Leistung

Governance, Risk & Compliance

Regulatorischer Druck wächst. ISO 27001, DORA, NIS2, PCI-DSS — jedes Framework stellt konkrete Anforderungen an Ihren Sicherheitsbetrieb. Wir helfen Ihnen, diese Anforderungen nicht nur zu erfüllen, sondern als echten Sicherheitsgewinn zu nutzen.

ISO 27001:2022DORANIS2ISMS-AufbauAudit-Begleitung

Überblick

GRC — mehr als Compliance-Dokumentation

Governance definiert, wie Entscheidungen im Unternehmen getroffen werden — klare Verantwortlichkeiten, Richtlinien und Eskalationswege. Risk Management identifiziert, bewertet und behandelt Risiken systematisch. Compliance stellt sicher, dass regulatorische und interne Anforderungen dauerhaft erfüllt werden.

Viele Unternehmen behandeln GRC als notwendiges Übel — als Pflichtdokumentation für den nächsten Audit. Unsere Überzeugung: Ein gut aufgebautes GRC-Programm ist ein operativer Vorteil. Es reduziert Entscheidungsaufwand, schützt Unternehmensreputation und senkt das Restrisiko messbar.

Framework-Vergleich auf einen Blick

ISO 27001:2022	93 Controls, globaler Standard, Zertifizierung möglich
DORA	EU-Verordnung Finanzsektor, seit Jan. 2025 gültig
NIS2	EU-KRITIS-Richtlinie, 18 Sektoren, Oct. 2024
PCI-DSS 4.0	Zahlungsverkehr, 12 Anforderungsbereiche
NIST CSF 2.0	Framework, kein Zertifikat, globale Referenz

Unsere Leistungen

GRC-Beratung von A bis Z

ISO 27001 Erstzertifizierung

Vollständiger Aufbau des ISMS: Scoping, Risikobewertung aller 93 ISO-Controls, SoA, Richtliniendokumentation, internes Audit, Zertifizierungsbegleitung. Inkl. Management-Review und Sensibilisierungsmaßnahmen.

DORA-Compliance

Gap-Assessment gegen alle 5 DORA-Säulen (IKT-Risikomanagement, Vorfälle, Resilienz-Tests, Drittanbieter, Information-Sharing), Maßnahmenplan und Umsetzungsbegleitung für Finanzinstitute.

NIS2-Implementierung

NIS2-Readiness-Assessment, Klassifizierung der Organisation (wesentlich/wichtig), Umsetzung der 10 Mindestmaßnahmen, Meldepflicht-Prozesse und Governance-Strukturen für betroffene Sektoren.

ISMS-Aufbau & -Betrieb

Aufbau eines funktionierenden Informationssicherheits-Managementsystems: Richtlinienframework, Risikomanagement-Prozess, KPIs, Management-Review-Zyklus und kontinuierliche Verbesserung (PDCA).

Risikomanagement

Aufbau oder Optimierung des Informationsrisiko-Managements: Asset-Inventar, Bedrohungsanalyse, Risikoregister, Risikobehandlungsplan, quantitative Risikobewertung und Reporting an das Management.

Audit-Vorbereitung

Strukturierte Vorbereitung auf externe Audits (Zertifizierungsauditoren, Regulatoren, interne Revision). Pre-Audit-Assessment, Lückenidentifizierung, Dokumentationsaufbereitung und Audit-Begleitung.

Methodik

ISO 27001 Implementierung — Unser Ansatz

Gap-Assessment & Scoping

Analyse des Ist-Stands gegen ISO 27001:2022. Definition des ISMS-Scope (welche Systeme, Prozesse, Standorte). Identifikation bestehender Kontrollen und offener Lücken. Ergebnis: Priorisierter Gap-Report mit Aufwandschätzung.

Risikobewertung & Statement of Applicability

Vollständige Informationsrisiko-Bewertung: Asset-Inventar, Bedrohungsidentifikation, Schwachstellenanalyse, Risikoeinschätzung (Wahrscheinlichkeit × Auswirkung). Erstellung des SoA mit Begründung für jede der 93 Maßnahmen (anwendbar/nicht anwendbar).

Richtlinien & Controls-Implementierung

Erstellung aller erforderlichen ISMS-Dokumente: Informationssicherheitsrichtlinie, spezifische Policies (Zugriffskontrolle, Verschlüsselung, Incident Management, BCM), Prozessbeschreibungen und Formularvorlagen. Technische Controls-Umsetzung in Abstimmung mit IT.

Internes Audit & Management Review

Durchführung oder Begleitung des internen Audits: Audit-Planung, Checklisten, Findings-Dokumentation, Korrekturmaßnahmen. Management-Review-Meeting: Präsentation des ISMS-Status, Ressourcenbedarf, KPIs.

Zertifizierungsaudit-Begleitung

Vorbereitung und Begleitung des Stage-1-Audits (Dokumentationsprüfung) und Stage-2-Audits (Implementierungsprüfung) durch akkreditierten Zertifizierer. Nachbereitung von Findings und Begleitung bis zum erfolgreichen Abschluss.

FAQ

Häufige Fragen zu GRC

Wie lange dauert eine ISO 27001 Erstzertifizierung realistisch?

Von Null bis Zertifikat dauert es typischerweise 6–18 Monate — abhängig von der Unternehmensgröße, dem Ist-Reifgrad und den verfügbaren Ressourcen. Kleine Unternehmen (50–200 Mitarbeiter) mit guter Ausganglage schaffen es in 6–9 Monaten. Mittelständische Unternehmen (200–2.000 Mitarbeiter) benötigen realistisch 9–14 Monate. Konzerne und komplexe Umgebungen 12–18 Monate oder mehr. Der kritische Pfad ist fast immer die Risikobewertung und die tatsächliche Implementierung technischer Controls — nicht die Dokumentation. Wir erarbeiten zu Projektbeginn einen realistischen Zeitplan auf Basis Ihrer konkreten Situation.

Was ist der Unterschied zwischen DORA und NIS2?

Beide sind EU-Regulierungen, adressieren aber unterschiedliche Sektoren und Anforderungen. DORA (Digital Operational Resilience Act) gilt spezifisch für Finanzinstitute: Banken, Versicherungen, Kapitalanlagegesellschaften, Zahlungsdienstleister und deren ICT-Drittanbieter. Schwerpunkte: IKT-Risikomanagement, Incident-Reporting, Resilienz-Testing (TLPT), Drittanbieter-Management. In Kraft seit Januar 2025. NIS2 (Network and Information Security Directive 2) gilt für 18 kritische Sektoren (Energie, Transport, Gesundheit, Wasser, Telekom, öffentliche Verwaltung etc.). Schwerpunkte: Mindestmaßnahmen zur Cybersicherheit, Meldepflichten bei Vorfällen, Leitungsverantwortung. Viele Finanzinstitute unterliegen beiden Regulierungen — hier gibt es Überschneidungen, aber auch ergänzende Anforderungen.

Was ist das Statement of Applicability (SoA)?

Das SoA ist eines der wichtigsten Dokumente bei ISO 27001. Es listet alle 93 Controls aus Annex A auf und dokumentiert für jede Maßnahme: (1) Ist sie anwendbar für unsere Organisation? (2) Falls ja — ist sie bereits implementiert? (3) Was ist die Begründung für Anwendbarkeit oder Ausschluss? Das SoA ist das Herzstück des ISMS und das erste Dokument, das ein Zertifizierungsauditor prüft. Es muss vollständig, begründet und mit dem Risikobewertungsergebnis konsistent sein. Wir erstellen das SoA gemeinsam mit Ihnen — als lebendiges Dokument, das Ihre tatsächliche Sicherheitssituation widerspiegelt.

Müssen wir sowohl ISO 27001 als auch DORA erfüllen?

Wenn Sie ein Finanzinstitut in der EU sind: In der Regel ja. DORA ist eine direkt anwendbare EU-Verordnung und ist für betroffene Finanzinstitute verpflichtend — unabhängig davon, ob Sie ISO 27001-zertifiziert sind. ISO 27001 ist hingegen ein freiwilliger Standard, wird aber von Regulatoren, Kunden und Geschäftspartnern zunehmend erwartet. Die gute Nachricht: Wer ISO 27001 implementiert hat, hat bereits eine solide Grundlage für DORA — etwa 60–70 % der DORA-Anforderungen werden durch ein reifes ISMS bereits abgedeckt. Wir mappen in unseren Projekten immer alle relevanten Frameworks gegen Ihre bestehenden Controls, um Doppelarbeit zu minimieren.

Was bedeutet DORA für ICT-Drittanbieter?

DORA greift auch für Anbieter, die kritische ICT-Dienstleistungen für EU-Finanzinstitute erbringen — auch wenn der Anbieter selbst kein Finanzinstitut ist. Kritische ICT-Drittdienstleister können direkt von der Europäischen Aufsichtsbehörde (EBA, ESMA, EIOPA) beaufsichtigt werden. Finanzinstitute müssen sicherstellen, dass ihre ICT-Drittanbieter die DORA-Anforderungen erfüllen — über vertragliche Regelungen (DORA-konforme Serviceverträge), Auditrechte und jährliche Überprüfungen. Wir unterstützen sowohl Finanzinstitute bei der Drittanbieter-Steuerung als auch ICT-Anbieter, die sich DORA-konform aufstellen wollen.

GRC-Projekt starten — unverbindliches Erstgespräch

Ob ISO 27001, DORA oder NIS2 — wir starten mit einem ehrlichen Gap-Assessment ohne Verpflichtung.

Erstgespräch anfragen → Alle Leistungen