ISO 27001 · NIS2 · CRA

DerCompliance-Sprint

Scope definiert, bevor es beginnt. Fertig, wenn es fertig ist. Prüfungsbereit in 30 Tagen — ein fixiertes Engagement, das Ihre Infrastruktur auf das abbildet, was Regulatoren tatsächlich prüfen.

Sprint starten Prozess ansehen

// sprint_tracker.live ◉ AKTIV

Woche 01 — Orientierung & Gap-Analyse FERTIG ✓

Woche 02 — Risikobewertung FERTIG ✓

Woche 03 — Dokumentation & Governance IN ARBEIT

Woche 04 — Awareness & Incident-Readiness AUSSTEHEND

Übergabe Prüfungspaket AUSSTEHEND

30Tage Gesamt

4Phasen

3Frameworks

Compliance dauert zu lang

Klassische ISO 27001-Implementierungen laufen 12–18 Monate. Berater rechnen nach Stunden und schaffen Anreize für Komplexität. KMUs können sich weder Zeit noch Kosten leisten.

Anforderungen sind mehrdeutig

NIS2, CRA und ISO 27001 verwenden überlappende, technische Sprache. Ohne Expertenbegleitung können Organisationen nicht abbilden, was sie bereits tun, auf das, was Regulatoren wirklich fordern.

Audit-Vorbereitung ist reaktiv

Belege werden unter Druck in den Wochen vor dem Audit zusammengestellt. Lücken werden zu spät entdeckt. Das Ergebnis: ein stressiger, teurer Aktionismus, der sich jedes Mal wiederholt.

Governance ist undokumentiert

Rollen und Verantwortlichkeiten existieren informell. Ohne RACI-Framework und dokumentierte Prozesse können Regulatoren Accountability nicht verifizieren — unabhängig von der tatsächlichen Sicherheitsreife.

Risiken sind nicht quantifiziert

Risikoregister existieren entweder gar nicht oder listen Assets ohne bewertete Schweregrade auf. Nicht quantifiziertes Risiko kann nicht priorisiert, budgetiert oder mit Überzeugung dem Vorstand berichtet werden.

Vorfälle haben kein Playbook

NIS2 schreibt Incident-Meldung innerhalb von 72 Stunden nach Kenntnisnahme vor. Ohne getestetes Incident-Response-Verfahren ist diese Frist nicht einzuhalten — und Regulatoren werden es bemerken.

Sprint-Prozess

Vier Wochen zur
Prüfungsreife

Ein strukturiertes, fixiertes Engagement. Jede Phase hat definierte Eingaben, Ergebnisse und einen Übergabepunkt. Kein Scope-Creep. Kein offenes Retainer-Modell.

WOCHE 01

Orientierung & Gap-Analyse

Kickoff mit Führungs- und IT-Stakeholdern. Ein CyberCheck-Basic-Assessment (BSI/ENISA-ausgerichtet) legt die Baseline fest. Anwendbare Controls unter ISO 27001, NIS2 und CRA werden identifiziert, ein priorisiertes Gap-Register wird vor Ende der Woche übergeben.

CyberCheck Basic Gap-Register Stakeholder-Interviews

→

WOCHE 02

Risikobewertung

Schnelles Risiko-Scoring der Top-5-Risiken (ISO 27005). Eintrittswahrscheinlichkeit und Auswirkung je Asset und Geschäftsprozess bewertet. Quick-Win-Maßnahmen geplant, um die Exposition vor dem Audit zu reduzieren.

ISO 27005 Risikoregister Quick Wins

→

WOCHE 03

Dokumentation & Governance

Das RACI-Framework weist Verantwortlichkeiten über alle Sicherheitsdomänen zu. IT-Betriebsdokumentation wird erstellt oder aktualisiert. Compliance-Übersichtsdokument erstellt — kreuzverweis zu Framework-Controls und bereit für externe Prüfung.

RACI IT-Betriebsdoku Compliance-Übersicht

→

WOCHE 04

Awareness & Incident-Readiness

Szenariobasierter Security-Awareness-Workshop für alle Mitarbeitenden. NIS2-Incident-Response-Verfahren erstellt und in einem Tabletop-Exercise getestet. Finales Ergebnis: das vollständige prüfungssichere Evidenzpaket.

Awareness-Workshop NIS2-IR-Playbook Tabletop-Exercise

Ergebnisse Gap-Analyse-Bericht ISO 27005-Risikoregister RACI-Framework IT-Betriebsdokumentation Compliance-Übersicht NIS2-IR-Verfahren Awareness-Workshop Prüfungspaket

Sprint-Ergebnisse

Was Sie mit
sich nehmen

Acht konkrete Ergebnisse. Jedes Dokument ist prüfungsbereit, in klarer Sprache verfasst und gehört vollständig Ihrer Organisation — kein Vendor-Lock-in.

⬡

Gap-Analyse-Bericht

Eine priorisierte, framework-gemappte Liste offener Compliance-Lücken über ISO 27001, NIS2 und CRA — mit Aufwandsschätzungen für die Behebung und empfohlener Priorisierung.

◎

ISO 27005-Risikoregister

Top-5-Risiken mit Eintrittswahrscheinlichkeit, Auswirkungsbewertung, Asset-Mapping, Risikoverantwortlichen und Quick-Win-Maßnahmen. Bereit für Vorstandsberichte und Audit-Evidenz.

▣

RACI-Governance-Framework

Rollen- und Verantwortlichkeitszuweisungen über alle relevanten Sicherheitsdomänen — wer ist zuständig, verantwortlich, zu konsultieren und zu informieren für jeden Key Control.

◈

IT-Betriebsdokumentation

Basisprozesse für Patch-Management, Zugangskontrolle und Backup — geschrieben im Vokabular Ihrer tatsächlichen Infrastruktur, nicht nach generischen Vorlagen.

◇

Compliance-Übersichtsdokument

Eine einseitige regulatorische Karte mit anwendbaren Controls, aktuellem Status, Belegortsangaben und offenen Lücken — für die Auditor-Übergabe und Vorstandsebene.

△

NIS2-Incident-Response-Verfahren

Ein getestetes, rollenzugewiesenes IR-Playbook für Erkennung, interne Eskalation, NIS2-72-Stunden-Meldung und Post-Incident-Review. Mit Tabletop-Exercise-Protokoll.

○

Security-Awareness-Workshop

Eine zweistündige szenariobasierte Session für alle Mitarbeitenden — live oder aufgezeichnet. Themen: Phishing, Social Engineering, regulatorische Pflichten und Incident-Meldeverfahren.

⬟

Prüfungspaket (30 Tage)

Alle sieben Dokumente in einem strukturierten Evidenzordner — indexiert, kreuzverweis zu Framework-Controls, bereit für die Einreichung bei einem externen Auditor.

Das Prinzip

Compliance ist keine Dokumentationsübung — sie ist eine Disziplin, die eigene Infrastruktur so gut zu kennen, dass man sie verteidigen kann. Der Sprint bringt dieses Wissen in 30 Tagen an die Oberfläche, damit Regulatoren sehen, was Sie gebaut haben — nicht was Sie zu bauen planen.

— Axel Hoehnke · ISO 27001 Lead Auditor · ISO 42001 Lead Auditor

Für wen es gedacht ist

Entwickelt für
diese Organisationen

KMUs unter NIS2

Wesentliche & wichtige Einrichtungen nach der NIS2-Richtlinie
Keine dedizierte Compliance-Funktion im Haus
Audit-Deadline innerhalb von 3–6 Monaten
Benötigen strukturierte Governance-Dokumentation

Scale-ups & SaaS

Anstreben ISO 27001-Zertifizierung für Enterprise-Sales
Anhäufende Due-Diligence-Fragebögen von Kunden
Engineering-getriebene Kultur ohne Compliance-Prozesse
Benötigen Audit-Readiness in einem einzigen Sprint

Hardware-Hersteller

Produkte im Anwendungsbereich des EU Cyber Resilience Act
SBOM- und Vulnerability-Disclosure-Pflichten
CE-Readiness-Bewertung erforderlich
Benötigen CRA-Scope-Mapping und Technical-File-Vorbereitung

Framework-Abdeckung

Regulatorische
Frameworks im Fokus

Der Sprint bildet auf alle drei großen EU-Cybersicherheits-Frameworks gleichzeitig ab — keine sequentiellen, framework-spezifischen Programme mehr nötig.

ISO 27001:2022

Informationssicherheits-Managementsystem. Annex-A-Controls auf bestehende Infrastruktur gemappt. Gap-Register kreuzverweis zu Zertifizierungsanforderungen.

NIS2-Richtlinie

EU-Richtlinie zur Netz- und Informationssicherheit für wesentliche und wichtige Einrichtungen. Incident-Response, Risikomanagement und Lieferketten-Maßnahmen adressiert.

EU Cyber Resilience Act

Cybersicherheitsanforderungen für vernetzte Produkte. SBOM-Pflichten, Vulnerability-Disclosure-Verfahren und CE-Readiness-Dokumentation abgedeckt.

BSI / ENISA Baseline

CyberCheck-Basic-Assessment ausgerichtet auf BSI IT-Grundschutz und ENISA Best Practices — bietet eine unabhängige Baseline gegenüber europäischen nationalen Standards.

ISO 27005

Risikomanagement für Informationssicherheit. Risiko-Scoring-Methodik, Eintrittswahrscheinlichkeits- und Auswirkungsmatrizen, Risikoregister-Struktur und Treatment-Framework.

Kostenloses Erstgespräch

30 Tage bis zur
Prüfungsreife

Ein fixierter Sprint. Acht prüfungssichere Ergebnisse. Kein offenes Retainer-Modell.
Vereinbaren Sie einen 30-minütigen Scoping-Call zur Klärung der Anwendbarkeit und des Startdatums.

30-Minuten-Call buchen

Alle Gespräche sind vertraulich. Keine Verpflichtung erforderlich.