Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → Audit Begleitung as a Service GAP-Analyse Implementierung
ISMS
Übersicht → Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht → Externer KI-Beauftragter EU AI Act ISO 42001 Thema Schatten-KI
BCMS
Übersicht → Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht → Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht → Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht → Insights KI-Security Briefing
Über uns
Übersicht → Presse
+49 40-298 4553-0 [email protected]
Home/ Leistungen/ Externer Risikomanager

RMaaS — Risk Management as a Service

Externer Risikomanager für den Mittelstand

SECURAM stellt Ihren externen Risikomanager: Fachkompetenz in ISO 27005, MaRisk und strukturiertem IKT-Risikomanagement, ohne interne Stellenbesetzung.

Erstgespräch vereinbaren Tiers vergleichen ↓
RM
as a Service

Ausgangslage

Warum ein externer Risikomanager?

MaRisk und DORA fordern IKT-Risikomanagement. Qualifiziertes Personal fehlt.

MaRisk verpflichtet Finanzinstitute zu einem angemessenen Risikomanagement. DORA erweitert diese Anforderungen um IKT-Risikomanagement für den gesamten Finanzsektor, ISO 27005 liefert den methodischen Rahmen.

Qualifizierte Risikomanager fehlen auf dem Arbeitsmarkt. Eine interne Besetzung bindet eine Vollzeitstelle, die in KMU schwer darstellbar ist.

Als externer Risikomanager übernimmt SECURAM die operative Verantwortung für Ihr Risikomanagement: Risikoanalyse, Risikobewertung, Risikobehandlung und laufendes Risiko-Reporting — ohne die Fixkosten einer internen Stelle.

Unser Modell: RMaaS

Drei Service-Stufen im Vergleich

Wählen Sie den Umfang, der zu Ihrem Risikomanagement passt. Jede Stufe ist jederzeit skalierbar.

Leistung CoreQuartalsweise AdvancedMonatlich CompleteWöchentlich
Risiko-Review Quartalsweise Monatlich Wöchentlich
Risikoanalyse Halbjährlich Quartalsweise Laufend
Management Review Jährlich Quartalsweise Monatlich
Risikodokumentation
Risikobewusstsein 2×/Jahr 4×/Jahr
Lieferanten-Risikomanagement
IKT-Risikomanagement (DORA)
Board-Reporting (CRO-Level)
Audit-Vorbereitung Jährlich + Begleitung + Begleitung
Core anfragen Advanced anfragen Complete anfragen
Core
Quartalsweise Reviews
Basis-Risikomanagement für KMU
  • Quartalsweises Risiko-Review
  • Risikoanalyse (halbjährlich)
  • Risikodokumentation
  • Jährliches Management Review
  • Jährliche Audit-Vorbereitung
  • Risikobewusstsein
  • Lieferanten-Risikomanagement
  • IKT-Risikomanagement (DORA)
Core anfragen
Advanced
Monatliche Reviews
Laufendes RM für regulierte Unternehmen (MaRisk, DORA)
  • Monatliches Risiko-Review
  • Risikoanalyse (quartalsweise)
  • Risikodokumentation
  • Quartalsweises Management Review
  • Audit-Vorbereitung + Begleitung
  • Risikobewusstsein (2×/Jahr)
  • Lieferanten-Risikomanagement
  • IKT-Risikomanagement (DORA)
Advanced anfragen
Complete
Wöchentlicher Kontakt
Vollständige RM-Funktion inkl. Board-Reporting und IKT-Risikomanagement
  • Wöchentlicher Kontakt
  • Risikoanalyse (laufend)
  • Risikodokumentation
  • Monatliches Management Review
  • Risikobewusstsein (4×/Jahr)
  • Lieferanten-Risikomanagement
  • IKT-Risikomanagement (DORA)
  • Board-Reporting (CRO-Level)
  • Audit-Vorbereitung + Begleitung
Complete anfragen

Leistungsumfang

Was der externe Risikomanager konkret übernimmt

Acht Leistungsmodule für das laufende Risikomanagement.

01

Risikoanalyse

Systematische Identifikation und Dokumentation von Risiken nach ISO 27005 oder BSI-Standard 200-3.

02

Risikobewertung

Quantitative und qualitative Bewertung identifizierter Risiken mit definierten Bewertungskriterien und Risikomatrix.

03

Risikobehandlung

Ableitung und Nachverfolgung von Maßnahmen: Vermeiden, Vermindern, Übertragen oder Akzeptieren.

04

Risiko-Reporting

Regelmäßige Berichterstattung an die Geschäftsführung über Risikolage, Maßnahmenstatus und Trendentwicklung.

05

Lieferanten-Risikomanagement

Bewertung und Überwachung von Drittanbieter-Risiken gemäß ISO 27001 Annex A und DORA-Anforderungen.

06

IKT-Risikomanagement

Aufbau und Betrieb des IKT-Risikomanagements nach DORA: Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung.

07

Risikobewusstsein und Schulung

Sensibilisierung der Belegschaft für Risikobewusstsein, Meldewege und risikobasierte Entscheidungsfindung.

08

Audit-Vorbereitung

Interne Audits, Management Reviews und Begleitung bei Prüfungen durch Aufsichtsbehörden oder Zertifizierungsstellen.

So starten wir

Der Einstieg in vier Schritten

Erstgespräch und Scope-Klärung

45 Minuten · Kostenfrei

Wir klären Risikoreifegrad, regulatorische Anforderungen und den passenden Tier. Am Ende wissen Sie, ob RMaaS der richtige Ansatz ist.

Risiko-Assessment und Tier-Empfehlung

3–5 Werktage

Wir bewerten den IST-Zustand Ihres Risikomanagements, identifizieren regulatorische Lücken und leiten die passende Service-Stufe ab.

Onboarding

2–4 Wochen

Risikoregister übernehmen, Stakeholder kennenlernen, Zugänge einrichten, Kommunikationsrhythmus etablieren.

Laufender Betrieb

Fortlaufend

Ab dem ersten Risiko-Review läuft der Service. Regelmäßige Berichte, Risikoupdates und kontinuierliche Verbesserung.

Häufige Fragen

FAQ — Externer Risikomanager

Was kostet ein externer Risikomanager?
Die Kosten richten sich nach dem gewählten Tier (Core, Advanced, Complete) und dem regulatorischen Umfeld Ihrer Organisation. Im Erstgespräch klären wir den Scope — ohne Kosten, ohne Verpflichtung.
Brauche ich einen Risikomanager für MaRisk und DORA?
MaRisk fordert von Finanzinstituten ein angemessenes Risikomanagement. DORA erweitert diese Anforderungen um IKT-Risikomanagement. Ein dedizierter Risikomanager ist der effizienteste Weg, diese Anforderungen nachweisbar zu erfüllen.
Wie unterscheidet sich RMaaS von einer Risikomanagement-Beratung?
RMaaS ist eine laufende Funktion im Retainer-Modell. Eine Beratung ist ein einmaliges Projekt mit definiertem Ende. Der Risikomanager bleibt, die Beratung endet.
Was ist der Unterschied zwischen Risikomanager und Chief Risk Officer?
Der Risikomanager verantwortet die operative Durchführung des Risikomanagements: Analyse, Bewertung, Behandlung und Reporting. Der CRO ist eine strategische Führungsrolle. SECURAM bedient beide Funktionsprofile.
Für welche Unternehmen ist RMaaS relevant?
RMaaS eignet sich für mittelständische Unternehmen, die regulatorische Risikomanagement-Anforderungen erfüllen müssen, aber keine interne Stelle aufbauen können oder wollen. Besonders relevant bei MaRisk-, DORA- oder ISO-27005-Anforderungen.
Wie hängt RMaaS mit ISO 27005 zusammen?
ISO 27005 definiert den Rahmen für Informationssicherheits-Risikomanagement. RMaaS liefert die operative Umsetzung: Risikoidentifikation, -bewertung und -behandlung nach anerkannter Methodik, inklusive Integration in bestehende Managementsysteme.

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen