Paket C

Continuous Compliance Retainer

Das aufgebaute Governance-System aktuell, wirksam und auditfähig halten. Mit regelmäßigen Reviews, Evidence Refresh und Anpassung an neue Anforderungen.

Paket C

Was der Retainer umfasst

Governance ist kein einmaliges Projekt. Regulatorische Anforderungen ändern sich, neue Use Cases kommen hinzu, Controls müssen regelmäßig auf Wirksamkeit geprüft und Evidence aktualisiert werden. Der Retainer stellt sicher, dass das aufgebaute System nicht veraltet.

Laufend
2.000-5.000 EUR / Monat

Leistungen im Überblick

  • Quarterly Reviews – Regelmäßige Überprüfung des Governance-Systems auf Aktualität, Wirksamkeit und Vollständigkeit der Controls und Evidence.
  • Evidence Refresh – Aktualisierung und Ergänzung der Nachweisdokumentation, damit Audit-Readiness dauerhaft gewährleistet bleibt.
  • Neue Use Cases onboarden – Strukturierte Aufnahme, Klassifikation und Governance-Zuordnung neuer KI-Anwendungen und Agents im M365-Umfeld.
  • Wirksamkeitstests – Periodische Tests der implementierten Controls mit dokumentierten Ergebnissen und Handlungsempfehlungen bei Abweichungen.
  • Audit-Begleitung – Unterstützung bei internen und externen Audits: Vorbereitung der Unterlagen, Begleitung der Prüfung und Nachbereitung.
  • Regulatory Monitoring – Beobachtung relevanter regulatorischer Entwicklungen (EU AI Act, DORA, BaFin-Rundschreiben) und Bewertung der Auswirkungen auf das bestehende Governance-System.
Voraussetzung

Der Retainer baut auf einem bestehenden System auf

Um Governance laufend pflegen zu können, muss ein funktionierendes Kontrollsystem vorhanden sein. Der Retainer ersetzt keine Einmal-Implementierung.

Implementierte Controls

Konfigurierte Purview-Policies, DLP-Regeln, Labels und Berechtigungsstrukturen im M365-Tenant. Wird in Paket B aufgebaut.

Evidence Pack

Strukturierte Nachweisdokumentation mit Mapping auf regulatorische Anforderungen und Ablageort-Logik.

Operating Model

Definierte Rollen, Verantwortlichkeiten und Review-Zyklen für den laufenden Governance-Betrieb.

AI-Inventar mit Klassifikation

Erfasste und klassifizierte KI-Use-Cases als Grundlage für laufende Pflege und Onboarding neuer Anwendungen.

Falls noch kein Governance-System implementiert ist, beginnen Sie mit dem Quick Scan oder der AI Control Baseline.

Transparenz

Was der Retainer nicht umfasst

  • Der Retainer hält das bestehende Kontrollsystem aktuell und wirksam. Er ersetzt keine Einmal-Implementierung von Controls, Evidence Pack oder Operating Model.
  • Er liefert keine Rechtsberatung. Regulatory Monitoring identifiziert relevante Änderungen und bewertet deren operative Auswirkungen, ersetzt aber keine juristische Einordnung.
  • Er ist kein Managed Service für den M365-Tenant. Administration, Lizenzmanagement und allgemeiner IT-Betrieb liegen weiterhin bei der Organisation.
  • Er garantiert keine regulatorische Konformität. Der Retainer schafft und erhält die Voraussetzungen, die endgültige Bewertung obliegt den zuständigen Stellen.

Scope und Leistungsumfang werden im Retainer-Vertrag definiert. Keine pauschalen Konformitätsversprechen.

Gesamtpfad

Alle Pakete im Überblick

Vom strukturierten Einstieg bis zur laufenden Governance. Jedes Paket kann einzeln gebucht oder als durchgängiger Pfad kombiniert werden.

Quick Scan

Copilot Governance Quick Scan

Strukturierte Erstbewertung der AI-Governance-Lage in 3-5 Tagen.

3-5 Tage 3.500-5.000 EUR
Paket A

AI Control Baseline

Belastbare Baseline mit Inventar, Klassifikation, Ownern und Gap-Analyse.

2-3 Wochen 8-12k EUR
Paket B

AI Governance Sprint

Operative Umsetzung: Controls, Evidence, Operating Model und Wirksamkeitsnachweise.

4-6 Wochen 18-35k EUR

Governance dauerhaft
wirksam halten.

Regulatorische Anforderungen ändern sich. Neue Use Cases kommen hinzu. Der Retainer stellt sicher, dass Ihr Governance-System aktuell, wirksam und auditfähig bleibt.

Retainer anfragen Erstgespräch buchen

Kurzes Gespräch. Klarer Scope. Kein generisches Verkaufsgespräch.

Retainer anfragen