Eine Karte von innen
Ein großer Kunde aus einem regulierten Sektor hat uns vor einigen Monaten gebeten, die Plattform abzusichern. Die Anfrage war in den üblichen Begriffen formuliert: IT-Sicherheit und Compliance-Audit. Was sie am Ende mitnahmen, war ein DPA Anhang 2, gegliedert in neunzehn Abschnitte, eine technische Gap-Analyse, eine Remediation-Roadmap, eine Formalisierung der Kette der Unterauftragsverarbeiter, geschrieben, um einer ernsten Prüfung standzuhalten. Es gab keine einzige neue Codezeile in dem, was wir geliefert haben, und auch keine Plattform zu lizenzieren. Strukturiertes Papier und vertragliche Positionierung, so produziert, dass sie verteidigungsfähig waren vor wem auch immer kommt, um Rechenschaft zu verlangen. Das Interessante ist, dass dies keine Ausnahme war, sondern die Regel, die sich in unseren letzten zwölf Monaten Arbeit etabliert hat.
Jemand könnte einwenden, dass die Karte dieses Marktes bereits existiert und es genüge, den Magic Quadrant von Gartner für GRC-Tools zu lesen oder die Forrester-Berichte über Privacy-Management-Plattformen zu konsultieren. Das wäre eine bequeme und teilweise irreführende Abkürzung. Diese Dokumente fotografieren den globalen Markt der Plattformen, in dem ServiceNow, MetricStream, OneTrust, Drata und Optro stehen — letzteres hat im vergangenen März AuditBoard umbenannt. Der italienische Compliance-Markt hingegen hat eine eigene Struktur, geformt von ACN, der italienischen Agentur für nationale Cybersicherheit, von der Umsetzung der NIS2 mit dem decreto legislativo 138/2024 (der italienischen Umsetzung der NIS2-Richtlinie), vom dominanten Gewicht der öffentlichen Verwaltung am Gesamtbeschaffungsvolumen, von der ungleichmäßigen Geschwindigkeit, mit der die europäischen Richtlinien bei den Endkunden operativ werden. Um ihn zu lesen, braucht es eine Karte, die von innen gezeichnet ist.
Oben: die spezialisierte Beratung
Es scheint mir nützlich, ihn als Sanduhr zu betrachten. Oben hat sich eine dichte Schicht spezialisierter Beratung gebildet. Die Big4 — Deloitte, PwC, EY, KPMG — haben GRC-Praktiken, die in den kommerziellen Angeboten mittlerweile ununterscheidbar sind und die sich eher über die Namen der Senior Partner als über die Methodologien Konkurrenz machen. Daneben — und in einigen Fällen auf qualitativ höherem Niveau — operieren die strukturierten italienischen Boutiquen. P4I aus der Digital360-Gruppe gibt auf der eigenen Website über hundertsechzig Fachleute an und verkauft ein methodisches Brand namens Advisory Engine, mit einem als Compliance360 registrierten Katalogprodukt. ICTLC hat den Legal-Tech-Zuschnitt konsolidiert, der heute in Mode ist; als sie damit anfingen, war er es nicht. Spike Reply operiert innerhalb der Reply-Gruppe und behält dabei eine erkennbare Identität; sie deckt das gesamte Spektrum von Cybersecurity und Datenschutz ab, mit einem signifikanten Gewicht auf Financial- und Manufacturing-Dossiers. Deda Tech hat den Weg des multidisziplinären Teams gewählt, in dem Juristen und Ökonomen neben Ingenieuren sitzen, und in öffentlichen Interviews erklären sie offen, keine technischen Lösungen zu verkaufen, sondern Vertrauen. Der Satz klingt wie Marketing und entspricht der realen Positionierung.
Was diese Akteure verkaufen, ist Interpretation. Keine Software, die etwas tut, sondern eine erkennbare Person, fähig, eine Norm in die spezifischen Begriffe deiner Lieferkette zu übersetzen und den Verhandlungstisch über ein Data Processing Agreement mit einem amerikanischen Cloud-Provider zu halten, ohne preiszugeben, was nicht preiszugeben ist. Die Margen sind hoch, die Skalierbarkeit ist niedrig. Die Abhängigkeit vom einzelnen Namen mit dem grauen Bart oder dem akademischen Lebenslauf ist strukturell für das Modell. Wachstum geschieht durch Kooptation, durch Hiring gewichtiger Namen, durch Akquisitionen kleinerer Kanzleien, die konsolidierte Kundenportfolios mitbringen. Es ist ein Mechanismus, der mehr der Welt der Anwaltschaft ähnelt als der Welt der Software.
Unten: die Plattformen
Unten hat sich die Schicht der Plattformen gebildet. Die Projektionen von IntelMarket Research bewerten den globalen Markt der GRC-Plattformen 2024 mit 16,7 Milliarden Dollar, mit Horizont 2032 bei 32,8 Milliarden und einer kumulierten Wachstumsrate von 9,9 %; andere Schätzungen geben merklich abweichende Zahlen, je nach einbezogenem Perimeter, aber die Richtung ist klar. ServiceNow GRC ist der Default für jene, die ServiceNow bereits für das IT-Service-Management einsetzen, und das ist ein signifikanter Anteil der italienischen Enterprise-Welt. MetricStream deckt das Segment der Multinationals mit reifen GRC-Programmen ab. OneTrust hat die DSGVO in ein Produkt verwandelt und positioniert sich nun auf AI Governance neu. Drata und Vanta automatisieren SOC2 und ISO 27001 für Startups und Scale-ups, mit kontinuierlich gesammelter Evidenz und SaaS-Preisen, die in das Budget eines CTO passen, ohne dass dieser zum CFO gehen müsste. Der italienische Anteil dieser Schicht ist dünn. Der italienische Markt für Compliance-Software hat keine international skalierten Akteure hervorgebracht, und die lokalen Versuche bleiben auf einzelne Vertikalen oder einzelne Kunden beschränkt.
Das eingeklemmte Middle Layer
Zwischen diesen beiden Schichten, dort wo die Sanduhr sich verengt, befindet sich das Middle Layer, und hier liegt die interessante Dynamik. Es ist die Schicht der Custom-Software für Compliance, der maßgeschneiderten DSGVO-Anwendungen, der vertikalen Plattformen für ISO 27001, entwickelt von mittelgroßen italienischen Softwarehäusern. Jahrelang war es eine bequeme Schicht. Der Kunde traute den amerikanischen Plattformen aus Gründen der Datensouveränität nicht, die Big4 waren für den Mid-Market zu teuer, und ein lokales Softwarehaus, das ein gebrandetes DSGVO-Portal lieferte, war die natürliche Lösung. Heute wird diese Schicht von beiden Seiten gleichzeitig zusammengedrückt. Von unten, weil Drata SOC2 zu einem Bruchteil der Kosten einer maßgeschneiderten Anwendung leistet, und Startups keinen Grund haben, sich für eine Commodity-Funktion etwas Proprietäres entwickeln zu lassen. Von oben, weil bei ernsten Problemen — einer verteidigungsfähigen DPIA oder einer Vertragsverhandlung mit Microsoft, die keine Lücken lässt — der Kunde versteht, dass Software nicht ausreicht und dass er eine Person braucht, die seine Sprache spricht und Dokumente unterschreibt, die einer Prüfung standhalten.
ACN und der Markt im Markt
Was die italienische Karte strukturell von der globalen unterscheidet, ist ACN. Das Regolamento unico per le infrastrutture digitali e i servizi cloud (das einheitliche italienische Regelwerk für digitale Infrastrukturen und Cloud-Dienste) — decreto direttoriale 21007 vom 27. Juni 2024, im Regelbetrieb seit dem 1. August desselben Jahres — hat einen Markt im Markt geschaffen. Die öffentliche Verwaltung darf Cloud-Dienste nur dann beschaffen, wenn sie als QC1, QC2, QC3 oder QC4 qualifiziert sind, erbracht auf Infrastrukturen, die als AI1 bis AI4 angemessen sind, nach einer Matrix, die die Klassifizierung des Datums an das zulässige Service-Niveau bindet. Aruba hat auf den höchsten Stufen qualifiziert, Polo Strategico Nazionale verwaltet die als strategisch klassifizierten Daten, eine Handvoll weiterer Anbieter füllt die übrigen Felder des Katalogs. Für italienische Systemintegratoren, die mit der öffentlichen Verwaltung arbeiten, wird die konkrete Wahl binär. Entweder verkauft man den qualifizierten Cloud eines anderen weiter und akzeptiert komprimierte Margen und eine Implementer-Rolle, oder man baut eine Beratung auf, die den PA-Kunden in der architektonischen Wahl orientiert und das Wissen über den qualifizierten Katalog als unterscheidendes Asset kapitalisiert. Als ich für Pescara Multiservice das Angebot für ACN-qualifiziertes Cloud-Hosting auf Basis von Aruba VPC auf der Stufe QC3 vorbereitet habe, gegen die reale Listenposition ARB-11504-1 zu 217,38 € im Monat, war der Wertanteil, den der Kunde kaufte, meine Übersetzungsarbeit zwischen seinen Anwendungsanforderungen und den Vorgaben des Katalogs. Die Infrastruktur war Commodity. Die Interpretation war es nicht.
Was die Systemintegratoren tun
An diesem Punkt versteht man, was den italienischen Systemintegratoren passiert und warum. Die großen — Reply, Engineering, Almaviva, NTT Data Italia, Accenture — haben bereits interne GRC-Praktiken, die direkt mit den Big4 konkurrieren, und in einigen Fällen haben sie diese bei öffentlichen Aufträgen überholt. Spike Reply ist das kanonische Beispiel dieser Bewegung, aber nicht das einzige. Die mittleren — Deda Tech, Var Group, Lutech — bauen multidisziplinäre Teams auf und verkaufen ihre Identität als trusted advisor mit einer neuen Sprache. Der Implementierungsumsatz bleibt signifikant, aber die hohen Margen finden sich dort, wo man Tage der Interpretation verkauft und nicht Entwicklungs-Sprints. Die kleinen stehen vor einer engeren Wahl. Sie können Reseller eines anderen werden und ihre Identität verlieren. Sie können spezialisierte Implementer auf einer Vertikalen bleiben, wo die Tiefe der Domäne den fehlenden Maßstab kompensiert. Es gibt dann einen dritten Weg, riskanter als die anderen, nämlich sich in eine Advisory-Boutique zu verwandeln und Wissen vor und Implementierung nach zu verkaufen, indem man auf einen Teil des sicheren Umsatzes verzichtet und dafür eine noch unsichere Positionierung eintauscht. Die meisten wählen nicht, sondern empfangen die Marktbewegung passiv. Bei Oltrematica haben wir die Wahl vertikal getroffen — private Gesundheitsversorgung und lokale öffentliche Verwaltung —, mit einer ernsthaften Investition in die Compliance-Dokumentation als Produkt. Jener DPA, die fünfstufige Formalisierung einer Unterauftragsverarbeiter-Kette, die drei Gesellschaften derselben Industriegruppe durchquert, die Analyse des neuen DPIA-Templates, das der EDPB am 10. März verabschiedet und am 14. April zur Konsultation bis zum 9. Juni veröffentlicht hat — das sind alles Arbeitsstücke, die wir vor fünf Jahren als Beigabe zum Hauptprojekt erledigt hätten. Heute sind sie das Hauptprojekt, und die Software kommt danach, falls sie überhaupt kommt.
Wohin der Wert wandert, und was ich von 2027-28 nicht weiß
Es gibt eine Konsequenz aus all dem, die es wert ist, ausdrücklich gemacht zu werden. Der Wert im italienischen Compliance-Markt wandert an die beiden Enden der Sanduhr. Die internationalen Plattformen drücken die Kosten der Evidenz nach unten, und dieser Druck wird nicht aufhören, weil ihr Geschäftsmodell von der fortschreitenden Automatisierung abhängt. Die Advisory-Boutiquen und die GRC-Praktiken der großen Systemintegratoren drücken den Preis der Interpretation nach oben, und es gibt am Horizont keine technologische Innovation, die die Kosten einer von einem erkennbaren Namen unterschriebenen Stellungnahme reduzieren würde. Was in der Mitte bleibt — die Custom-Software für Compliance — steht vor einer Gabelung. Sie kann sich innerhalb einer Vertikalen so weit spezialisieren, dass sie nicht mehr durch Generalisten-Plattformen ersetzbar ist, oder sie kann in ein Advisory-Angebot als Capability statt als eigenständiges Produkt absorbiert werden. Die Daten des Politecnico di Milano, die das italienische Cyber- und Datenschutzsegment 2025 auf 2,78 Milliarden Euro mit 12 % Wachstum schätzen, unterscheiden in ihren Erhebungen diese Schichten nicht, und das ist wahrscheinlich einer der Gründe, warum die Unternehmen des Middle Layers die Zahlen weiterhin als gute Nachrichten lesen, während sie etwas Subtileres sagen.
Der ehrlichste Satz, den ich über die Konfiguration dieses Marktes in den Jahren 2027 und 2028 schreiben kann, wenn der Cyber Resilience Act operativ und der AI Act in voller Durchsetzung sein wird, ist, dass ich es nicht weiß. Es scheint mir plausibel, dass sich ein neu konfiguriertes Middle Layer bildet, in dem Werkzeuge wie Claude Code, GitHub SpecKit und ihre Ableger es Softwarehäusern wie unserem erlauben werden, Compliance-Artefakte als Code zu produzieren — versioniert, getestet, aus formalen, nachvollziehbaren Spezifikationen erzeugt. Es ist eine Richtung, in die ich persönlich investiere und über die ich hier seit mehreren Monaten schreibe. Aber es ist auch möglich, dass das Middle Layer ganz kollabiert und dass sich der italienische Markt auf zwei Seiten polarisiert, wie es in anderen reifen Märkten vor unserem geschehen ist. In zwölf Monaten wird diese Karte neu zu zeichnen sein. Es wird eine der Übungen sein, die ich vornehmen werde.
Was du mitnimmst
Der italienische Compliance-Markt hat die Form einer Sanduhr: oben eine dichte Schicht spezialisierter Beratung (Big4 plus Boutiquen wie P4I, ICTLC, Spike Reply, Deda Tech), unten die globalen Plattformen (ServiceNow, OneTrust, Drata, Vanta) und in der Mitte ein eingeklemmtes Middle Layer aus italienischer Custom-Software.
Was die Advisory-Boutiquen verkaufen, ist keine Software, sondern Interpretation: eine erkennbare Person, die fähig ist, eine Norm in die spezifischen Begriffe deiner Lieferkette zu übersetzen und einen Verhandlungstisch über ein Data Processing Agreement mit einem amerikanischen Cloud-Provider zu halten, ohne preiszugeben, was nicht preiszugeben ist. Hohe Margen, niedrige Skalierbarkeit, strukturelle Abhängigkeit von gewichtigen Namen.
Das Middle Layer der Custom-Software wird von beiden Seiten zusammengedrückt. Von unten, weil Drata SOC2 zu einem Bruchteil der Kosten einer maßgeschneiderten Anwendung leistet; von oben, weil bei ernsten Problemen — einer verteidigungsfähigen DPIA, einer Vertragsverhandlung mit Microsoft, die keine Lücken lässt — Software nicht ausreicht und eine Person gebraucht wird, die Dokumente unterschreibt, die einer Prüfung standhalten, vor wem auch immer Rechenschaft verlangt wird.
ACN, die italienische Agentur für nationale Cybersicherheit, hat mit dem Regolamento unico per le infrastrutture digitali e i servizi cloud (das einheitliche italienische Regelwerk für digitale Infrastrukturen und Cloud-Dienste) — das decreto direttoriale 21007 vom 27. Juni 2024 — und mit der Matrix QC1-QC4 / AI1-AI4 einen Markt im Markt geschaffen. Die öffentliche Verwaltung darf nur qualifizierten Cloud beschaffen. Für italienische Systemintegratoren wird die konkrete Wahl binär: Reseller mit komprimierten Margen oder Advisory, die das Wissen über den Katalog als unterscheidendes Asset kapitalisiert.
Der Wert wandert an die beiden Enden der Sanduhr. Die Plattformen drücken die Kosten der Evidenz nach unten, die Boutiquen und die GRC-Praktiken der großen Systemintegratoren drücken den Preis der Interpretation nach oben. Was in der Mitte bleibt, gabelt sich: vertikale Spezialisierung bis zur Unersetzbarkeit oder Absorption in ein Advisory-Angebot als Capability statt als eigenständiges Produkt.
Fragen & Antworten
Warum reicht der Magic Quadrant von Gartner nicht aus, um den italienischen Compliance-Markt zu lesen?
Diese Dokumente fotografieren den globalen Plattformmarkt: ServiceNow, MetricStream, OneTrust, Drata, Optro, das im vergangenen März AuditBoard umbenannt hat. Der italienische Markt hingegen hat eine eigene Struktur, geformt von ACN — der italienischen Agentur für nationale Cybersicherheit —, von der Umsetzung der NIS2 mit dem decreto legislativo 138/2024, vom dominanten Gewicht der öffentlichen Verwaltung am Gesamtbeschaffungsvolumen, von der ungleichmäßigen Geschwindigkeit, mit der die europäischen Richtlinien bei den Endkunden operativ werden. Um ihn zu lesen, braucht es eine Karte, die von innen gezeichnet ist.
Was ist ACN und warum zeichnet es den italienischen Cloud-Markt neu?
ACN, die italienische Agentur für nationale Cybersicherheit, hat mit dem Regolamento unico per le infrastrutture digitali e i servizi cloud (das einheitliche italienische Regelwerk für digitale Infrastrukturen und Cloud-Dienste) — decreto direttoriale 21007 vom 27. Juni 2024, im Regelbetrieb seit dem 1. August 2024 — einen Markt im Markt geschaffen. Die öffentliche Verwaltung darf Cloud-Dienste nur dann beschaffen, wenn sie als QC1, QC2, QC3 oder QC4 qualifiziert sind, erbracht auf Infrastrukturen, die als AI1 bis AI4 angemessen sind, nach einer Matrix, die die Klassifizierung des Datums an das zulässige Service-Niveau bindet. Aruba hat auf den höchsten Stufen qualifiziert, Polo Strategico Nazionale verwaltet die strategischen Daten, eine Handvoll weiterer Anbieter füllt die übrigen Felder des Katalogs. Für italienische Systemintegratoren wird die konkrete Wahl binär: qualifizierten Cloud anderer mit komprimierten Margen weiterverkaufen oder eine Beratung aufbauen, die den PA-Kunden in der architektonischen Wahl orientiert und das Wissen über den Katalog als unterscheidendes Asset kapitalisiert.
Warum ist das Middle Layer der Custom-Software zusammengedrückt?
Jahrelang war es eine bequeme Schicht. Der Kunde traute den amerikanischen Plattformen aus Gründen der Datensouveränität nicht, die Big4 waren für den Mid-Market zu teuer, und ein lokales Softwarehaus, das ein gebrandetes DSGVO-Portal lieferte, war die natürliche Lösung. Heute wird sie von beiden Seiten gleichzeitig zusammengedrückt. Von unten, weil Drata SOC2 zu einem Bruchteil der Kosten einer maßgeschneiderten Anwendung leistet, und Startups keinen Grund haben, sich für eine Commodity-Funktion etwas Proprietäres entwickeln zu lassen. Von oben, weil bei ernsten Problemen — einer verteidigungsfähigen DPIA, einer Vertragsverhandlung mit Microsoft, die keine Lücken lässt — der Kunde versteht, dass Software nicht ausreicht und dass er eine Person braucht, die seine Sprache spricht und Dokumente unterschreibt, die einer Prüfung standhalten.
Welche Optionen haben kleine italienische Systemintegratoren?
Drei, mit unterschiedlichen Kosten. Sie können Reseller eines anderen werden und ihre Identität verlieren. Sie können spezialisierte Implementer auf einer Vertikalen bleiben, wo die Tiefe der Domäne den fehlenden Maßstab kompensiert. Oder — dritter Weg, riskanter als die anderen — sie können sich in eine Advisory-Boutique verwandeln und Wissen vor und Implementierung nach verkaufen, indem sie auf einen Teil des sicheren Umsatzes verzichten und dafür eine noch unsichere Positionierung eintauschen. Die meisten wählen nicht: Sie empfangen die Marktbewegung passiv.
Was könnte mit dem Middle Layer in den Jahren 2027-28 geschehen?
Ich weiß es nicht. Es scheint mir plausibel, dass sich ein neu konfiguriertes Middle Layer bildet, in dem Werkzeuge wie Claude Code, GitHub SpecKit und ihre Ableger es Softwarehäusern erlauben werden, Compliance-Artefakte als Code zu produzieren — versioniert, getestet, aus formalen, nachvollziehbaren Spezifikationen erzeugt. Es ist eine Richtung, in die ich persönlich investiere und über die ich hier seit mehreren Monaten schreibe. Aber es ist auch möglich, dass das Middle Layer ganz kollabiert und dass sich der italienische Markt auf zwei Seiten polarisiert, wie es in anderen reifen Märkten vor unserem geschehen ist. In zwölf Monaten wird diese Karte neu zu zeichnen sein.
Der Autor
