Michael (Georg) Speller
Brücke zwischen Recht, IKT-Betrieb und Best Practices
Erfahrungen
Freiberuflicher Compliance & IT-Regulatorik Berater
Diverse Finanzinstitute und regulierte Unternehmen
- Beratung von Finanzinstituten zur Umsetzung von DORA und NIS2 Anforderungen
- Gap-Analysen zwischen bestehenden Governance-Strukturen und neuen regulatorischen Vorgaben
- Erstellung und Überarbeitung von Richtlinien, Prozessbeschreibungen, Vertragsanhängen und technisch-organisatorischen Maßnahmen
- Konzeption von Digital Operational Resilience Testing-Programmen (DORA Art. 24–25)
- Drittpartei-Risikomanagement: Aufbau eines Drittpartei-Registers, LEI-Abgleich, Wertschöpfungskettenanalyse
- Schulung interner Mitarbeiter zu DORA/NIS2-Anforderungen
- Verhandlung und Nachverhandlung von Outsourcing-Verträgen gemäß DORA/NIS2-Vorgaben
- Einsatz von Technologien/Frameworks: DORA, NIS2, EBA-Leitlinien, BaFin-Anforderungen, NIST CSF, ISO 27001
- Engagements unterliegen strikten NDAs
IT-Audit-Verteidigungsmanager
DÜRR AG
- Verteidigung von IT-Feststellungen gegenüber Wirtschaftsprüfern im Rahmen der Jahresabschlussprüfung
- Koordination von Gegenmaßnahmen über mehrere Projektstreams
- Schnittstelle zwischen Fachbereichen, IT und externen Prüfern
- Qualitätssicherung der Kommunikation und technischen Konzepte
- Berichterstattung an den Aufsichtsrat zu Behebungsmaßnahmen
- Proaktive Beratung der Fachbereiche zu NIS2, KRITIS, ISO 27001, TISAX und SAP-Berechtigungen
- Ergebnis: Erfolgreiche Abnahme durch Wirtschaftsprüfer, alle kritischen Feststellungen geschlossen
- Einsatz von Technologien/Frameworks: NIS2, KRITIS, ISO 27001, TISAX, DSGVO
Audit-Verteidigungsberater
Finanzinstitut
- Begleitung und Verteidigung der EBA/EZB-Aufsichtsprüfung
- Missionsleiter auf Kundenseite während der Vor-Ort-Inspektion
- Koordination aller internen Beteiligten während der Prüfung
- Vorbereitung und Begleitung von Interviews mit Aufsichtsbehörden
- Dokumentenprüfung und -aufbereitung für regulatorische Anforderungen
- Entwicklung von Behebungsplänen für identifizierte Lücken
- Ergebnis: Erfolgreicher Abschluss der OSI ohne wesentliche Monita
- Einsatz von Technologien/Frameworks: EBA-Leitlinien, MaRisk, BAIT, EZB-Aufsichtsanforderungen
- Detaillierte Informationen unterliegen NDA
Senior IT-Compliance-Berater
Stuttgarter Versicherung
- Konzeption und Steuerung des vollständigen Outsourcing-Prozesses von On-Premise zu Microsoft 365/Azure-Cloud
- Compliance-Bewertung nach DORA, NIS2, EIOPA-Leitlinien und VAGO/VAIT
- Due-Diligence-Prüfung und Audit der Cloud-Service-Provider und MSP
- Erstellung neuer interner Verfahrensanweisungen und Risikomanagement-Methodik
- Schulung der Mitarbeiter (Auslagerungsmanagement, Rechtsabteilung, FinOps)
- Anmeldung des Vorhabens über MVP-Portal der BaFin
- Protokollierung der Vorstandsentscheidungen nach aufsichtsrechtlichen Vorgaben
- Ergebnis: Erfolgreiche BaFin-Genehmigung, Produktivstart ohne Feststellungen
- Einsatz von Technologien/Frameworks: Microsoft 365, Azure, EIOPA-Leitlinien, VAGO/VAIT, DORA (Vorbereitung)
IT-Governance-Strategieberater
Zwilling AG
- Entwicklung globaler IT-Governance für 14 Länder unter Berücksichtigung unterschiedlicher Compliance-Anforderungen (EU, APAC, US)
- Umstellung auf SIAM (Service Integration and Management)
- Vorbereitung eines Continuous-Auditing-Frameworks
- Sicherstellung internationaler Datenschutzanforderungen (DSGVO, APAC-Datenschutzgesetze, US-Vorschriften)
- Einsatz von Technologien/Frameworks: SIAM, DSGVO, Multi-Jurisdictional-Compliance
IT-Compliance & Outsourcing-Berater
Bank Norddeutschland
- Risikobewertung von IT-Fremdbezügen und Auslagerungen nach MaRisk 08/2021
- Prozessanpassungen in IT-Governance und IT-Sicherheit
- Audit der IT-Dienstleister auf Compliance-Einhaltung
- Schulung zu Segregation of Duties und Three Lines of Defense
- Erstellung von Playbooks für größere IT-Zwischenfälle
- Einsatz von Technologien/Frameworks: MaRisk 2021, Three Lines of Defense, IT-Vorfallmanagement
Cloud-Outsourcing-Berater
Großbank Hessen
- Due Diligence von Public-Cloud-Outsourcing-Vorhaben
- Analyse von Sub-Unternehmer-Wertschöpfungsketten
- Bewertung gegen MaRisk 2021, BAIT 2021, EBA-Richtlinien (Outsourcing, ICT-Risikomanagement)
- Vertragsanalyse und Nachverhandlung mit Hyperscalern
- Prüfung von Audit- und Weisungsrechten in Cloud-Verträgen
- Einsatz von Technologien/Frameworks: AWS, Azure, Google Cloud, MaRisk, BAIT, EBA-Richtlinien
Senior Cloud-Compliance-Berater
TeamBank Bayern
- Risikoanalyse von Cloud-Outsourcing unter MaRisk 2021 und BAIT 2021
- Nachverhandlung von Standardverträgen der Hyperscaler
- Due Diligence mit AWS, Microsoft, Google, Genesys
- Analyse der Sub-Contractor Chains und vertraglicher Audit-Rechte
- Einsatz von Technologien/Frameworks: AWS, Azure, Google Cloud, Genesys, MaRisk, BAIT, EBA-Richtlinien
IT-Outsourcing & Cloud-Governance-Berater
Oldenburgische Landesbank
- Szenariobasierte Risikoanalyse für Cloud-Outsourcing
- GAP-Analyse vertraglicher Regelungen gegen regulatorische Anforderungen
- Neuordnung der internen Governance-Strukturen
- Auditierung von Sub-Unternehmer-Wertschöpfungsketten
- Vertragsverhandlung mit AWS, Microsoft, Google, SAP und Salesforce
- Vorbereitung der §44 KWG-Prüfung durch die BaFin zu Outsourcing-Themen
- Einsatz von Technologien/Frameworks: AWS, Azure, Google Cloud, SAP, Salesforce, MaRisk 2021, BAIT, ENISA Cloud-Zertifizierung
Cloud-Outsourcing-Berater
dwpbank
- Risikoanalyse von Cloud-Outsourcing für Bankendienstleister
- GAP-Analyse zwischen Kundenverträgen, Provider-Verträgen und EBA-Richtlinien
- Etablierung einer Three Lines of Defense-Governance
- Verhandlung mit rund 300 institutionellen Bankkunden zu Compliance-Anforderungen
- Einsatz von Technologien/Frameworks: EBA-Richtlinien, Three Lines of Defense, Multi-Tenant Banking
IT-Audit-Defense-Task-Force-Manager
Viridium SE
- Task Force zur Korrektur von BaFin-Findings und Monita im Bereich IT-Outsourcing
- Neu-Bewertung von IT-Outsourcing-Risiken
- GAP-Analyse gegen EIOPA-Vorgaben
- Neu-Strukturierung von IT-Outsourcing und IT-Sicherheits-Governance (Drei Verteidigungslinien)
- Überarbeitung des IT-Reportings nach VAIT-Anforderungen
- Ergebnis: Erfolgreiche BaFin-Nachprüfung, alle Monita geschlossen
- Einsatz von Technologien/Frameworks: Solvency II, §32 VAG, MaGo, VAIT, EIOPA, DSGVO
Leiter des Zentralen Auslagerungsmanagements
LBBW (Landesbank)
- Aufbau eines weltweiten Auslagerungs-Managements (Zweite Verteidigungslinie) für D, GB, US und Singapur
- Auditierung von Sachverhalten auf Auslagerungsrelevanz gemäß MaRisk AT9
- GAP-Analysen zwischen EBA, FCA und MAS Anforderungen und Status Quo
- Monitoring regulatorischer Neuerungen in allen Niederlassungen
- Beratung der Fachbereiche bei Risikoanalysen (Cloud, KRITIS, Cybersicherheit)
- Umsetzung der EBA-Leitlinien zum Outsourcing konzernweit
- Einführung einheitlicher Provider-Bewertungsstandards
- Einsatz von Technologien/Frameworks: MaRisk AT9, EBA-Leitlinien, FCA, MAS, Multi-Jurisdiktions-Compliance
Teamleiter IT-Audit-Defense
Finanz Informatik (Sparkassen-Finanzgruppe)
- Begleitung von Korrektur-Projekten nach EZB-Prüfung
- Neu-Strukturierung der Outsourcing-Bewertungen nach §25 KWG, MaRisk und BAIT
- Neu-Bewertung wesentlicher Auslagerungen
- Überarbeitung des IT-Reportings nach BCBS 239
- Entwicklung eines Vertragsbaukastens für Techniker, Juristen und Einkäufer
- Beratung bei Provider-Vertragsverhandlungen
- Vorbereitung der Etablierung eines zentralen Auslagerungs-Managements
- Einsatz von Technologien/Frameworks: §25 KWG, MaRisk, BAIT, MaGo, KRITIS, DSGVO, BCBS 239
Manager IT-Outsourcing-Governance
Postbank AG
- Neugestaltung von Verträgen und Governance nach Audit-Restrukturierung
- Definition neuer Governance- und Organisations-Schnittstellen
- Optimierung der Provider-Management-Prozesse
- Überarbeitung des IT-Reportings nach BCBS 239 und MaRisk 2016
- Einführung von Provider-Management-Toolsets
- Einsatz von Technologien/Frameworks: KWG, MaRisk 2016, BCBS 239, Provider Management
IT-Audit-Defense-Berater
ING-DiBa
- Vorbereitung auf §44 KWG BaFin-Audit
- Projektleitung operative Governance und Outsourcing als Ausfallabsicherung
- Definition technischer und organisatorischer Schnittstellen
- Etablierung von Provider-Management
- Einsatz von Technologien/Frameworks: §44 KWG, MaRisk, Provider Management
KRITIS IT-Governance Manager
Amprion GmbH
- Projektleitung “Design operative Governance” für kritische Infrastruktur
- Definition technischer und organisatorischer Schnittstellen
- Abbildung von GRC-Prozessen für die Energiewirtschaft
- Erstellung von RACI-Matrizen und Cross-Referenz-Tabellen
- Definition von Information Governance und KPIs
- Dokumentation von Prozessen in ARIS als Wertschöpfungsketten
- Einsatz von Technologien/Frameworks: KRITIS (Energie), EnWG, GRC, ARIS
Zusammenfassung
Es gibt kaum einen Bereich, in dem sich so viele Hobby-Juristen tummeln wie in der IT-Compliance. Das mag anfangs preiswerter erscheinen, wird aber inzwischen durch den EU-weiten Paradigmenwechsel von zivilen Best-Practices zu verpflichtenden Verordnungen und persönlicher Haftung der GF oft teuer.
Als Dipl.-Jurist und Informatiker mit umfangreicher IT-Service-, Risk-Management und Audit-Prep & Defense Expertise schliesse ich die Lücken zwischen zwingendem Recht, IKT-Operations & Best Practices.
Juristische Laien übersehen häufig die mitgeltenden Normen im Handels-, Zivil- und Strafrecht – und unterschätzen damit die neuen akuten Regressrisiken bei unzureichender Beratung.
Als Experte für Regulatorik-Umsetzung und Best-Practices blicke ich auf rund 30 Jahre Erfahrung als operativer Jurist sowie IT-Service- und Outsourcing-Manager zurück.
Meine Themen: DORA | NIS2 | AI-Act | CRA | CSA | DNA | Audit-Prep & Defense | Third-Party Risk Management (TPRM) | EU-Compliance | ISO 2700x | BSI Grundschutz | GRC | ToM | sfO | Verfahren | Massnahmen | Richtlinien | Prozesse | IKS
LEISTUNGSPROFIL:
IT-Regulatorik & EU-Compliance Schwerpunkte: Haftung der Geschäftsführung (GF), Prüfungsvorbereitung: DORA, NIS2, AI Act, CRA, CSA Frameworks: SOX, IDW, NIST, ISO 2700x, ITIL, COBIT Audit Prep, Management & Defense (High-End) Aufsichtsprüfungen: Vorbereitung und Begleitung von On-Site Inspections (OSI) durch EZB, BaFin (§ 44 KWG), CSSF, FINMA. Prüfungsnachbereitung: Begleitung von IT-Jahresabschlussprüfungen (JAP), effiziente Remediation und Mitigation von Findings Third-Party Risk Management (TPRM) & Governance 20 Jahre Erfahrung im Outsourcing-Management mit komplexen Wertschöpfungsketten. Implementierung von xBoM Begleitung komplexer Outsourcing-Verhandlungen Exit-Strategien Projektbegleitung, Training & Second Opinion Proaktive, komplementäre Compliance-Begleitung von IKT-Projekten Sparringspartner für Projektleitungen Management-Workshops zu gesetzlichen Kompetenzanforderungen (Fit & Proper) Hintergrund & Qualifikation Akademischer Grad: Doppelqualifikation als Dipl.-Jurist (Univ.) & Dipl.-Informatiker (FH) Zertifizierungen (Auszug): CISA, CISSP, BSI-Grundschutz, CSA-Auditor, ITIL v2/v3 Branchenportfolio Banken & Versicherungen, IKT-Dienstleister, Automobilindustrie, Telekommunikation, Energie, Gesundheit,...
Vertraulichkeit (NDA & DSGVO) Aufgrund meiner Tätigkeit in sensiblen Bereichen – Begleitung von Aufsichtsprüfungen und der Behebung kritischer Feststellungen – unterliegen Mandate i.d.R. NDAs. Referenzen können fachlich erörtert werden. Preisgabe von sensiblen Informationen oder Personendaten richten sich nach NDA und DSGVO.
Fähigkeiten
Dora-compliance
Nis2-umsetzung
Cra
Ai-act Bzw. Ki-verordnung
It-audit-verteidigung
Third-party-risikomanagement
Cloud-governance
Cyber-resilience-tests
Outsourcing-management
Regulatorische Due Diligence
Drittpartei-risikomanagement
Beratung, Vorbereitung Und Nachbereitung Von It-compliance-prüfungen, Jahresabschlussprüfungen (Jap) Und On-site-inspections (Osi) Der Zuständigen Behörden Eu/national
Umsetzung Regulatorischer Anforderungen Und Integration Internationaler Standards (Dora, Nis2, Ai-act, Eba, Eiopa, Esma, Enisa, Iso, Iec, Nist, Itil, Bsi C5)
Dokumentation, Sfo Und Richtlinienmanagement Sowie Produkt-, Dienst- Und Servicebeschreibungen
Proaktive Compliance-begleitung Von It-projekten
Erstellung Von Risiko- Und Schwachstellenanalysen
Ableitung Von Korrekturmaßnahmen
Automatisierung Von Compliance- Und Kontrollprozessen Soweit Möglich
Identifikation, Bewertung Und Steuerung Von It- Und Drittparteirisiken
Entwicklung Von Maßnahmen, Sicherheitskonzepten, Resilienz-tests Und Xbom-strategien
Aufbau Einer Nachhaltigen It-governance
Simulation, Begleitung Und Verteidigung Von It-audits, Osis Und Aufsichtsprüfungen (Ezb, Bafin, Finma, Bsi)
Unterstützung Bei Vertragsverhandlungen, Outsourcing- Und Due-diligence-prozessen
Prüfung Von Compliance-gaps Zur Vermeidung Von Findings Und Bußgeldern
Begleitung Des Regulatorischen Paradigmenwechsels Von „Best Practice“ Zu „Compliance-pflicht“
Harmonisierung Internationaler Frameworks: Dora 2025, Idw Ps 528, Iec 62443, Bsi Tr-03183, Nist Ssdf, Sbom Etc.
Schulungsvideos Für Online-lernsysteme Im Bereich Regulatorik
Planung Und Durchführung Von Workshops Zur Erfüllung Gesetzlicher Kompetenzanforderungen
Awareness-programme Für Management Und Fachbereiche
Eu-regulierung: Dora, Nis2, Cer, Cra, Ai-act, Dsa, Dma, Data Act, Cyber Resilience Act
Finanzaufsicht: Eba, Eiopa, Esma, Marisk, Bait, Vait, Eba Guidelines
Datenschutz & Sicherheit: Enisa Guidelines, Iso 27001, Tisax, Bsi-grundschutz, Nist Csf
Kritis: Bsi, It-sicherheitsgesetz, Kritische Infrastrukturen
It-audit-vorbereitung, Management Und Verteidigung (Ezb, Bafin, Finma, Wirtschaftsprüfer)
Drittpartei-risikomanagement Und Lieferkettenmanagement (Supply Chain)
Cloud Governance (Aws, Azure, Google Cloud, Salesforce)
Digital Operational Resilience Testing (Dora, Tlpt)
It-outsourcing: Vertragsverhandlung, Due Diligence, Exit-management
Incident-management Und Reaktion Auf Cyber-sicherheitsvorfälle
Governance, Risk & Compliance (Grc) Frameworks
Itil, Cobit, Iso 27001, Nist, Three Lines Of Defense
Risk Assessment Und Risk-management-framework
Vertragsmanagement Und Sla-gestaltung
Devsecops-sicherheitsbewertung
Business Continuity Management (Bcm)
Cloud-plattformen: Aws, Microsoft Azure, Google Cloud Platform, Salesforce
Compliance-tools: Grc-plattformen, Risk-assessment-tools, Audit-management-systeme
Security-tools: Nessus, Siem-systeme, Vulnerability-scanner, Penetration-testing-tools
Dokumentation: Aris, Visio, Confluence, Sharepoint
Projektmanagement: Ms Project, Jira, Agile/scrum-methoden
Standards & Frameworks: Itil, Cobit, Iso 27001, Nist Csf, Cis Controls, Owasp
Schnelle Einarbeitung In Komplexe Regulatorische Anforderungen
Brückenbauer Zwischen Technik, Recht Und Business
Pragmatische, Umsetzungsorientierte Beratung
Nachweisliche Erfolge Bei Audit-verteidigungen
Train-the-trainer-expertise
Finanzdienstleistungen (Banken, Versicherungen, Asset Management)
Kritische Infrastrukturen (Energie, Telekommunikation)
Industrie Und Mittelstand
It-dienstleister
Remote Und Vor Ort (Dach-weit)
Flexible Projektlaufzeiten (Interim Management, Projektberatung, Task Force)
Sprachen
Ausbildung
Dipl.-Informatiker (FH) · Informations- und Kommunikationswissenschaften
BWL-Studium · Betriebswirtschaft, Organisation/BWL
Dipl.-Jurist, 1. Staatsexamen · Rechtswissenschaften
Zertifikate & Bescheinigungen
Aufbau eines ISO-27001-konformen Cybersecurity-Programms: Die Annex-A-Kontrollen
LinkedIn Learning
Ähnliche Freelancer
Entdecken Sie andere Experten mit ähnlichen Qualifikationen und Erfahrungen.
Berater für Compliance
Senior IT-Projektmanager & Governance- und Operationale Resilienzberater | Finanzdienstleistungen
NIS2- und Risiko-Strategieberater
Inhaber und Geschäftsführer
ISO – Senior Consultant Quality & Information Security
Leiter Oracle Fusion Transformationsprogramm
Projektleiter / Senior Consultant (mehrere Projekte)
Interims Projektleiter
Programm und Projekt Manager / Interner Auditor / CISO
Cloud-Architekt & Sicherheitsberater
Projektleiter NIS-2
Projektmanager AOS
Berater
Unternehmensberaterin
IT Projektleiter und Senior Berater
Senior Manager, Projektleiter, Auditor und Berater
Interims-CISO (Deutschland, Österreich, USA, APAC), Auditor
Ansible-Automatisierung, Windows Third-Level-Support
IT-Regulatorische Compliance & GRC (BCM, IT-Risiko, DORA, ISO 22301, Auslagerung)
IT- & Cybersecurity-Projektleiter
Berater KRITIS
Berater für Datenschutz, KI, Compliance und Organisationsentwicklung
Vizepräsident Technologie
OT-Sicherheits-Champion Europa
Berater und Trainer, Geschäftsführender Gesellschafter
IT-Security Berater – Erstellung & Steuerung der IT-Security-Roadmap
IKT-Risikomanagement und Informationssicherheit
KI Projektmanagement und Aufbau Governance
Lead OT-Sicherheit | Industrielle Cybersicherheit | Cyber-Programmmanagerin | CISO-Beraterin
