Branche · Versicherungen
DecisionOS für Versicherungsunternehmen
Versicherer treffen IT-Entscheidungen unter einer besonderen regulatorischen Mischung: DORA überlagert Solvency II und die VAIT, NIS2 schichtet für wesentliche und wichtige Entitäten noch obendrauf. DecisionOS liefert ein Decision-Memo-Format, das alle drei Aufsichtslogiken gleichzeitig bedient, ohne dass Teams für jede Regulierung einen eigenen Dokumententyp pflegen müssen.
TL;DR
Versicherer entscheiden unter DORA + Solvency II + VAIT gleichzeitig. Ein Memo-Format für alle drei.
Regulatorik im Überblick
Regulatorischer Kontext
DORA gilt seit 17. Januar 2025 auch für Versicherungsunternehmen. Im Zusammenspiel mit Solvency II (Governance-System, Eigenmittel, ORSA) und der VAIT entsteht ein besonders enger Rahmen für IT-Entscheidungen.
VAIT präzisiert die Erwartung der BaFin an IT-Governance in der Versicherungswirtschaft: Strategie, IT-Governance, Informationssicherheit, Auslagerung, Projektbetrieb. Jeder Block hat direkte Implikationen für Einzelentscheidungen.
EIOPA-Cloud-Outsourcing-Guidelines setzen zusätzlich harte Erwartungen an Risk Assessment, schriftliche Policy und Due Diligence vor dem Vertragsabschluss.
Typische Entscheidungen
Dealbreaker (nicht verhandelbar)
Solvency-II-kompatibles ORSA-Input
Material-IT-Risiko fließt in das Own Risk and Solvency Assessment. Entscheidungen müssen quantifizierbar feedable sein.
VAIT-konforme Informationssicherheitsorganisation
VAIT fordert dokumentierte Verantwortung, Risikobewertung und Kontrollen. Das Memo ist die Primärevidenz.
DORA Art. 28 ICT-Drittanbieter-Register
Jede materielle Auslagerung ist kritisch/nicht-kritisch klassifiziert, mit Exit-Strategie pro kritischem TPP.
BaFin-meldefähige Incident-Cascade
24/72/30-Timeline plus DORA Art. 19 für materielle ICT-Incidents. Ungetestete Prozesse reißen bei der Aufsicht.
Wie DecisionOS fit ist
Das Memo macht aus einem Tabellenkalkulations-Evaluations-Prozess einen strukturierten Artefakt, der als ICT-Drittanbieter-Due-Diligence (DORA Art. 28), als VAIT-Auslagerungsentscheidung und als ORSA-Input (Solvency II) gleichzeitig dient.
Audit-Vorbereitung: Das Memo ist im Aufsichtsformat produzierbar — strukturierte Evidenz pro Claim, separate Dealbreaker, versioniertes Scoring, nachvollziehbare Stakeholder-Positionen.
Typische Anwendungsfälle
Cloud-Migration eines Policy-Management-Systems: Hybrid/Sovereign/Hyperscaler-Entscheidung mit expliziter Klassifikation nach DORA-Kritikalität.
Auswahl eines externen Dienstleisters für Claims-Processing: Multi-Jurisdictional, Datenfluss-relevant, Solvency-II-risikorelevant.
Einführung einer neuen EDR/XDR-Plattform nach einem internen Vorfall: schnelle Entscheidung, aber mit DORA-TLPT-Relevanz und VAIT-Dokumentation.
Hosting und Datenhoheit
DecisionOS läuft ausschließlich in der EU (Hetzner, Nürnberg). Für Versicherer relevant: keine Datenübertragung in Drittländer unter GDPR Kap. V, DORA-konformer Verarbeitungsvertrag verfügbar.
FAQ
Deckt DecisionOS Solvency II ab?
DecisionOS ist kein Solvency-II-Modul und ersetzt weder ORSA-Tools noch das interne Risikomanagementsystem. Es liefert die strukturierten Decision Memos, die als qualitative und quantitative Inputs in Solvency-II-Governance-Prozesse einspeisen.
Wie passt DecisionOS zu VAIT-Prüfungen der BaFin?
VAIT-Prüfungen fordern dokumentierte Auslagerungsentscheidungen, Risk Assessments und Governance-Spuren. Das DecisionOS-Memo ist genau diese Spur — für jede einzelne Entscheidung, nicht aggregiert auf Policy-Ebene.
Ist DecisionOS auch für Rückversicherer passend?
Ja. Rückversicherer fallen unter DORA und eine oft engere Aufsicht durch BaFin / EIOPA; der Nutzen wächst mit der Prüfungsintensität.
Relevante Vergleiche
DecisionOS vs ServiceNow GRC
ServiceNow runs your GRC programme. DecisionOS runs the decisions inside it.
DecisionOS vs OneTrust
OneTrust manages privacy and risk continuously. DecisionOS produces the decision inside.
DecisionOS vs Cloverpop
Cloverpop covers many decision types broadly. DecisionOS covers enterprise technology decisions deeply.