DORA · Kleine Finanzinstitute

Die nächste DORA-Prüfung muss sitzen.

Relaris bündelt Ihr ICT-Register, die Art. 30-Vertragsprüfung und die Lieferketten-Transparenz in einem prüfungssicheren System — für kleine Finanzinstitute unter DORA.

DORA-Lückenanalyse herunterladen 30-Min-Demo vom Gründer
Vertrag
Sharepoint
Risiko
lokal
SLA
Mail
Register
GRC Tool
Kontaktliste
Excel
Audit-Bericht
Fileserver
fragmentiert & inkonsistent — Verantwortung unklar
Nach der ersten DORA-Prüfung

Kommt Ihnen das bekannt vor?

Die meisten kleinen Institute erkennen sich in einer dieser drei Situationen wieder. Das ist nicht Ihr Versagen — das ist der Stand der Branche.

Die Prüfungsankündigung

„Wenn die BaFin fragt, fange ich an zu suchen — nicht nachzuschlagen."

Der Anbieter-Ausfall

„Ich kenne meine direkten Anbieter. Aber dahinter? Keine Ahnung."

Das Vorstandsmeeting

„Ich stehe mit meinem Namen dafür gerade, wenn etwas nicht stimmt."

Statt alle drei Monate zusammensuchen: jederzeit wissen.

Relaris ist das Dienstleister-Risikomanagement für kleine Finanzinstitute unter DORA — ein System, das den aktuellen Stand jedes ICT-Dienstleisters laufend pflegt, statt ihn alle drei Monate zu rekonstruieren.

Traditionell

Periodisch rekonstruieren

  • Einmal im Quartal das Register aktualisieren
  • Informationen aus 5+ Quellen zusammensuchen
  • Manuelle Prüfung jedes einzelnen Vertrags
  • Ergebnis: Momentaufnahme, sofort veraltet
Mit Relaris

Kontinuierlich gepflegt

  • Compliance ist ein laufender Zustand, kein Projekt
  • Ein System für alle Provider-Informationen
  • AI prüft Verträge automatisch auf Art. 30
  • Ergebnis: Immer aktuell, immer prüfungsbereit

Setup in 1–2 Tagen. Weniger als ein Beratertag pro Monat.

Dieselbe Plattform unterstützt auch NIS2 und GDPR Art. 28 — DORA steht heute im Fokus.

Fünf Fähigkeiten, die Ihre nächste DORA-Prüfung tragen.

Jede einzelne zugeschnitten auf das, was in der Prüfung tatsächlich zählt — Register, Art. 30-Klauseln, Sub-Dienstleister, Risiko-Belege und ein aktueller Vorstands-Stand.

Automatisiert

KI-Vertragsanalyse

Sie laden einen ICT-Vertrag hoch. In 90 Sekunden wissen Sie, welche der zehn Pflichtklauseln nach Art. 30 erfüllt, teilweise erfüllt oder fehlend sind — mit direktem Verweis auf die relevanten Vertragsstellen. Keine Anwaltsstunde, keine manuelle Checkliste.

KI-Vertragsanalyse: Automatische Prüfung regulatorischer Pflichtklauseln mit Found, Partial und Missing Status
Prüfungssicher

ICT-Register mit RoI-Export

Alle ICT-Dienstleister in einem zentralen Register. Das Register of Information (RoI) nach Art. 28 DORA ist auf Knopfdruck fertig — kein manuelles Befüllen, kein Fehlerrisiko. Aus drei Wochen Aufbereitung werden fünf Minuten.

ICT-Register: Completeness-Übersicht mit Fortschrittsbalken und RoI-Export-Button
Reproduzierbar

Quantitatives Risikoscoring

Ihr Risikourteil ist mathematisch berechnet, nicht subjektiv geschätzt. Sie müssen in der Prüfung nicht mehr erklären, warum Sie einen Dienstleister so eingestuft haben — der Score ist reproduzierbar, belegbar und mit konkreten Handlungsempfehlungen hinterlegt.

Quantitatives Risikoscoring: Detailseite mit Risk Scores und Handlungsempfehlungen
N-Tier

Supply-Chain-Visualisierung

Sie sehen erstmals, wer hinter Ihren direkten Anbietern steckt — die N-Tier-Kette als interaktiver Graph. Konzentrationsrisiken und kritische Sub-Dienstleister fallen auf einen Blick auf, bevor es die Prüfer tun.

Supply-Chain-Visualisierung: Interaktiver Graph mit Dienstleister-Abhängigkeiten und Subcontracting-Ketten
Vorstand-ready

Compliance-Dashboard

Sie gehen in jedes Vorstandsmeeting mit einem aktuellen DORA-Status — nicht mit einer Entschuldigung. Gap-Analyse, offene Handlungsbedarfe und Fälligkeiten auf einer Seite, zum Stichtag exportierbar.

Compliance-Dashboard: Compliance Score, Action Items und Compliance Gaps auf einen Blick

Datensicherheit für regulierte Institute

Compliance-Software muss selbst compliant sein. Hier ist, was Ihr Datenschutzbeauftragter wissen will — auf einen Blick.

Kriterium Status
Hosting EU (Frankfurt), Azure Deutschland
AI-Training mit Kundendaten Nein (Azure OpenAI Opt-out)
Firmennamen in der AI Nein (Entity Masking)
AVV nach DSGVO Art. 28 Ja
TOMs Ja
Mandantentrennung Ja (strikt)
Auditor Read-Only Zugang Ja (Viewer-Rolle)
Datenexport bei Kündigung Ja (CSV, RoI nach DORA, PDF)
Regulierungen DORA, NIS2, DSGVO Art. 28

Entity Masking: Die AI sieht nie Ihre Firmennamen

Vor jeder AI-Verarbeitung werden alle Entitäten automatisch pseudonymisiert: „CloudServ GmbH“ wird zu PARTNER_001, E-Mails und Beträge werden maskiert. Die AI verarbeitet nur anonymisierte Daten — revisionssicher protokolliert im AI-Transparenz-Log.

Vom Praktiker, nicht vom Software-Verkäufer

Ein Tool, gebaut aus der Erfahrung auf der Haftungs-Seite.

Als CTO einer regulierten Bank in Liechtenstein hat der Gründer von Tag eins die DORA-Compliance aufgebaut, lange bevor die Regulierung in Kraft trat — mit ICT Risk Management Framework, ICT Security Framework und Third-Party Risk Management. Die Bank hat die regulatorische Zulassung erhalten.

Was sich dabei gezeigt hat: Excel und SharePoint halten einer echten Aufsichtsprüfung nicht stand. Und generische GRC-Tools sind nicht auf die tägliche DORA-Praxis kleiner Institute ausgelegt. Relaris schließt genau diese Lücke.

„Ich weiß, was es bedeutet, wenn die Prüfer kommen und das Register nicht stimmt. Relaris ist das Tool, das ich damals gebraucht hätte: nicht um Compliance zu verwalten, sondern um sie jederzeit belegen zu können."

— Thomas, Gründer von Relaris

Kennen Sie einen dieser Sätze aus Ihrem Alltag?

Dann sind Sie nicht allein — und Sie sind die Person, für die Relaris gebaut ist.

„Ich weiß nicht, ob mein ICT-Drittanbieter-Register morgen DORA-konform ist."
„Die Information ist bei fünf Kollegen, in drei Systemen und zwei Mailboxen."
„Vertragsprüfungen gegen Art. 30 sind kein Anwaltsbudget, das ich jedes Quartal habe."
„Unser GRC-Tool macht vieles — aber kein Register of Information, keine Art. 30-Klauselprüfung, keine Sub-Dienstleister-Konzentration."
„Ich brauche eine Lösung, die in Wochen produktiv ist, nicht in Quartalen."

Die DORA-Lückenanalyse als Checkliste — direkt unten.

Kostenlos · PDF

DORA-Lückenanalyse: 10 Fragen, die Ihre Aufsicht zuerst stellt

Die 10 Kernfragen, auf die die BaFin bei jeder DORA-Prüfung zurückkommt — mit konkreten Belegen, die Sie in Ihrem Institut jetzt prüfen können. In 5 Minuten durchgearbeitet.

  • ICT-Drittanbieter-Register (RoI) nach Art. 28 DORA
  • Art. 30-konforme Vertragsklauseln
  • Sub-Dienstleister-Konzentrationsrisiken
  • Exit-Plan-Anforderungen bei kritischen Anbietern

Wir verwenden Ihre Daten ausschließlich für den Versand der Checkliste — kein Newsletter, kein Marketing. Datenschutz.

30‑Minuten‑Demo mit dem Gründer

Persönlich, nicht generisch. Der Gründer zeigt Relaris selbst — und kennt die DORA-Prüfungs-Realität aus erster Hand, weil er die Compliance einer regulierten Bank selbst aufgebaut hat. In 30 Minuten sehen Sie, ob Relaris zu Ihrem Institut passt und welche Ihrer Lücken es konkret schließt.

Wir melden uns innerhalb von 48 Stunden, um einen Termin zu vereinbaren. Datenschutz.

Häufige Fragen

Sollten wir nicht erst mal abwarten?
Das haben viele Institute gedacht. Die ersten BaFin-Prüfungen laufen bereits — und sie zeigen Lücken auf. Wer jetzt einsteigt, ist in 4 Wochen produktiv. Wer wartet, erklärt in 6 Monaten dem Vorstand, warum man immer noch nicht DORA-konform ist.
Reicht unser GRC-Tool nicht aus?
Kann Ihr GRC-Tool das Register of Information nach Art. 28 DORA exportieren? Verträge automatisch auf die 10 Pflichtklauseln nach Art. 30 prüfen? Konzentrationsrisiken in N-Tier-Sub-Dienstleister-Ketten visualisieren? Wenn ja — gut. Wenn nicht, haben Sie eine Lücke. Relaris schließt genau diese, ohne Ihr GRC zu ersetzen.
Wäre eine Eigenentwicklung nicht günstiger?
Rechnen Sie mit: 6–9 Monaten Entwicklungszeit für eine minimale Eigenlösung, laufender Wartung bei jedem ESA-Update und einem Team, das Compliance-Expertise UND Software-Expertise vereint. Wenn das zu Ihrem Plan passt — gut. Wenn nicht, macht es Sinn, mit einer Lösung zu starten, die es heute schon gibt.
Reicht uns Excel nicht?
Excel ist ein ehrenwerter Start. Aber: Excel exportiert kein Register of Information nach DORA, prüft keine Art. 30-Klauseln und visualisiert keine N-Tier-Lieferketten. Relaris importiert Ihre bestehende CSV — Sie starten nicht bei Null, sondern mit dem, was schon da ist.
Was ist mit Datensicherheit bei AI?
Alle Firmennamen werden vor der KI-Verarbeitung pseudonymisiert (Entity Masking) — „CloudServ GmbH" wird zu PARTNER_001. Die Modelle laufen auf Azure OpenAI in Frankfurt; Ihre Daten verlassen Deutschland nicht. Kein Training mit Kundendaten. Jede KI-Interaktion ist revisionssicher protokolliert.
Ist das nicht zu aufwändig einzuführen?
Geführtes 6-Schritte-Setup, CSV-Import Ihrer bestehenden Daten, Assistent für die Erstbefüllung. In 2 Stunden ist Ihr Bestand drin — nicht in 2 Monaten. Danach arbeitet das Tool mit Ihnen, statt gegen Sie.