Hochverfügbar, auditfähig und konform mit NIS2, BSI-Grundschutz und branchenspezifischen Anforderungen. Wir kennen die Regulatorik und setzen sie technisch um.
Wir kennen die regulatorischen Anforderungen und setzen sie technisch um.
Die EU-weite Cybersecurity-Richtlinie betrifft ab 2024 deutlich mehr Unternehmen als bisher.
Betreiber kritischer Infrastrukturen müssen besondere Sicherheitsanforderungen erfüllen.
Zusätzliche branchenspezifische Anforderungen, die wir abdecken können.
Von der Analyse bis zum laufenden Betrieb – wir begleiten Sie auf dem Weg zur Compliance.
Wir analysieren Ihre IT-Landschaft und identifizieren Gaps zu den regulatorischen Anforderungen.
Redundante Systeme, georedundante Backups und Failover-Konzepte für maximale Verfügbarkeit.
Rund-um-die-Uhr Überwachung, Anomalieerkennung und regelmäßige Security-Reports.
Vollständige, nachvollziehbare Dokumentation aller IT-Systeme und -Prozesse.
Notfallpläne, Wiederanlaufprozeduren und regelmäßige Tests für den Ernstfall.
Definierte Prozesse für schnelle Reaktion und strukturierte Analyse bei Vorfällen.
Höchste Sicherheitsstandards an deutschen Standorten.
Alle Daten bleiben in Deutschland
Informationssicherheit nach Standard
Redundante Infrastruktur
Datenschutz gewährleistet
Compliance ist kein Projekt, sondern ein kontinuierlicher Prozess.
Ist-Analyse und Gap-Identifikation zu regulatorischen Anforderungen
Maßnahmenplan mit Priorisierung nach Risiko und Aufwand
Implementierung technischer und organisatorischer Maßnahmen
Kontinuierliches Monitoring, Reviews und Audit-Unterstützung
Erfahrung, Standort und Verfügbarkeit – was uns auszeichnet.
Wir betreuen bereits Unternehmen aus regulierten Branchen und kennen die Anforderungen aus der Praxis.
Alle Daten bleiben in Deutschland. Unsere Rechenzentren erfüllen höchste Sicherheitsstandards.
Rund-um-die-Uhr Monitoring und schnelle Reaktionszeiten – auch an Wochenenden und Feiertagen.
Lassen Sie uns gemeinsam prüfen, welche regulatorischen Anforderungen für Sie gelten und wie Sie diese erfüllen können.
Kostenlose ErstberatungAntworten zu KRITIS-Pflichten, BSI-Nachweisen, ISO 27001 und B3S.
Die BSI-Kritisverordnung umfasst zehn Sektoren: Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Siedlungsabfallentsorgung, staatliche Verwaltung sowie Medien und Kultur. Ob ein Unternehmen betroffen ist, hängt von Anlagenkategorien und Schwellenwerten (zum Beispiel versorgte Personen, verarbeitete Mengen) ab. Mit NIS2 weitet sich der Kreis auf mittelgroße Unternehmen ab 50 Mitarbeitern aus.
Maßgeblich sind die Schwellenwerte aus Anhang 1 bis 7 BSI-KritisV, nicht die Mitarbeiterzahl. Beispiele: Stromversorger ab 500.000 versorgten Personen, Krankenhäuser ab 30.000 vollstationären Fällen jährlich, Rechenzentren ab 3,5 MW vertraglich zugesicherter Leistung. Anmeldung beim BSI erfolgt über das KRITIS-Portal, danach gelten Nachweispflichten nach §8a alle zwei Jahre und eine Meldepflicht für erhebliche Störungen.
ISO 27001 ist ein internationaler Standard für Informationssicherheits-Managementsysteme (ISMS) mit generischen Controls. B3S (Branchenspezifischer Sicherheitsstandard) ist vom BSI anerkannt und übersetzt die gesetzlichen KRITIS-Anforderungen in konkrete Maßnahmen je Branche. Ein ISO-27001-Zertifikat genügt für die BSI-Prüfung oft nicht allein, ein B3S ergänzt sie. In der Praxis kombinieren viele Betreiber beides für einen schlankeren Nachweis.
Gefordert werden ein funktionierendes ISMS, Angriffserkennung (Systeme zur Angriffserkennung, §8a Abs. 1a), Netzsegmentierung, Multi-Faktor-Authentifizierung, Patch-Management, dokumentierte Notfall- und Wiederanlaufpläne sowie regelmäßige Penetrationstests. Protokollierung und SIEM sind faktisch Pflicht, Backups müssen offline oder unveränderlich (immutable) vorgehalten werden. Für Cloud-Anbindungen verlangt das BSI zusätzliche Risikoanalysen und Datenresidenz in der EU.
Alle zwei Jahre prüfen unabhängige, vom BSI akzeptierte Prüfer Ihr ISMS gegen den geltenden Standard (B3S oder ISO 27001 plus KRITIS-Anforderungen). Ergebnis ist ein Prüfbericht mit Mängelliste, der fristgerecht beim BSI eingereicht wird. Das BSI kann Nachprüfungen anordnen. Vorbereitung dauert typischerweise 9 bis 12 Monate: Gap-Analyse, Maßnahmenumsetzung, interne Audits, dann externe Prüfung. Wir begleiten den gesamten Zyklus.