+49 6430 9227117
Portal-LoginPortal
Compliance & Audit

Compliance ist kein Akronym-Wortsalat. Es ist ein Audit-Trail.

Sechs Compliance-Domains, die Mittelstand und regulierte Branchen in DACH 2025–2027 belasten. Pro Domain klären wir präzise: was prüft das Audit, welcher TechCare-Service liefert welchen Nachweis, welche Dokumentation kommt automatisiert mit jedem Vertrag — Compliance-Officer- und CISO-tauglich, ohne Marketing-Geschwurbel.

Audit-Begleitung anfragen → 6 Domains im Detail
6
Compliance-Domains
8
Auto-Doku-Pakete pro Vertrag
24/72h
Incident-Meldepflicht NIS2/DORA
DACH
Engineer-Pool ohne Tier-3-Sub

In welcher Branche sind Sie unterwegs?

Pro Sektor unterschiedliche Compliance-Schwerpunkte. Springen Sie direkt zu den für Sie relevanten Audit-Stories.

Banken & Finanzdienstleister BAIT / MaRisk · EU DORA · ISO/IEC 27001:2022 Versicherungen BAIT / MaRisk · EU DORA · ISO/IEC 27001:2022 Energie & Versorger NIS2 · KRITIS · ISO/IEC 27001:2022 Healthcare & Krankenhäuser NIS2 · KRITIS · ISO/IEC 27001:2022 Automotive TISAX · ISO/IEC 27001:2022 Behörden & KRITIS-Betreiber KRITIS · NIS2 · ISO/IEC 27001:2022
Die 6 Domains

Was prüft das Audit. Was TechCare liefert. Welche Doku kommt automatisch.

EU DORA Digital Operational Resilience Act · Art. 28

Operationelle Resilienz für IKT-Drittanbieter

Banken · Versicherungen · Finanzdienstleister Anwendung seit Januar 2025
Was prüft das Audit?

Hardware-Wartung gilt als kritischer IKT-Drittanbieter-Service. Auditoren prüfen, ob TechCare als Anbieter angemessen vertraglich eingebunden, regelmäßig getestet und resilienz-belastbar ist.

Welcher TechCare-Service liefert?

Schriftlicher SLA-Vertrag mit dokumentierten Reaktionszeiten und Verfügbarkeits-Zielen, jährlicher TLPT-fähiger Resilienz-Test (Threat-Led Penetration Testing), Sub-Outsourcing-Liste mit allen Engineer-Pools.

Welche Doku kommt automatisiert?

Quartalsweiser Resilience Report (SLA-Performance, Incident-Logs, Sub-Outsourcing-Mapping), DORA-konformer Vorlage-Vertrag, Audit-Trail jeder Hardware-Intervention.

NIS2 Network & Information Security Directive · Art. 21

Cybersecurity-Mindestmaßnahmen für wesentliche Einrichtungen

Energie · Verkehr · Gesundheit · Wasser · Telekom · Digital Umsetzungsfrist Oktober 2024 · DACH-Implementierung läuft
Was prüft das Audit?

Auditoren prüfen die zehn Pflicht-Bereiche aus Art. 21: Risikomanagement, Incident-Handling, Supply-Chain-Security, Schwachstellen-Management, Krypto, MFA, Backup. Hardware-Patching und Firmware-Updates sind harte Mindestanforderung.

Welcher TechCare-Service liefert?

Firmware-Patch-Management mit OEM-Bulletin-Abgleich, dokumentierte Incident-Response innerhalb 24h, Schwachstellen-Tracking pro Modell, gesicherte Lieferketten für Spare-Parts (Chain-of-Custody).

Welche Doku kommt automatisiert?

Maintenance-Log mit Patch-Status pro System, NIS2-konforme Incident-Reports binnen 24h/72h, Lieferketten-Mapping für jede Hardware-Auslieferung.

KRITIS BSI-IT-SiG · KRITIS-Verordnung

Mindeststandard für kritische Infrastrukturen

Energie · Wasser · Gesundheit · Finanzen · Transport · Telekom Anwendung seit 2017 · regelmäßige BSI-Nachweisprüfung
Was prüft das Audit?

Das BSI prüft alle zwei Jahre den Stand der Technik im Sicherheits-Management. Hardware-Wartung muss 24/7 verfügbar sein, mit deutschen Engineers (kein Sub-Sub-Outsourcing-Risiko) und TÜV-zertifiziertem Daten-Erase bei Außerbetriebnahme.

Welcher TechCare-Service liefert?

24/7 Hotline mit Engineer-Eskalation in 2h, deutscher Engineer-Pool ohne Tier-3-Subcontractor-Kette, TÜV-zertifizierter Daten-Erase nach BSI-Wipe-Standards, Spare-Parts aus EU-Beständen.

Welche Doku kommt automatisiert?

Quartalsweiser SLA-Bericht, Engineer-Zertifizierungs-Liste (jährlich erneuert), Daten-Erase-Zertifikat pro Außerbetriebnahme, Spare-Parts-Herkunfts-Nachweis.

BAIT / MaRisk Bankaufsichtliche Anforderungen an die IT · BaFin

IT-Auslagerung mit Krisen-Resilienz und Sub-Outsourcing-Transparenz

Banken · Sparkassen · Wertpapierdienstleister · BaFin-regulierte Finanzdienstleister Aktualisierung 2021 · DORA-Ergänzung 2025
Was prüft das Audit?

BaFin prüft den Auslagerungs-Vertrag, die Sub-Outsourcing-Kette, die Krisen-Tests und die Exit-Strategie. Hardware-Wartung muss schriftlich vertraglich eingebunden, mit dokumentierter SLA und nachweisbarem Notfall-Plan.

Welcher TechCare-Service liefert?

BAIT-konformer Vertrag mit Auslagerungs-Klauseln, vollständige Sub-Outsourcing-Liste (kein versteckter Tier-3), jährlicher Krisen-Test mit Switch-Over-Drill, dokumentierte Exit-Strategie pro Vertrag.

Welche Doku kommt automatisiert?

BAIT-konformer Auslagerungs-Bericht (Template), quartalsweiser SLA-Performance-Report, Krisen-Test-Protokoll mit Switch-Over-Zeit, Exit-Plan-Update jährlich.

TISAX Trusted Information Security Assessment Exchange · VDA-ISA

Information Security für Automotive-Zulieferer-Ketten

Automotive · OEM · Tier-1/Tier-2 Zulieferer VDA-ISA Standard · Audit-Level je nach Schutzbedarf
Was prüft das Audit?

TISAX prüft den VDA-ISA-Katalog: Vertraulichkeit von Prototypen-Daten, Engineer-NDA, gesicherte Spare-Parts-Lager, Hardware-Disposal mit Daten-Vernichtung. Automotive-OEMs verlangen Level-2 oder Level-3 Audits von Wartungspartnern.

Welcher TechCare-Service liefert?

ISO-27001-zertifizierter Service-Provider, NDA für jeden Field-Engineer pro Standort, secured Spare-Parts-Lager mit Zugangs-Logging, R2v3-zertifizierter Disposal-Partner für End-of-Life-Hardware.

Welche Doku kommt automatisiert?

TISAX-Mapping-Sheet (welche VDA-ISA-Kontrollen TechCare abdeckt), Engineer-NDA und Background-Check-Bestätigung pro Standort, R2v3-Disposal-Zertifikat pro Hardware-Außerbetriebnahme.

ISO/IEC 27001:2022 Information Security Management System · ISO 27001:2022

ISMS-Anker für strukturierte Sicherheits-Nachweise

Branchenübergreifend · Voraussetzung vieler Lieferanten-Audits Zertifizierung 3-jährig · jährlicher Surveillance-Audit
Was prüft das Audit?

Externe Auditoren (TÜV, DQS, BSI) prüfen die 14 Annex-A-Domains des ISO-27001-Katalogs. Für Hardware-Wartung relevant: A.15 Supplier-Relationships, A.18 Compliance, A.5 Information-Security-Policies, A.8 Asset-Management.

Welcher TechCare-Service liefert?

TechCare betreibt ein zertifizierungs-fähiges ISMS mit dokumentierten Policies, klarer Asset-Inventur, vertraglich abgesicherten Supplier-Beziehungen und kontrollierter Compliance-Nachverfolgung.

Welche Doku kommt automatisiert?

ISO-27001-Zertifikat (auf Anfrage), SoA-Mapping (Statement of Applicability) der relevanten Annex-A-Kontrollen, Auditor-bereite Service-Reports, Audit-Logs aller Engineer-Zugriffe.

Auto-Dokumentation

Acht Doku-Pakete, die mit jedem Vertrag automatisch kommen.

Compliance-Officer und CISOs brauchen Belege, nicht Marketing-Aussagen. Diese acht Pakete liegen pro Quartal oder pro Eingriff im Portal — nachvollziehbar, auditor-tauglich, ohne Anfrage-Schleifen.

Quartalsweise

SLA-Performance-Report

Reaktionszeiten und Verfügbarkeit pro Standort, Vergleich zu vereinbarten SLA-Stufen, Eskalationen mit Root-Cause-Analyse.

Bei jedem Eingriff

Audit-Trail aller Engineer-Zugriffe

Wer war wann, wo, an welchem System — vollständige Protokollierung mit Engineer-ID, Ticket-Referenz und Standort.

Pro Außerbetriebnahme

Daten-Erase-Zertifikat

TÜV/BSI-konformer Wipe-Nachweis (NIST 800-88, BSI-GS) mit Seriennummer, Wipe-Methode und Verifikations-Hash.

Pro Spare-Part

Chain-of-Custody-Nachweis

Herkunft jedes Ersatzteils — von welchem Distributor, mit welcher OEM-Original-Seriennummer, durch welche Hände vor Auslieferung.

Jährlich erneuert

Engineer-Zertifizierungs-Register

Liste aller Field-Engineers mit aktuellen OEM-Zertifizierungen, Background-Check-Status (auf Anfrage), TISAX-/NDA-Unterzeichnung.

Binnen 24h/72h Meldepflicht

Incident-Reports

NIS2-/DORA-konform: Erst-Meldung in 24h, vertiefter Bericht in 72h, Final-Report mit Lessons-Learned. Liefer-Format auf Wunsch BSI-konform.

Jährlich + bei Änderungen

Auslagerungs- und Sub-Outsourcing-Bericht

BAIT-/DORA-konform: TechCare als Auslagerungs-Partner, vollständige Sub-Outsourcing-Liste (Engineer-Pools, Distributoren), Risiko-Bewertung.

Jährlich

Krisen-Test-Protokoll

Switch-Over-Drill mit gemessener Reaktionszeit, dokumentierter Exit-Strategie und Notfall-Engineer-Pool. DORA-Resilience-Test-fähig.

Audit-Begleitung

So begleiten wir Ihr Audit — in drei Phasen.

  1. 1

    Erstgespräch & Scope

    Welche Audits stehen an? Welche Dokumente werden vom Auditor erwartet? Welche TechCare-Verträge müssen referenziert werden? Wir mappen Ihren Bedarf gegen unsere Service-Bausteine.

  2. 2

    Doku-Bereitstellung & Auditor-Brief

    Sie bekommen ein Audit-Pack mit allen benötigten Nachweisen — SLA-Reports, Engineer-Listen, Zertifikate, Sub-Outsourcing-Mapping, Vertrags-Klauseln. Auf Wunsch direkt mit Ihrem Auditor abgestimmt.

  3. 3

    Audit-Begleitung & Nachfragen

    Beim Audit selbst stehen Compliance-Officer und Service-Delivery-Manager bei Nachfragen bereit. Nachträgliche Auditor-Anfragen beantworten wir innerhalb 48h, mit nachvollziehbaren Belegen aus dem Service-Trail.

Häufige Fragen

Was Compliance-Officer am meisten fragen.

Sind Sie zertifiziert nach ISO 27001?

Wir betreiben ein zertifizierungs-fähiges ISMS und liefern auf Anfrage das aktuelle Zertifikat sowie das SoA-Mapping (Statement of Applicability). Wir bewegen uns in einer DACH-spezifischen Audit-Realität — TÜV, DQS und BSI sind die typischen Zertifizierer, die unsere Kunden anerkennen.

Wie unterstützen Sie unser DORA-Audit konkret?

DORA Art. 28 verlangt einen schriftlichen Vertrag mit dokumentierten SLAs, eine vollständige Sub-Outsourcing-Liste, jährliche Resilienz-Tests und eine Exit-Strategie. Wir liefern das DORA-konforme Vertragstemplate, den quartalsweisen Resilience Report und führen einmal im Jahr einen Switch-Over-Drill durch — Beleg-fähig für jeden TLPT-Auditor.

Was bekomme ich pro Quartal automatisch zugeschickt?

Standard-Compliance-Paket: SLA-Performance-Report, Audit-Trail aller Engineer-Zugriffe, Incident-Logs, Sub-Outsourcing-Status. Auf Vereinbarung erweitern wir um Spare-Parts-Chain-of-Custody, Engineer-Zertifizierungs-Register und Krisen-Test-Protokoll.

Wer hat Zugriff auf unsere Hardware-Daten — und wie wird das auditiert?

Vor-Ort-Eingriffe macht ein definierter Engineer-Pool, jeder Engineer mit unterzeichneter NDA. Jeder Zugriff geht über ein Ticket mit Audit-Trail (wer, wann, welches System, welche Aktion). Datenträger werden grundsätzlich nicht aus dem Standort transportiert ohne dokumentierten Daten-Erase oder verschlossenen Sicherheits-Container.

Was passiert bei einem Sicherheitsvorfall — z. B. ein defektes Spare-Part mit potenziellen Daten-Resten?

Sofort-Eskalation an unseren Compliance-Officer (binnen 4h). Erst-Meldung an Sie binnen 24h, vertiefter Bericht binnen 72h — exakt nach NIS2/DORA-Frist. Defekte Datenträger werden vor Ort vernichtet (BSI-konformer Wipe oder physische Destruktion) und niemals retourniert ohne dokumentiertes Erase-Zertifikat.

Können wir TechCare-Engineers einem Background-Check unterwerfen?

Ja. Für TISAX-Level-3-Standorte oder KRITIS-Sicherheitsbereiche ist Background-Check Standard, durchgeführt durch zertifizierte Anbieter (Bundesdruckerei, Schufa-Wirtschaftsdienst). Auf Anfrage liefern wir die unterzeichnete Bestätigung pro zugeordnetem Engineer.

Wie unterscheidet sich Ihre Compliance-Doku vom OEM-Standard?

Drei Punkte: (1) Wir haben einen dedizierten Compliance-Officer, OEM-Wartung läuft typischerweise über internationale Service-Hubs ohne EU-Compliance-Fokus. (2) Wir liefern Reports auf Deutsch, audit-tauglich für DACH-Auditoren. (3) Sub-Outsourcing-Transparenz: bei OEMs ist die Engineer-Kette oft drei Tier tief (OEM → Kontinental-Partner → Lokal-Sub) und intransparent — bei uns ist sie ein- bis zweistufig und schriftlich dokumentiert.

Brauche ich für KRITIS oder NIS2 einen separaten Vertrag?

Nein. Der Standard-Wartungsvertrag enthält bereits die NIS2/KRITIS-relevanten Klauseln (Incident-Response-Fristen, Sub-Outsourcing-Transparenz, Engineer-Zertifizierungen). Bei Ihrem Onboarding ergänzen wir die KRITIS-spezifischen Anhänge (z. B. B3S-Krankenhaus-Mapping, BSI-Wipe-Standard) ohne Aufpreis.

Welche Sub-Outsourcing-Transparenz bieten Sie?

Vollständige Liste aller Engineer-Pools (Festangestellte und Vertragspartner), Spare-Parts-Distributoren mit Standorten, sowie spezialisierte Disposal-Partner (R2v3-zertifiziert). Jährlich aktualisiert, plus bei jeder Änderung im Standardanhang. Kein versteckter Tier-3 — wir nennen Namen.

Wer ist mein Compliance-Ansprechpartner bei TechCare?

Pro Vertrag ein dedizierter Service-Delivery-Manager als operativer Ansprechpartner und der Compliance-Officer als Eskalations-Instanz für Audit-Themen. Direkter Draht ohne Hotline-Schleife. Beide sprechen Deutsch und verstehen DACH-Compliance-Sprache (BAIT, MaRisk, BSI, BaFin, NIS2).

Bereit für Ihr nächstes Audit?

Schicken Sie uns die Audit-Domain und das ungefähre Datum — wir bereiten innerhalb 48 Stunden ein passendes Doku-Paket zur Vorlage beim Auditor vor. Auf Wunsch direkt im Termin mit Ihrem Compliance-Officer und unserem Service-Delivery-Manager.

Audit-Begleitung anfragen → Whitepapers ansehen

Hinweis: Diese Seite beschreibt unseren Standard-Service-Beitrag und ist keine Rechtsberatung. Für konkrete Audit-Vorbereitung verweisen wir auf die jeweilige Original-Verordnung und empfehlen die Begleitung durch einen Compliance-Officer oder externen Auditor.

Auch interessant

Weiter im Thema bleiben

Service
EOSL-Wartung

Patch-Lifecycle vs. EOSL — asynchroner Lifecycle ist Compliance-relevant für BAIT/KRITIS.

Mehr ansehen →
Lifecycle
Hardware-Lifecycle

Daten-Erase-Zertifikate, R2v3-Disposal, Chain-of-Custody — Compliance-Bausteine in der Praxis.

Mehr ansehen →
Whitepaper
OEM vs. TPM 2026

Kostenvergleich mit TCO-Tabelle, dokumentierte Migration und 6-Schritte-Pfad.

Mehr ansehen →
Service-Bausteine

Andere Service-Themen

Alle Leistungen im Überblick
EOSL-Wartung

Hardware nach End of Service Life weiterbetreiben — 5–10 Jahre über OEM-Frist hinaus.

Mehr ansehen →
Post-Warranty

Nahtloser Wartungs-Übergang ab Tag 1 nach Werksgarantie — typisch 30–70 % unter OEM.

Mehr ansehen →
Wartungs-Verlängerung

OEM-Vertrag läuft aus? Verlängerung per TPM mit identischer SLA, ohne Bundle-Lock-in.

Mehr ansehen →
Hardware-Lifecycle

Buyback, Refurbishment, R2v3-/WEEE-Disposal mit dokumentiertem Daten-Erase.

Mehr ansehen →
Installation & Umzug

Rack-In, Rollouts, Datacenter-Umzug — mit Risiko-Plan und Rollback-Pfad.

Mehr ansehen →
Verwandte Themen
Hauptleistung
Hardwarewartung im Detail
Was steckt hinter der Wartung: Vertrag, SLA, Engineer-Pool, Spare-Parts — der Service, den die Compliance-Doku belegt.
Detail ansehen →
Lifecycle
Hardware-Lifecycle
Daten-Erase, R2v3-Disposal, Chain-of-Custody — die Compliance-relevanten Lifecycle-Bausteine in der Praxis.
Lifecycle öffnen →
Anfrage
Audit-Begleitung anfragen
Schicken Sie uns Audit-Domain und Datum — wir bereiten in 48h ein passendes Doku-Paket für Ihren Auditor vor.
Audit besprechen →