ISMS, ISO 27001, Risikomanagement.
Informationssicherheits-Managementsystem von Grund auf oder auf bestehender Basis. ISO-27001-Zertifizierungsvorbereitung und Audit-Unterstützung.
PRAXIS · CYBERSECURITY
ISMS, ISO 27001 und NIS-2-Kontrollen.
Wir bauen und betreiben das Informationssicherheits-Managementsystem, bereiten Sie auf die ISO-27001-Zertifizierung vor und setzen die technischen und organisatorischen Maßnahmen um, die NIS-2 verlangt. Penetrationstests, Security Operations und prüfungsfertige Nachweise enthalten.
SOC.DESK · LETZTE 30 TAGE● LIVE
Sicherheitsvorfälle bewertetØ 22 Min.47
Schwachstellen behoben128
Patches im Bestand verteilt342
Phishing-Simulationen versendet3,1% Klickrate2.840
Lieferanten-Sicherheitsreviews11
Zugriffsreviews abgeschlossen76
VERTRAUEN VON 300+ EU-ORGANISATIONEN
ROCHESIEMENSIKEAASTRAZENECAVODAFONEPHILIPSJUST EAT
KOSTENLOSE 30-MIN-BERATUNG
Gespräch mit einem Senior-Berater.
Antwort innerhalb eines Werktages. Klare nächste Schritte und indikative Vergütung.
ANTWORT IN 1 WERKTAG·NDA AUF WUNSCH·KEINE VERPFLICHTUNG
01 / WAS WIR ABDECKEN
Sicherheits-Stack.
Kontrollen, Tests, Monitoring.
Netzwerksegmentierung, Identität und Zugriff, Endpoint-Schutz, Schwachstellenmanagement, Penetrationstests, Security Operations.
Maßnahmen nach Art. 21 und Meldewege.
NIS-2-Governance, Risikobewertung, Lieferketten-Sicherheit, Vorfallbearbeitung und die 24-Stunden-CERT- sowie 72-Stunden-Behördenmeldung.
WICHTIGE EINRICHTUNGEN
Bis 7 Mio. € oder 1,4% Umsatz
Bußgelder nach NIS-2 Art. 34 für Governance- und Meldeverstöße.
WESENTLICHE EINRICHTUNGEN
Bis 10 Mio. € oder 2% Umsatz
Maximum nach NIS-2 Art. 34. Plus persönliche Haftung der Geschäftsleitung nach Art. 20.
02 / RAHMENWERKE
ISO 27001 und NIS-2.
ISO 27001 ANHANG A · KONTROLLGRUPPEN
A.5Organisatorische KontrollenRichtlinien, Rollen, Verantwortlichkeiten, Lieferantenbeziehungen.
A.6PersonalkontrollenÜberprüfung, Awareness, Disziplinarprozess.
A.7Physische KontrollenRäumlichkeiten, Geräte, Clear Desk, sichere Entsorgung.
A.8Technische KontrollenZugriff, Kryptographie, sichere Entwicklung, Logging.
NIS-2 ART. 21 · MAßNAHMEN
Art. 21(a)Risikoanalyse und RichtlinieDokumentierte Informationssicherheits-Richtlinie und Risikoansatz.
Art. 21(b)VorfallbearbeitungErkennung, Reaktion, Wiederherstellungsverfahren und Fähigkeiten.
Art. 21(c)GeschäftskontinuitätBackup-Management, Disaster Recovery, Krisenkommunikation.
Art. 21(d)Lieferketten-SicherheitSicherheit beim Bezug von Netz- und Informationssystemen.
Art. 21(e-j)Technische MaßnahmenKryptographie, Zugriffskontrolle, MFA, sichere Kommunikation, Schwachstellenbehandlung.
03 / ENGAGEMENT-MODELLE
Einsatzmodelle.
ISMSBELIEBT
ISMS-Programm und ISO 27001
Informationssicherheits-Managementsystem von Grund auf oder Sanierung einer bestehenden Basis. Vorbereitung auf Stufe-1- und Stufe-2-Zertifizierungsaudits.
- →ISO 27001 ISMS-Aufbau
- →Erklärung der Anwendbarkeit
- →Internes Audit-Programm
- →Audit-Unterstützung
NIS-24-6 MO
NIS-2-Compliance-Programm
NIS-2-Art.-21-Umsetzung: Governance, Risikomanagement, Meldewege, Lieferketten-Sicherheit, technische Maßnahmen.
- →Maßnahmen nach Art. 21
- →Meldeprozess
- →Lieferketten-Kontrollen
- →Leitungsschulung (Art. 20)
OPSMONATLICH
Security-Operations-Retainer
Laufende Security Operations: Schwachstellenmanagement, Penetrationstest-Zyklus, Awareness, Lieferantenreviews, monatlicher Sicherheitsrat.
- →Quartals-Pentests
- →Awareness und Phishing-Programm
- →Schwachstellen-Kadenz
- →Monatlicher Sicherheitsrat
04 / LEISTUNGSUMFANG
Leistungsumfang.
01 / 04
Programm und Governance
- ISMS-Scope und Richtlinien
- Erklärung der Anwendbarkeit
- Rollen und Verantwortlichkeiten (RACI)
- Internes Audit-Programm
- Management Reviews und Reporting
02 / 04
Risiko und Kontrollen
- Risikoanalyse-Methodik
- Asset- und Informationsinventar
- Umsetzung der Anhang-A-Kontrollen
- Kryptographie und Key-Management
- Zugriffskontrolle und Identität
03 / 04
Betrieb und Tests
- Schwachstellenmanagement
- Penetrationstest-Zyklus
- Vorfallerkennung und Reaktion
- Backup- und Recovery-Tests
- Logging und Monitoring
04 / 04
Personal und Dritte
- Awareness-Programm
- Phishing-Simulationen
- Lieferanten- und Vertragsreviews
- Leitungsschulung (NIS-2 Art. 20)
- Behördenkorrespondenz
05 / SECURITY OPERATIONSBeispiel-MonatsberichtPDF · 5 S
Laufender Sicherheitsbetrieb.
Sicherheit erfordert laufenden Betrieb zwischen Zertifizierungszyklen. Der Retainer deckt Schwachstellenmanagement, Awareness, Drittparteienprüfung und den monatlichen Sicherheitsrat ab, in dem die Geschäftsleitung den aktuellen Stand liest.
Schwachstellen-Triage
24 h
SLA · kritische Patches
72 h
Quartals-Pentest
Enthalten
Behördenmeldung
Wir reichen ein
BEISPIEL.MONATSBERICHTOKT 2026
Vorfälle bewertet47 / 47 im SLA
Offene Schwachstellen12 mittel · 0 kritisch
Patches verteilt342
Phishing-Tests2.840 versendet · 3,1% Klick
Lieferantenreviews11 / 11 im Zyklus
Korrespondenz mit Aufsicht1 freiwillige Eingabe
UNTERZEICHNET. JELENA NOVAK, PARTNER. CYBERSECURITY UND NIS-2
06 / AUSGEWÄHLTE PROJEKTE
Alle Fallstudien →Aktuelle Mandate.
CASE 01EU-Bank Tier 2
ISO-27001-Zertifizierung in 11 kritischen Funktionen im ersten Versuch.
11
Kritische Funktionen
9 Mon.
Zeit bis Zertifikat
0
Beanstandungen
SCOPEISO 27001 · ISMS · Internes Audit
CASE 02Energieversorger · Wesentliche Einrichtung
NIS-2 Art. 21 vor der nationalen Frist umgesetzt.
34
Standorte abgedeckt
5 Mon.
Zeit bis Compliance
0
Kritische Befunde
SCOPENIS-2 · ISMS · Lieferketten-Kontrollen
CASE 03SaaS · 200 Personen
Security-Operations-Retainer mit Quartals-Pentests und Awareness-Programm.
4
Pentests/Jahr
3,1%
Klickrate
47
Lieferanten geprüft
SCOPESecurity Operations · Pentest · Awareness
07 / WARUM DAS WICHTIG IST
Bedrohungslage.
4,45 Mio. €
Durchschnittliche Kosten einer Datenpanne in der EU (2024)
277 Tage
Durchschnittliche Zeit bis Erkennung und Eindämmung
83%
Der Vorfälle enthalten einen menschlichen Faktor
24 h
NIS-2-Frühwarnfrist (Art. 23)
TREND 01
Geschäftsleitungen haften nach NIS-2 persönlich
Art. 20 macht die Leitungsorgane verantwortlich für die Freigabe der Cyber-Risikomanagement-Maßnahmen und die Aufsicht über die Umsetzung. Persönliche Haftung steht im Raum.
TREND 02
Lieferketten sind die neue Angriffsfläche
Art. 21(d) verlangt die Bewertung von Lieferanten und direkten Dienstleistern. Aufsichtsbehörden erwarten dokumentierte Reviews.
TREND 03
KI verändert die Phishing-Ökonomie
Generative KI senkt die Kosten für gezielte Phishing-Angriffe deutlich. Quartals-Simulationen und rollenbezogene Schulungen sind nun Standard.
08 / FAQ
Häufige Fragen.
01Brauchen wir ISO 27001, wenn wir NIS-2 erfüllen?+
Nein. NIS-2 schreibt ISO 27001 nicht vor. Die beiden Rahmenwerke überschneiden sich stark in den Anhang-A-Kontrollen und den Maßnahmen nach NIS-2 Art. 21, sodass ein einziges ISMS-Programm beides abdeckt. Die Zertifizierung ist eine Geschäftsentscheidung, die durch Kunden- und Ausschreibungsanforderungen getrieben wird.
02Wie lange dauert die ISO-27001-Zertifizierung?+
6 bis 9 Monate für ein typisches mittelständisches Unternehmen. Zwei Monate für Scope und Risiko, drei Monate für die Umsetzung der Kontrollen, zwei Monate für internes Audit und Management Review, dann Stufe-1- und Stufe-2-Zertifizierungsaudits.
03Führen Sie Penetrationstests intern durch?+
Ja. Unser Pentest-Team ist intern, ENISA-konform und rotiert zwischen offensiven und defensiven Mandaten. Berichte enthalten CVSS-Bewertung, Exploit-Beschreibung und Empfehlungen zur Behebung.
04Decken Sie NIS-2-Pflichten in mehreren Jurisdiktionen ab?+
Ja. Wir liefern NIS-2-Programme in 11 EU-Jurisdiktionen. Die Maßnahmen nach Art. 21 sind auf EU-Ebene harmonisiert; Meldung und Aufsichtskontakt unterscheiden sich nach Mitgliedstaat.
05Was passiert, wenn ein Vorfall eintritt?+
Wir triagieren im 24-Stunden-SLA, beraten zur 24-Stunden-CERT-Warnung und 72-Stunden-Meldung, erstellen die Aufsichtseingabe und koordinieren das Krisenteam. Playbooks gehören zum Retainer.
06Arbeiten Sie mit unseren bestehenden Security-Tools?+
Ja. Wir sind toolneutral. Wir integrieren uns in Ihr bestehendes SIEM, EDR, Ticketing und DLP, statt sie zu ersetzen. Die Toolauswahl dokumentieren wir, treiben sie aber nicht.
09 / RESSOURCEN
Vorlagen und Leitfäden.
LEITFADENPDF · 32 Seiten
NIS-2-Umsetzungsleitfaden
Maßnahmen aus Art. 21 in 60 praktische Kontrollen übersetzt, mit Mapping auf ISO 27001 Anhang A.
Herunterladen ↓E-MAIL ERFORDERLICH
LEITFADENPDF · 24 Seiten
ISO-27001-Fahrplan
Phasenplan vom Scope-Statement bis zum Zertifizierungsaudit. Realistische Meilensteine für mittelständische Organisationen.
Herunterladen ↓E-MAIL ERFORDERLICH
VORLAGEPDF + DOCX
Incident-Response-Playbook
Verfahren nach NIS-2 Art. 23 und DSGVO Art. 33. Inklusive Vorlagen für Aufsichtsmeldungen.
Herunterladen ↓E-MAIL ERFORDERLICH
10 / VERWANDTE PRAXEN
Verwandte Praxen.
NIS-2-Compliance
Maßnahmen nach Art. 21, Meldewege, Leitungsschulung nach Art. 20.
Praxis öffnen →Datenschutz und DSGVO
Gleicher Vorfall, zwei Uhren. DSGVO Art. 33 ergänzt die 72-Stunden-Meldung zur 24-Stunden-CERT-Warnung.
Praxis öffnen →Incident Response
Vorgefertigte Playbooks, Vorlagen für Aufsichtsmeldungen, Koordination des Krisenteams.
Praxis öffnen →11 / GET STARTED
Sicherheitsprogramm starten.
Kostenloses Erstgespräch. Klare nächste Schritte. Indikative Vergütung innerhalb eines Werktages.