Bitte beachten Sie, dass diese Inhalte mithilfe von KI übersetzt wurden. Trotz sorgfältiger Prüfung können automatische Übersetzungen kleinere Ungenauigkeiten enthalten, wie ungewohnte Fachbegriffe oder sprachlich nicht ganz flüssige Formulierungen. Vielen Dank für Ihr Verständnis.
Tenga en cuenta que estos contenidos han sido traducidos mediante inteligencia artificial. Aunque procuramos garantizar la mayor precisión posible, las traducciones automáticas pueden contener pequeñas imperfecciones, como el uso de términos poco habituales o frases que no suenen completamente naturales. Agradecemos su comprensión.
BaFin, DORA, NIS2: „Ist das konform?“ ist die falsche Frage
Warum regulierte Unternehmen Microsoft-Teams-Telefonie einführen können, ohne die Compliance-Abteilung gegen sich zu haben.
Ein Szenario, das sich bei uns inzwischen fast wöchentlich wiederholt: Eine mittelständische Bank, eine regionale Versicherung oder eine Kapitalverwaltungsgesellschaft möchte ihre Telefonie in Microsoft Teams professionalisieren — intelligente Anrufverteilung, saubere Warteschlangen, belastbare Auswertungen. Technisch ein kleines Projekt. Bis die E-Mail vom Auslagerungsbeauftragten kommt: „Ist diese Lösung eigentlich BaFin-konform?“ Und plötzlich steht die Einführung still.
Diese Situation ist verständlich — aber die Frage ist falsch gestellt. Und genau daran scheitern viele Projekte, obwohl die Antwort eigentlich einfach ist.
Die Frage hinter der Frage
ROGER365.io ist kein durch die BaFin beaufsichtigtes Finanzinstitut. Das muss es auch nicht sein — und das kann es auch gar nicht sein. Die Kategorie „BaFin-zertifiziert“ existiert für Software-Anbieter schlicht nicht. Wer danach sucht, wird nie fündig, egal bei welchem Anbieter.
Die richtige Frage ist eine andere: „Können wir als beaufsichtigtes Unternehmen ROGER365.io so einsetzen, dass unsere Auslagerungs-, IKT-Drittanbieter- und NIS2-Verpflichtungen erfüllt sind — und können wir das im Prüfungsfall nachweisen?“ Darauf gibt es eine klare Antwort: Ja. Und wir helfen Ihnen aktiv dabei.
Der regulatorische Rahmen auf einen Blick
Wenn Sie eine Telefonie-Lösung in einem BaFin-beaufsichtigten Haus einführen, sind vier Regelwerke relevant. Die ersten drei setzen den aufsichtsrechtlichen Rahmen, das vierte kommt aus der EU-Cybersicherheits-Regulierung dazu.
BAIT, VAIT und KAIT sind die bankaufsichtlichen (bzw. versicherungs- und kapitalverwaltungsaufsichtlichen) Anforderungen an die IT. Sie regeln IT-Sicherheitsmanagement, Berechtigungsvergabe, Informationsrisiko-Management und Ausgelagerte Dienste. MaRisk AT 9 ergänzt dies um klassische Auslagerungsanforderungen: Risikoanalyse, Vertragsgestaltung, Audit- und Prüfungsrechte, dokumentierte Exit-Strategie.
DORA (Digital Operational Resilience Act) ist seit 17. Januar 2025 verbindlich. Für jeden Einsatz eines IKT-Drittanbieters verlangt DORA einen klar definierten Katalog an Vertragsklauseln (Art. 30), einen Eintrag im Informationsregister (Art. 28), ein funktionierendes Incident-Reporting und — bei kritischen Funktionen — zusätzliche Prüfungs- und Resilienzanforderungen.
NIS2 (Richtlinie (EU) 2022/2555, in Deutschland umgesetzt im NIS2UmsuCG) erweitert die Cybersicherheitspflichten auf einen deutlich größeren Kreis von Unternehmen und ihre Lieferkette. Zentrale Anforderungen: Risikomanagement, Supply-Chain-Sicherheit, und ein striktes Meldewesen mit Fristen von 24 Stunden, 72 Stunden und einem Monat. Finanzinstitute sind über DORA lex specialis teilweise ausgenommen — ihre Anbieter und Lieferkette aber nicht.
Drei Arbeitspakete, die wir Ihrer Compliance abnehmen
Hier liegt der eigentliche Unterschied. Viele Software-Anbieter reagieren auf regulatorische Fragen mit einem Verweis auf ihre Sicherheitsseite und warten dann ab, welche konkreten Nachweise die Compliance-Abteilung des Kunden anfragt. Wir gehen den umgekehrten Weg: Wir liefern den Nachweisrahmen gebundelt mit — bevor die Fragen kommen.
Auslagerungsdokumentation. Standard-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, Sicherheitsfragebogen nach VAIT/BAIT-Logik ausgefüllt, ISO 27001-Zertifikat, transparente Liste aller Sub-Dienstleister und dokumentierte Exit-Strategie. Das deckt MaRisk AT 9 und die aufsichtlichen IT-Anforderungen ab.
DORA-Readiness. Vertragsklauseln nach Art. 30 DORA, bereits in unseren Standardverträgen enthalten. Strukturierter Input für Ihr Informationsregister (LEI, Sub-Dienstleister, Verarbeitungsstandorte, Dienstkategorisierung). Ein klar beschriebener Vorfalls-Meldeprozess mit verbindlichen Reaktionszeiten. BCM- und DR-Konzept auf Anfrage einsehbar.
NIS2-Sicherheitsrahmen. Ein auf Richtlinie (EU) 2022/2555 abgestimmtes Sicherheitsmanagement, inklusive Lieferketten-Governance, Patch-Management, MFA und einem Incident-Response-Prozess mit den geforderten 24h/72h/1-Monats-Meldungen. Relevant für Sie selbst, wenn Sie NIS2-pflichtig sind — und ohnehin relevant für Ihre Lieferketten-Prüfung.
Warum das bei einer Teams-App besonders sauber funktioniert
ROGER365.io ist eine native Microsoft-Teams-App. Das hat einen wichtigen Nebeneffekt für die Compliance: Ihre Gesprächs- und Nutzerdaten verbleiben im Microsoft 365 Tenant, den Sie bereits selbst auditiert und freigegeben haben. Wir speichern nur das, was für den Dienst strikt notwendig ist — und das läuft in einem ISO 27001-zertifizierten ISMS auf Microsoft Azure innerhalb der EU.
Für Ihre Auslagerungsprüfung bedeutet das: Der Umfang dessen, was neu bewertet werden muss, ist klein. Die große Plattform — Microsoft 365 — haben Sie schon geprüft. Wir reihen uns sauber dort ein, ohne einen neuen, eigenständigen Datenspeicher außerhalb Ihrer Kontrolle einzuführen.
Was Sie von uns in der Sales-Phase erwarten können
Statt eines offenen Frageprozesses bekommen Sie von uns ein zusammenhängendes Compliance-Paket: AVV, ausgefüllter Sicherheitsfragebogen, ISO-Zertifikat, DORA-Vertragsklauseln inklusive Register-Input, NIS2-Incident-Response-Beschreibung, Sub-Dienstleisterliste und Exit-Plan. In einem Bündel, in einem Schritt, auf Anfrage.
Der Effekt: Ihre Compliance-Abteilung startet direkt im Prüfmodus, nicht im Fragemodus. In der Praxis bedeutet das Wochen — manchmal Monate — weniger Projektverzögerung.
Kurz gesagt: Die Einführung professioneller Teams-Telefonie sollte Ihre Compliance stärken, nicht belasten. Genau darüber sprechen wir gerne mit Ihnen. Unser Compliance-Paket (BaFin + DORA + NIS2) senden wir Ihnen auf Anfrage zu — als Basis für Ihre Auslagerungs- und IKT-Drittanbieter-Prüfung.
Hinweis: Dieser Beitrag dient der Information und stellt keine Rechtsberatung dar. Die finale Bewertung obliegt Ihrer Compliance- und Rechtsabteilung.
Industry
Location
Bitte beachten Sie, dass diese Inhalte mithilfe von KI übersetzt wurden. Trotz sorgfältiger Prüfung können automatische Übersetzungen kleinere Ungenauigkeiten enthalten, wie ungewohnte Fachbegriffe oder sprachlich nicht ganz flüssige Formulierungen. Vielen Dank für Ihr Verständnis.
Tenga en cuenta que estos contenidos han sido traducidos mediante inteligencia artificial. Aunque procuramos garantizar la mayor precisión posible, las traducciones automáticas pueden contener pequeñas imperfecciones, como el uso de términos poco habituales o frases que no suenen completamente naturales. Agradecemos su comprensión.
BaFin, DORA, NIS2: „Ist das konform?“ ist die falsche Frage
Warum regulierte Unternehmen Microsoft-Teams-Telefonie einführen können, ohne die Compliance-Abteilung gegen sich zu haben.
Ein Szenario, das sich bei uns inzwischen fast wöchentlich wiederholt: Eine mittelständische Bank, eine regionale Versicherung oder eine Kapitalverwaltungsgesellschaft möchte ihre Telefonie in Microsoft Teams professionalisieren — intelligente Anrufverteilung, saubere Warteschlangen, belastbare Auswertungen. Technisch ein kleines Projekt. Bis die E-Mail vom Auslagerungsbeauftragten kommt: „Ist diese Lösung eigentlich BaFin-konform?“ Und plötzlich steht die Einführung still.
Diese Situation ist verständlich — aber die Frage ist falsch gestellt. Und genau daran scheitern viele Projekte, obwohl die Antwort eigentlich einfach ist.
Die Frage hinter der Frage
ROGER365.io ist kein durch die BaFin beaufsichtigtes Finanzinstitut. Das muss es auch nicht sein — und das kann es auch gar nicht sein. Die Kategorie „BaFin-zertifiziert“ existiert für Software-Anbieter schlicht nicht. Wer danach sucht, wird nie fündig, egal bei welchem Anbieter.
Die richtige Frage ist eine andere: „Können wir als beaufsichtigtes Unternehmen ROGER365.io so einsetzen, dass unsere Auslagerungs-, IKT-Drittanbieter- und NIS2-Verpflichtungen erfüllt sind — und können wir das im Prüfungsfall nachweisen?“ Darauf gibt es eine klare Antwort: Ja. Und wir helfen Ihnen aktiv dabei.
Der regulatorische Rahmen auf einen Blick
Wenn Sie eine Telefonie-Lösung in einem BaFin-beaufsichtigten Haus einführen, sind vier Regelwerke relevant. Die ersten drei setzen den aufsichtsrechtlichen Rahmen, das vierte kommt aus der EU-Cybersicherheits-Regulierung dazu.
BAIT, VAIT und KAIT sind die bankaufsichtlichen (bzw. versicherungs- und kapitalverwaltungsaufsichtlichen) Anforderungen an die IT. Sie regeln IT-Sicherheitsmanagement, Berechtigungsvergabe, Informationsrisiko-Management und Ausgelagerte Dienste. MaRisk AT 9 ergänzt dies um klassische Auslagerungsanforderungen: Risikoanalyse, Vertragsgestaltung, Audit- und Prüfungsrechte, dokumentierte Exit-Strategie.
DORA (Digital Operational Resilience Act) ist seit 17. Januar 2025 verbindlich. Für jeden Einsatz eines IKT-Drittanbieters verlangt DORA einen klar definierten Katalog an Vertragsklauseln (Art. 30), einen Eintrag im Informationsregister (Art. 28), ein funktionierendes Incident-Reporting und — bei kritischen Funktionen — zusätzliche Prüfungs- und Resilienzanforderungen.
NIS2 (Richtlinie (EU) 2022/2555, in Deutschland umgesetzt im NIS2UmsuCG) erweitert die Cybersicherheitspflichten auf einen deutlich größeren Kreis von Unternehmen und ihre Lieferkette. Zentrale Anforderungen: Risikomanagement, Supply-Chain-Sicherheit, und ein striktes Meldewesen mit Fristen von 24 Stunden, 72 Stunden und einem Monat. Finanzinstitute sind über DORA lex specialis teilweise ausgenommen — ihre Anbieter und Lieferkette aber nicht.
Drei Arbeitspakete, die wir Ihrer Compliance abnehmen
Hier liegt der eigentliche Unterschied. Viele Software-Anbieter reagieren auf regulatorische Fragen mit einem Verweis auf ihre Sicherheitsseite und warten dann ab, welche konkreten Nachweise die Compliance-Abteilung des Kunden anfragt. Wir gehen den umgekehrten Weg: Wir liefern den Nachweisrahmen gebundelt mit — bevor die Fragen kommen.
Auslagerungsdokumentation. Standard-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, Sicherheitsfragebogen nach VAIT/BAIT-Logik ausgefüllt, ISO 27001-Zertifikat, transparente Liste aller Sub-Dienstleister und dokumentierte Exit-Strategie. Das deckt MaRisk AT 9 und die aufsichtlichen IT-Anforderungen ab.
DORA-Readiness. Vertragsklauseln nach Art. 30 DORA, bereits in unseren Standardverträgen enthalten. Strukturierter Input für Ihr Informationsregister (LEI, Sub-Dienstleister, Verarbeitungsstandorte, Dienstkategorisierung). Ein klar beschriebener Vorfalls-Meldeprozess mit verbindlichen Reaktionszeiten. BCM- und DR-Konzept auf Anfrage einsehbar.
NIS2-Sicherheitsrahmen. Ein auf Richtlinie (EU) 2022/2555 abgestimmtes Sicherheitsmanagement, inklusive Lieferketten-Governance, Patch-Management, MFA und einem Incident-Response-Prozess mit den geforderten 24h/72h/1-Monats-Meldungen. Relevant für Sie selbst, wenn Sie NIS2-pflichtig sind — und ohnehin relevant für Ihre Lieferketten-Prüfung.
Warum das bei einer Teams-App besonders sauber funktioniert
ROGER365.io ist eine native Microsoft-Teams-App. Das hat einen wichtigen Nebeneffekt für die Compliance: Ihre Gesprächs- und Nutzerdaten verbleiben im Microsoft 365 Tenant, den Sie bereits selbst auditiert und freigegeben haben. Wir speichern nur das, was für den Dienst strikt notwendig ist — und das läuft in einem ISO 27001-zertifizierten ISMS auf Microsoft Azure innerhalb der EU.
Für Ihre Auslagerungsprüfung bedeutet das: Der Umfang dessen, was neu bewertet werden muss, ist klein. Die große Plattform — Microsoft 365 — haben Sie schon geprüft. Wir reihen uns sauber dort ein, ohne einen neuen, eigenständigen Datenspeicher außerhalb Ihrer Kontrolle einzuführen.
Was Sie von uns in der Sales-Phase erwarten können
Statt eines offenen Frageprozesses bekommen Sie von uns ein zusammenhängendes Compliance-Paket: AVV, ausgefüllter Sicherheitsfragebogen, ISO-Zertifikat, DORA-Vertragsklauseln inklusive Register-Input, NIS2-Incident-Response-Beschreibung, Sub-Dienstleisterliste und Exit-Plan. In einem Bündel, in einem Schritt, auf Anfrage.
Der Effekt: Ihre Compliance-Abteilung startet direkt im Prüfmodus, nicht im Fragemodus. In der Praxis bedeutet das Wochen — manchmal Monate — weniger Projektverzögerung.
Kurz gesagt: Die Einführung professioneller Teams-Telefonie sollte Ihre Compliance stärken, nicht belasten. Genau darüber sprechen wir gerne mit Ihnen. Unser Compliance-Paket (BaFin + DORA + NIS2) senden wir Ihnen auf Anfrage zu — als Basis für Ihre Auslagerungs- und IKT-Drittanbieter-Prüfung.
Hinweis: Dieser Beitrag dient der Information und stellt keine Rechtsberatung dar. Die finale Bewertung obliegt Ihrer Compliance- und Rechtsabteilung.
Our speakers
Want to read more?
Discover fresh perspectives and practical tips in our latest whitepaper.
