Branche · Banken & Finanzdienstleister
DecisionOS für Banken und Finanzdienstleister
Banken und Finanzdienstleister treffen IT-Entscheidungen unter der dichtesten Regulatorik in Europa: DORA, MaRisk (AT 7.2), BAIT, KWG, EBA-Outsourcing-Guidelines und NIS2 fließen gleichzeitig ein. DecisionOS ist die Infrastruktur, die jede materielle IT-Beschaffungs- oder Auslagerungsentscheidung in ein strukturiertes, auditfähiges Decision Memo überführt, das direkt in Art. 28–30 DORA und in die MaRisk-Evidenz einspeist.
TL;DR
Banken entscheiden unter DORA, MaRisk, BAIT gleichzeitig. DecisionOS liefert das Memo, das alle drei Prüfer akzeptieren.
Regulatorik im Überblick
Regulatorischer Kontext
Für ein typisches deutsches Kreditinstitut greifen bei einer IT-Beschaffungsentscheidung mindestens DORA (seit 17. Januar 2025 anwendbar), MaRisk AT 7.2 und BAIT gleichzeitig. Für systemrelevante Häuser kommen SSM-Erwartungen der EZB hinzu. Das Memo muss alle gleichzeitig bedienen.
DORA ist der dominante Rahmen: Art. 5 (ICT-Risikomanagement-Framework), Art. 17–23 (Incident-Management und Meldung), Art. 24–27 (Digital Operational Resilience Testing, inkl. TLPT für signifikante Entitäten), Art. 28–30 (ICT-Drittanbieter-Risiko, Register, Vertragsklauseln) und Art. 45–49 (Informationsaustausch).
MaRisk AT 7.2 fordert ein angemessenes IT-Risikomanagement, klare Verantwortlichkeiten und dokumentierte Entscheidungen über Technologieausstattung und -architektur. BAIT präzisiert das auf Informationssicherheit, Benutzerberechtigungen, Projekte und Auslagerungen.
Typische Entscheidungen
Dealbreaker (nicht verhandelbar)
EU-Datenresidenz mit Schlüsselkontrolle
DORA Art. 28 und EBA-Guidelines erwarten nachweisbare Hoheit über Verschlüsselung und Datenfluss. US-CLOUD-Act-Exposition ist häufig ein Ausschlussgrund.
Dokumentierte Exit-Strategie pro kritischem ICT-TPP
DORA Art. 28 Abs. 8 verlangt explizit den getesteten Ausstieg. Ohne geht die Vertragsklausel nicht durch.
Pflichtklauseln nach DORA Art. 30
Audit-Rechte, Sub-Outsourcing-Kontrolle, Incident-Reporting. Alles explizit im Vertrag oder nicht relevant.
BaFin-meldefähiges Incident-Reporting
Cascade 24/72/30. Getestet, nicht nur prozessual. Ein untrainierter Meldeprozess reißt die BaFin-Prüfung.
Wo DecisionOS in den Prüf-Trail einspeist
Das Decision Memo aus DecisionOS ist die strukturierte Antwort auf die Frage "Warum genau diese Lösung, dieser Anbieter, dieses Design?" — exakt die Frage, die BaFin-Prüfer, die interne Revision und externe DORA-Auditoren stellen.
Das Memo mappt direkt: Kriterien und Gewichtungen → Art. 5 DORA und MaRisk AT 7.2. Dealbreaker → DORA Art. 28 Eignungsprüfung. Evidenz pro Claim → Art. 28 Due Diligence. Stakeholder-Alignment → MaRisk AT 5 Governance. Residualrisiken → DORA Art. 6 Risikotoleranz. Readiness-Score → internes Signal für Prüfreife.
Typische Anwendungsfälle
Cloud-Workload-Migration mit Sovereign-Cloud-Option: Hauptentscheidung + mehrere abgeleitete Entscheidungen (IAM-Integration, Log-Management, Exit-Plan). Jede als eigenes Memo.
Wechsel des Core-Banking-Zulieferers oder Kernbanksystem-Modernisierung: multi-Stakeholder-Entscheidung mit Vorstand als Approver, über Monate versioniert.
EDR/XDR-Ablösung: kompakte Entscheidung, aber muss durch Compliance, Betrieb und Budget — DecisionOS komprimiert auf wenige Arbeitstage bei voller Audit-Tiefe.
Hosting und Datenhoheit
DecisionOS wird ausschließlich in der EU betrieben. Kein Third-Party-Tracking, selbst gehostete Analyse, AVV nach Art. 28 DSGVO mit dem Hoster. Das ist für DORA-relevante Workloads der regulatorische Default, nicht eine Option.
FAQ
Kann DecisionOS für DORA-relevante Entscheidungen verwendet werden?
Ja. Das Decision-Memo-Format ist bewusst so geformt, dass es in die Art. 28–30 DORA-Evidenzkette passt. Auditrechte und Vertragsklauseln bleiben bei der Procurement-Suite und beim juristischen Dokument; DecisionOS liefert die strukturierte Entscheidungsgrundlage, die dem Vertrag vorausgeht.
Deckt DecisionOS MaRisk und BAIT ab, oder ersetzt es GRC-Tools?
DecisionOS ersetzt keine GRC-Plattform wie ServiceNow GRC oder OneTrust. Es ergänzt sie: GRC bildet kontinuierliche Risiken und Kontrollen ab, DecisionOS liefert das Memo pro materieller Einzelentscheidung. Das Memo wandert als Evidenz in das GRC-System.
Wie verhält sich DecisionOS zu Consulting-Unterstützung (Big4, spezialisierte DORA-Beratung)?
Beratung strukturiert das Programm (Gap-Analyse, Rollout-Plan, initiale Policy-Landschaft). DecisionOS ist die Infrastruktur für die wiederkehrenden Einzelentscheidungen innerhalb des Programms. Beide koexistieren typischerweise.
Welche Daten bleiben wirklich in der EU?
Alle Anwendungsdaten werden in Deutschland verarbeitet. Transaktionale E-Mails laufen über einen GDPR-konformen Anbieter (Resend) unter dem EU-US Data Privacy Framework. Für reine Inhouse-Betriebsmodelle mit strengster Datenresidenz ist ein dediziertes Deployment möglich.
Wie verhält sich DecisionOS zu BaFin-Sonderprüfungen nach §44 KWG?
Das Decision Memo dient als strukturierter Beleg, dass die Geschäftsleitung Auswahlkriterien, Dealbreaker, Stakeholder-Beteiligung und Restrisiken dokumentiert beurteilt hat. BaFin-Prüfer und interne Revision finden im Memo die Antworten auf MaRisk AT 7.2 sowie BAIT-Anforderungen ohne Bruch zwischen Vergabeprozess und IT-Risikomanagement.
Passende Entscheidungs-Guides
Compliance
How to reach DORA readiness as a financial entity
Compliance
How to reach NIS2 readiness as a mid-market or enterprise operator
Compliance
ISO 27001:2022 recertification: a structured migration and renewal guide
Security
How to choose an IAM, IGA and PAM stack
Infrastructure
How to make a sovereign cloud migration decision
Verwandte Vergleiche
DecisionOS vs Vanta
Vanta automates compliance. DecisionOS documents decisions.
DecisionOS vs OneTrust
OneTrust manages privacy and risk continuously. DecisionOS produces the decision inside.
DecisionOS vs ServiceNow GRC
ServiceNow runs your GRC programme. DecisionOS runs the decisions inside it.
DecisionOS vs. ChatGPT, Claude, Gemini & Co. für strukturierte Enterprise-Entscheidungen
Generische LLMs erforschen. DecisionOS entscheidet und dokumentiert auditfähig.
Relevante Branchen
Banken & Finanzdienstleister
Banken entscheiden unter DORA, MaRisk, BAIT gleichzeitig. DecisionOS liefert das Memo, das alle drei Prüfer akzeptieren.
Versicherungen
Versicherer entscheiden unter DORA + Solvency II + VAIT gleichzeitig. Ein Memo-Format für alle drei.
Öffentlicher Sektor
Öffentlicher Sektor: NIS2 + UP KRITIS + BSI-Grundschutz + C5 gleichzeitig. Ein Memo-Format, das alle Prüfer bedient.
Gesundheitswesen
Gesundheitswesen: KRITIS + NIS2 + B3S + DSGVO Art. 9. DecisionOS macht das Memo prüfbar.
Energieversorger
Energieversorger: KRITIS + IT-SiG 2.0 + NIS2 + branchenspezifische Sicherheit. Memo muss vor BSI und BNetzA bestehen.