Leitprinzip:
NIS2 ist kein eigener Standard, sondern eine regulatorische Konkretisierung. Ein sauber implementiertes ISMS nach ISO/IEC 27001 (alternativ CISIS12 als Einstieg) ist der nachhaltigste Weg zur NIS2-Compliance.
Unsere Beratung folgt einem klar strukturierten Vorgehensmodell, das sowohl für Erstimplementierungen als auch für Reifegradsteigerungen geeignet ist.
1. Initialisierung & Scope-Festlegung
- Durchführung eines Kick-offs mit Geschäftsleitung und Schlüsselrollen
- Analyse der NIS2-Betroffenheit (Sektor, Größe, Kritikalität)
- Abgrenzung des Informationsverbunds
- Definition des ISMS-Scopes
- Rollenklärung (Geschäftsleitung, ISB, IT, Fachbereiche)
Ergebnis:
Dokumentierter Geltungsbereich und klare Entscheidungsgrundlage (ISO 27001 oder CISIS12, Zielreifegrad, Projektumfang).
2. Analyse & Gap-Bewertung
- Ist-Analyse entlang
- ISO/IEC 27001:2022 (Kapitel 4–10
- Annex-A-Controls
- NIS2-Pflichten (u. a. Risikomanagement, Meldepflichten, Leitungshaftung) - Bewertung vorhandener Richtlinien, Prozesse und technischer Maßnahmen
- Risikobasierte Priorisierung
Ergebnis:
Gap-Analyse-Bericht mit klarer Maßnahmen-Roadmap (Quick Wins und strukturelle Handlungsfelder).
3. ISMS-Design & Risikomanagement
- Entwicklung der ISMS-Grunddokumente
- Informationssicherheitsleitlinie
- Sicherheitsziele
- Rollen- und Verantwortlichkeitsmodell - Einführung eines strukturierten Risikomanagementprozesses
- Ableitung einer nachvollziehbaren Risikobehandlung
- Erstellung der Statement of Applicability (SoA)
Ergebnis:
Ein normkonformes, managementtaugliches ISMS-Grundgerüst als tragfähige Basis für NIS2-Compliance.
4. Umsetzung & Dokumentation
Die strukturierte Dokumentation erfolgt zentral über Tools als Arbeits- und Nachweissystem:
- Aufbau des Informationsverbunds
- Dokumentation von Assets, Risiken und Maßnahmen
- Strukturierte Ablage von Richtlinien und Nachweisen
- Transparenz gegenüber Prüfern und Behörden
Für KMU bedeutet das:
Keine Excel-Insellösungen, sondern eine einheitliche, revisionsfeste Datenbasis.
5. NIS2-spezifische Anforderungen
Wir integrieren die gesetzlichen Besonderheiten direkt in das ISMS:
- Implementierung eines NIS2-konformen Incident-Response-Prozesses
- Frühwarnmechanismen
- 24h-/72h-Meldeprozesse
- Dokumentation und Lessons Learned - Berücksichtigung von Lieferketten- und Dienstleisterrisiken
- Unterstützung bei Management-Briefings
- Beratung zu Haftungs- und Nachweisfragen
Ergebnis:
NIS2-Compliance als integrierter Bestandteil des ISMS – nicht als Parallelstruktur.
Gerade unter NIS2 gewinnt die klare Zuordnung von Verantwortlichkeiten und die Einbindung der Geschäftsleitung erheblich an Bedeutung.
Die GCS übernimmt auf Wunsch die Funktion des externen Informationssicherheitsbeauftragten (ISB).
Aufgaben als externer ISB
- Zentrale Koordination aller Informationssicherheitsaktivitäten
- Überwachung der Umsetzung regulatorischer Anforderungen
- Regelmäßiges Reporting an die Geschäftsleitung
- Unterstützung bei Meldepflichten gegenüber Behörden
- Begleitung von Prüfungen und Anfragen
Initiierung und Steuerung kontinuierlicher Verbesserungsprozesse
Ihr Mehrwert
- Fachlich qualifizierte, unabhängige Betreuung
- Entlastung interner Ressourcen
- Klare Governance-Strukturen
- Haftungsrelevante Themen strukturiert adressiert
- Nachhaltiger Betrieb statt Einmalprojekt
Wir verstehen uns nicht nur als Projektberater, sondern als langfristiger Umsetzungs- und Betriebspartner für pragmatische Informationssicherheit im Mittelstand – mit Fokus auf Governance, Nachweisfähigkeit und Alltagstauglichkeit.
Fazit
Mit der GCS erhalten KMU:
- Rechtssicherheit gegenüber NIS2
- Struktur statt Aktionismus
- Skalierbare Sicherheitsprozesse
- Klare Verantwortlichkeiten
- Prüf- und revisionsfeste Dokumentation
NIS2 strukturiert umsetzen – mit einem tragfähigen ISMS und einem erfahrenen Partner an Ihrer Seite.
Ihr Ansprechpartner:
