cloud-Provider

DORA-Readiness Programm

NIS2-Readiness Programm

Dealbreaker (nicht verhandelbar)

  • EU-Datenresidenz mit Schlüsselkontrolle

    DORA Art. 28 und EBA-Guidelines erwarten nachweisbare Hoheit über Verschlüsselung und Datenfluss. US-CLOUD-Act-Exposition ist häufig ein Ausschlussgrund.

  • Dokumentierte Exit-Strategie pro kritischem ICT-TPP

    DORA Art. 28 Abs. 8 verlangt explizit den getesteten Ausstieg. Ohne geht die Vertragsklausel nicht durch.

  • Pflichtklauseln nach DORA Art. 30

    Audit-Rechte, Sub-Outsourcing-Kontrolle, Incident-Reporting. Alles explizit im Vertrag oder nicht relevant.

  • BaFin-meldefähiges Incident-Reporting

    Cascade 24/72/30. Getestet, nicht nur prozessual. Ein untrainierter Meldeprozess reißt die BaFin-Prüfung.

Wo DecisionOS in den Prüf-Trail einspeist

Das Decision Memo aus DecisionOS ist die strukturierte Antwort auf die Frage "Warum genau diese Lösung, dieser Anbieter, dieses Design?" — exakt die Frage, die BaFin-Prüfer, die interne Revision und externe DORA-Auditoren stellen.

Das Memo mappt direkt: Kriterien und Gewichtungen → Art. 5 DORA und MaRisk AT 7.2. Dealbreaker → DORA Art. 28 Eignungsprüfung. Evidenz pro Claim → Art. 28 Due Diligence. Stakeholder-Alignment → MaRisk AT 5 Governance. Residualrisiken → DORA Art. 6 Risikotoleranz. Readiness-Score → internes Signal für Prüfreife.

Typische Anwendungsfälle

Cloud-Workload-Migration mit Sovereign-Cloud-Option: Hauptentscheidung + mehrere abgeleitete Entscheidungen (IAM-Integration, Log-Management, Exit-Plan). Jede als eigenes Memo.

Wechsel des Core-Banking-Zulieferers oder Kernbanksystem-Modernisierung: multi-Stakeholder-Entscheidung mit Vorstand als Approver, über Monate versioniert.

EDR/XDR-Ablösung: kompakte Entscheidung, aber muss durch Compliance, Betrieb und Budget — DecisionOS komprimiert auf wenige Arbeitstage bei voller Audit-Tiefe.

Hosting und Datenhoheit

DecisionOS wird ausschließlich in der EU betrieben (Hetzner, Nürnberg). Kein Third-Party-Tracking, selbst gehostete Analyse, AVV nach Art. 28 DSGVO mit dem Hoster. Das ist für DORA-relevante Workloads der regulatorische Default, nicht eine Option.

FAQ

Kann DecisionOS für DORA-relevante Entscheidungen verwendet werden?

Ja. Das Decision-Memo-Format ist bewusst so geformt, dass es in die Art. 28–30 DORA-Evidenzkette passt. Auditrechte und Vertragsklauseln bleiben bei der Procurement-Suite und beim juristischen Dokument; DecisionOS liefert die strukturierte Entscheidungsgrundlage, die dem Vertrag vorausgeht.

Deckt DecisionOS MaRisk und BAIT ab, oder ersetzt es GRC-Tools?

DecisionOS ersetzt keine GRC-Plattform wie ServiceNow GRC oder OneTrust. Es ergänzt sie: GRC bildet kontinuierliche Risiken und Kontrollen ab, DecisionOS liefert das Memo pro materieller Einzelentscheidung. Das Memo wandert als Evidenz in das GRC-System.

Wie verhält sich DecisionOS zu Consulting-Unterstützung (Big4, spezialisierte DORA-Beratung)?

Beratung strukturiert das Programm (Gap-Analyse, Rollout-Plan, initiale Policy-Landschaft). DecisionOS ist die Infrastruktur für die wiederkehrenden Einzelentscheidungen innerhalb des Programms. Beide koexistieren typischerweise.

Welche Daten bleiben wirklich in der EU?

Alle Anwendungsdaten werden in Deutschland verarbeitet. Transaktionale E-Mails laufen über einen GDPR-konformen Anbieter (Resend) unter dem EU-US Data Privacy Framework. Für reine Inhouse-Betriebsmodelle mit strengster Datenresidenz ist ein dediziertes Deployment möglich.

Relevante Vergleiche

DecisionOS vs ServiceNow GRC

ServiceNow runs your GRC programme. DecisionOS runs the decisions inside it.

DecisionOS vs OneTrust

OneTrust manages privacy and risk continuously. DecisionOS produces the decision inside.

DecisionOS vs strategy consulting

Consultants structure your decision once. DecisionOS structures every decision.

DecisionOS vs Cloverpop

Cloverpop covers many decision types broadly. DecisionOS covers enterprise technology decisions deeply.

Demo buchen →Was ist DecisionOS?