DORA 2025BaFin-OrientierungshilfeEU AI ActMicrosoft 365

KI im Einsatz.
DORA in Kraft.
Nachweis fehlt.

Reemento konfiguriert operative AI-Governance-Controls direkt im Microsoft-365-Tenant — damit mittelständische Solvency-II-Versicherungsunternehmen prüfungsfähige Nachweise für DORA und die BaFin-Aufsicht liefern können. Kein Report. Ein funktionierendes System.

Kostenloses Erstgespräch buchen

Was Entscheider intern brauchen

AI-Inventar

Welche KI-Systeme im Einsatz sind, wofür und wer verantwortlich ist.

Controls im M365-Stack

Purview, Entra, DLP und Labels dort konfiguriert, wo Risiken real entstehen.

Evidence Pack

Nachweise, die Security, Datenschutz und Revision direkt weiterverwenden können.

Kein Report. Ein funktionierendes System – operativ, nachvollziehbar, auditierbar.
Die 5-stufige Governance-Pipeline

So wird GenAI im M365-Stack audit- und rollout-fähig.

01 Discover
02 Classify
03 Control
04 Evidence
05 Operate
Regulatorischer Handlungsdruck

Der Engpass ist nicht das Modell.
Der Engpass ist die Freigabe.

DORA gilt seit Januar 2025. Die BaFin-Orientierungshilfe vom Dezember 2025 ist ein starkes Aufsichtssignal: KI-Systeme müssen als ICT-Assets inventarisiert, klassifiziert und in den IKT-Risikomanagementrahmen eingebettet werden — über den gesamten Lebenszyklus. Prüfungsfähige Nachweise fehlen in den meisten Organisationen.

Reemento schließt diese Lücke: mit prüfbarem AI-Inventar nach DORA Art. 8, Risikoklassifikation, technischen Controls im M365-Stack und einem Evidence Pack, das BaFin-Prüfungen standhält.

Big4 liefern Frameworks und Assessments Reemento schließt die Lücke zur produktiven Umsetzung im Tenant.
Kanzleien bewerten rechtlich Reemento übersetzt Anforderungen in Inventar, Controls und Evidence.
IT-Dienstleister rollen Technik aus Reemento verbindet Technik mit Governance- und Freigabelogik.
M365-Freelancer konfigurieren Features Reemento baut ein Governance-System, nicht nur einzelne Einstellungen.
Reemento empfiehlt keine Controls – Reemento konfiguriert sie.
Direkt im M365-Stack. In Wochen, nicht Monaten.

Nicht für alle.
Für regulierte Organisationen mit M365.

Solvency-II-Versicherungen

Mittelständische Versicherungsunternehmen und Versicherungsvereine auf Gegenseitigkeit (VVaG) mit DORA-Umsetzungsbedarf und Microsoft 365 im Einsatz. Voller DORA-Rahmen Art. 5–15 gilt seit Januar 2025.

Sparkassen und Volksbanken

Für Institute mit eigenem M365-Tenant und DORA-Umsetzungsbedarf. Gruppenweite IT-Provider wie Finanz Informatik und Atruvia erfordern abgestimmte Vorgehensweise.

Leasing und Spezialfinanzierer

Für BaFin-regulierte Leasing- und Factoring-Institute im vereinfachten DORA-Rahmen nach Art. 16 — mit Umsetzungsfrist bis 1. Januar 2027.

Weitere regulierte Organisationen

M365-Footprint + konkreter Governance-Bedarf = gute Passung.

Welches Paket passt
zu Ihrer Situation?

Starten Sie mit einem 3-Minuten-Selbstcheck – oder wählen Sie direkt ein Paket.

3-Minuten-Selbstcheck

Wie auditfähig ist Ihre KI-Nutzung wirklich?

8 Fragen. Sofort-Ergebnis. Keine Anmeldung. Für CISO, IT und Compliance.

Assessment starten
Paket 0

Quick Scan

Erstbewertung: Shadow AI, Oversharing, Top-10 Findings.

3–5 Tageab 3.500 EUR
Erkennen und priorisieren
Anfragen
Paket A

AI Control Baseline

Inventar, Owner, Risikoklassifikation, Gap-Analyse.

2–3 Wochenab 8.000 EUR
Klassifizieren und zuordnen
Anfragen
Paket B

Governance Sprint

Controls, Evidence, Operating Model – operativ umgesetzt.

4–6 Wochenab 18.000 EUR
Umsetzen und evidenzieren
Anfragen
Paket C

Retainer

Reviews, Evidence Refresh, neue Use Cases, Monitoring.

Laufendab 3.500 EUR/Monat
Aktuell halten und nachweisen
Anfragen

Keine pauschalen Konformitätsversprechen. Jedes Paket hat klar definierte Scope- und Claim-Grenzen.

So wird AI-Governance
belastbar.

1

Discover

Use Cases, Shadow AI und Datenflüsse sichtbar machen.

2

Classify

Einsatzkontext, Ownership und Freigaberelevanz bewerten.

3

Control

Controls im M365-Stack dort aufbauen, wo Risiken entstehen.

4

Evidence

Nachweise so strukturieren, dass Prüfung und Freigabe möglich werden.

5

Operate

Review-Zyklen und Stage-Gates etablieren.

Was Entscheider intern weiterverwenden

Readiness Check

Risiken, Freigabehindernisse und Governance-Lücken strukturiert bewertet.

CISO, CIO, Compliance, DSB

Evidence Index

Anforderungen auf Controls und Nachweise gemappt – für Audit und Revision.

Revision, Compliance, Security

Executive Risk Summary

Ampelbild, Top-Risiken, Sofortmaßnahmen auf einer Seite.

Vorstand, CISO, CIO

30/60/90 Backlog

Priorisierte Maßnahmen für Oversharing, Labels, DLP und Governance.

IT-Leitung, Security
Über Reemento

Reemento GmbH.
Spezialisiert auf operative AI-Governance im M365-Stack.

Reemento ist ein Spezialanbieter für operative AI-Governance in regulierten Organisationen im DACH-Raum. Der Fokus liegt darauf, GenAI-Einsatz im Microsoft-365-Umfeld kontrollierbar, freigabefähig und nachweisbar zu machen – ohne Umweg über generische Beratungsprodukte.

Im Unterschied zu klassischen Beratungshäusern und IT-Dienstleistern verbindet Reemento Governance-Methodik und technische Umsetzung im Tenant in einem Anbieter. Inventar, Controls, Evidence und Operating Model kommen aus einer Hand – ohne Schnittstellenverluste zwischen Beratung, Implementierung und Nachweisführung.

Geschäftsführer ist Mustafa Pakir.

RechtsformReemento GmbH
SitzBielefeld, Deutschland
FokusOperative AI-Governance im Microsoft-365-Stack
ZielmarktRegulierte Organisationen im DACH-Raum
AnsatzGovernance-Methodik und technische Umsetzung in einem Anbieter
AbgrenzungKeine Agentur, kein generischer KI-Berater, kein M365-Freelancer

Erfahrung in anspruchsvollen Unternehmensumfeldern

Reemento bringt Zusammenarbeitserfahrung mit Organisationen wie Volkswagen, Uniper, BWI und der Bundesagentur für Arbeit mit.

Klarheit in 30 Minuten.
Kostenlos.

Kein Verkaufsgespräch. Strukturierte Erstbewertung Ihrer AI-Governance-Situation.

Readiness Check buchen

Häufige Fragen

Ist Reemento ein Ersatz für unsere Rechtsabteilung?

Nein. Reemento übersetzt regulatorische Anforderungen operativ — in Inventar, Controls und prüfbare Nachweise. Das ersetzt keine Rechtsberatung und keine unabhängige Prüfung. Die Funktion des unabhängigen Auditors nach MaGo Kap. 9.5 und DORA Art. 6 verbleibt beim internen Revisor oder einem zugelassenen Prüfungsunternehmen. Reemento bereitet die Konfiguration und Nachweisstruktur für diese Prüfung vor.

Ist das nur für Copilot?

Copilot ist häufig der Auslöser, aber die Governance-Logik deckt den breiteren GenAI-Einsatz im M365-Umfeld ab – inklusive Agents und neuer Use Cases.

Was unterscheidet Quick Scan von Paket A?

Der Quick Scan liefert eine Erstbewertung in 3–5 Tagen. Paket A baut darauf eine belastbare Baseline mit Inventar, Ownern und Risikoklassifikation auf.

Ist Copilot automatisch High-Risk nach EU AI Act?

Nein — nicht pauschal. Ob ein KI-System als High-Risk nach EU AI Act Annex III eingestuft wird, hängt vom konkreten Einsatzkontext ab, nicht vom Tool. Standard-Copilot für Textzusammenfassungen oder E-Mail-Drafts ist typischerweise kein High-Risk-System. Anders kann es aussehen bei KI-gestützter Versicherungs-Risikoprüfung oder Tarifierung — diese sind in Annex III explizit genannt.

Hinweis zum Digital Omnibus: Die EU-Kommission hat einen Vorschlag zur Anpassung des EU AI Act vorgelegt. Eine politische Einigung wird im Verlauf 2026 erwartet. Als wahrscheinlichstes Szenario gilt eine Verschiebung der High-Risk-Pflichten auf Ende 2027. Der unmittelbare Handlungsdruck für Solvency-II-Versicherer kommt heute aus DORA und der BaFin-Orientierungshilfe — nicht aus dem AI Act High-Risk-Regime.

Was kostet AI Governance für Microsoft 365?

Quick Scan ab 3.500 EUR, Baseline ab 8.000 EUR, Governance Sprint ab 18.000 EUR, Retainer ab 3.500 EUR/Monat. Details auf der Leistungsseite.

Erstgespräch buchen