Für unseren Kunden in Stuttgart suchen wir ab sofort / Januar 2026 einen Regulatorik Experten (m/w/d) für Auslagerung Versicherung für die voraussichtliche Dauer von 230 PT mit der Option auf Verlängerung. 3 Tage/ Woche vor Ort in Stuttgart, 2 Tage/ Woche Remote (Ausnahmen möglich).

Ihre Aufgaben:

- Regulatorik- und Compliance-Framework

- Anforderungskatalog/Traceability-Matrix, die VAIT, DORA, DSGVO, EIOPA Cloud, BSI C5 und interne Policies auf die Projekt-/Betriebsprozesse mappt; inkl. Gap-Analyse und Maßnahmenplan.

- “Regulatorik-Checks” als standardisierte Checklisten/Workflows (Onboarding, Change, Release, Ausstieg), inkl. Evidenzanforderungen und RACI.

- Verträge, SLAs und Outsourcing

- SLA-/OLA-Framework mit Kennzahlen (z. B. Verfügbarkeit, Wiederherstellungszeiten, Incident-Klassifikation), Reporting-Templates und Eskalationswegen.

- Vertrags- und Annex-Bausteine mit regulatorischen Mindestinhalten (Prüf-/Berichtspflichten, Kündigungs-/Ausstiegsrechte, Subdienstleistersteuerung, TLPT-Beteiligung, Datenlokation).

- ISMS-/DSMS-Dokumente

- ISMS-Basissatz: Sicherheitsleitlinie, Policies/Standards, Prozessbeschreibungen, Rollen- und Verantwortlichkeitsmodell, Statement of Applicability (SoA), Risikomanagement-Verfahren, Kontrollkatalog.

- Datenschutzartefakte: TOMs, Verzeichnis Verarbeitungstätigkeiten, AV-Verträge/Prüfprotokolle, DPIA, Incident-Response-Prozess inkl. 72h-Meldeweg.

- Risiko- und Resilienzmanagement

- IKT-Risikoregister inkl. Bewertungen, Behandlungsplänen und Rest-Risiken; Drittparteien-/Lieferantenregister inkl. Due-Diligence/Monitoring.

• • - BIA, Notfall- und Wiederanlaufkonzept (BCM/ITSCM), Test- und Übungspläne sowie Nachweise der operativen Resilienz gem. DORA.

  • Audit-Readiness und Nachweise

  • Auditprogramm, Checklisten, Evidence-Register, Abweichungsberichte und Maßnahmenverfolgung; jährliche Management-Reviews und Reports für Governance-Gremien.

  • Prüfpakete für Kunden/Aufsicht (z. B. C5-Controls, ISO-27001-Nachweise, SOC-/ISAE-Berichte, VAIT-/DORA-Mappings).

  • Meldewesen und Behördendossiers

  • Zusammenstellung der erforderlichen Informationen und vollständige Dossiers für anstehende Meldungen an die Aufsicht (inkl. Verantwortlichkeitsmatrix, Verträge, SLAs, Risiko-/BCM-Nachweise, Datenflüsse, TOMs).

    • Enablement und Organisation

    • Schulungskonzepte und unterlagen (ITIL-Prozesse, Regulatorik-Checks, Incident und Change-Handling).

    • Abbildung der Prozess- und Organisationsstruktur mit Rollen, Stellvertretungen und Eskalationen; Governance-Gremien und Berichtswege.

Ihre Anforderungen:

• Governance, Regulatorik und Aufsicht

• Tiefe Kenntnisse der einschlägigen Regularien und Leitlinien: BaFin/VAIT, VAG/Solvency II, EIOPA Cloud-Outsourcing-Guidelines, BSI C5, DORA, DSGVO inkl. Art. 28, sowie gängige Prüf-Standards (z. B. ISAE 3402, IDW PS 951/880). Fähigkeit, Anforderungen auf Cloud-Services und Providerverträge zu mappen.

• Erfahrung im Meldewesen/Reporting gegenüber Aufsichtsbehörden (BaFin) inklusive Zusammenstellung der Nachweise und Koordination der zuliefernden Bereiche.

• Informationssicherheits- und Datenschutz-Management

• Aufbau/Weiterentwicklung eines ISMS nach ISO/IEC 27001 inkl. SoA, Richtlinien, Rollen, Kontrollen, Risiko- und Maßnahmenmanagement; idealerweise Kenntnis ISO/IEC 27002/27005 und Berührungspunkte zu ISO/IEC 27701 (Privacy). Praxis in der Verzahnung mit VAIT/DORA.

• Datenschutz-Expertise (DSGVO): TOMs, AV-Verträge (Art. 28), DPIA, Vorfallmanagement (72h-Prozess), Auditfähigkeit für neue Dienstleister/Applikationen.

  • Service Management und SLA-/Vertragsgestaltung

  • Fundierte ITIL-Kompetenz (Incident, Problem, Change, Service Catalog, SLA/OLA, Continual Improvement) zur Definition, Verhandlung und Überwachung von SLAs, inkl. Cloud-spezifischer KPIs und Notfall-/Wiederanlaufzielen. Praxis in der vertraglichen Abbildung regulatorischer Anforderungen (z. B. Prüf- und Kündigungsrechte, Berichtspflichten, TLPT, Ausstiegsstrategien gemäß DORA).

  • Juristisch fundiertes Verständnis der SLA- und Outsourcing-Vertragsgestaltung im regulierten Umfeld (inkl. Cloud- und Subdienstleister-Ketten), ohne Rechtsberatung zu ersetzen.

  • Risikomanagement, Business Continuity und Resilienz

  • IKT-Risikomanagement (identifizieren, bewerten, behandeln, überwachen), Lieferketten-/Third-Party-Risiken, Registerführung und Due Diligence für IKT-Drittdienstleister.

  • Business Impact Analysis (BIA), Notfall- und Wiederanlaufplanung (BCM/ITSCM), Testen operativer Resilienz (z. B. gemäß DORA), regelmäßige Übungen und Nachweisführung.

    • Cloud-Compliance und -Security im Versicherungsumfeld

    • Erfahrung mit Cloud-Governance (Azure/AWS o. ä.), Kontrollnachweisen (z. B. C5, ISO 27001) und regulatorisch konformen Betriebsmodellen für Versicherungen. Verständnis für geteilte Verantwortungsmodelle und technische/organisatorische Nachweise in Managed-Services-/SaaS-Setups.

    • Fähigkeit, regulatorische “Regulatorik-Checks” in Form von Checklisten/Workflows über den gesamten Cloud-Lifecycle zu etablieren (Onboarding neuer Services/Dienstleister, Changes, Decomissioning).

    • Audit- und Evidence-Management

    • Planung, Durchführung und Begleitung interner/externen Audits (z. B. ISO 27001, SOC/ISAE, BaFin-Prüfungen), Evidence-Management, Abweichungs- und Maßnahmenverfolgung.

      • Tooling- und Prozesskompetenz

      • Einführen/Betreiben von GRC-/Risikomanagement-Tools (Anforderungsmodellierung, Kontrollkataloge, Risiko-Workflows, Reporting), Schnittstellen zu Ticketing/CMDB (z. B. JIRA/Confluence/ServiceNow).

      • Prozessdesign und -dokumentation (Rollen, Verantwortlichkeiten, RACI, sfO/Organisationsabbildung) sowie Schulungen/Enablement der Stakeholder.

      • Zertifizierungen (wünschenswert)

      • ITIL (v3/4), ISO 27001 Lead Implementer/Lead Auditor; ergänzend z. B. CISM/CISSP, ISO 27701, DPO/DSB-Qualifikation abhängig vom Zuschnitt der Rolle.