ISO 27001 ohne Excel-Hölle und Beraterkosten von 50.000 Euro

Pflege alle Informations-Risiken strukturiert mit Schadenshöhe, Eintrittswahrscheinlichkeit und Risiko-Score. Bewertungs-Matrix konfigurierbar pro Mandant, etwa drei mal drei oder fünf mal fünf, qualitativ oder quantitativ in Euro-Beträgen mit erwarteter Schadenshöhe pro Jahr. Risiken werden Assets, Prozessen oder Personen zugeordnet, Verkettungen sind sichtbar und nachvollziehbar etwa wenn ein Asset-Ausfall mehrere Prozesse trifft und damit kaskadiert. Behandlungsplan pro Risiko mit Maßnahmen, Verantwortlichem und Fälligkeitsdatum, Notifications bei Überfälligkeit eskalieren automatisch. Restrisiko-Berechnung automatisch nach Maßnahmen-Umsetzung, Akzeptanz-Workflow durch Geschäftsleitung dokumentiert mit elektronischer Signatur nach eIDAS. Heatmap im Dashboard, Drill-Down von Risiko-Kategorie bis zum Einzel-Eintrag, Filter nach Asset-Typ, Prozess, Verantwortlichem oder Restrisiko-Kategorie. Trends im Zeitverlauf für Management-Reviews mit Quartals-Vergleich und Benchmarking gegen Branche. Vier-Augen-Prinzip bei Risiko-Akzeptanz optional aktivierbar, Pflicht für Risiken über bestimmten Schadenshöhen-Schwellwert.

Alle 93 Controls aus ISO 27001 Annex A 2022 sind vorbereitet, du markierst pro Control 'anwendbar' oder 'nicht anwendbar' mit Begründung und Verweis auf Risiko-Inventory. Implementierungs-Status (geplant, in Umsetzung, umgesetzt, im Review, dokumentiert), Verantwortlicher und Verweis auf Maßnahmen werden zentral gepflegt mit Verlinkung zu Belegen. Auf Knopfdruck generierst du das SOA-Dokument für deinen ISO-Auditor, audit-ready ohne Excel-Export oder manuelle Konsolidierung. Änderungen werden versioniert, du siehst die Historie pro Control inklusive Begründung und Genehmiger mit Zeitstempel. Vergleich mit ISO 27002 Implementierungs-Leitfaden direkt verlinkt, du siehst die empfohlene Umsetzung neben der eigenen. Bei jährlicher SOA-Review werden veraltete Begründungen markiert, du musst nur die Änderungen pflegen, nicht die ganze Liste, das spart pro Review-Zyklus mehrere Personentage. Mapping zu BSI IT-Grundschutz, NIST CSF und CIS Controls automatisch verfügbar, Doppelpflege entfällt. Export als Word, PDF oder strukturiertes XML für GRC-Tools mit elektronischer Signatur nach eIDAS.

Technisch-organisatorische Maßnahmen werden strukturiert nach Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit dokumentiert, ergänzt um Wiederherstellbarkeit und regelmäßige Überprüfung. Verschlüsselung, Pseudonymisierung, Zugriffskontrolle, Backup-Konzept und Wiederherstellungs-Verfahren werden mit Verweis auf den jeweiligen Prozess gepflegt und mit Belegen verlinkt. Auf Knopfdruck exportierst du das TOM-Dokument für deine Auftraggeber, etwa als Anhang zum Auftragsverarbeitungsvertrag mit oder ohne Vertragsbezug, Mehrsprachigkeit pro Empfänger konfigurierbar. Funktioniert auch für eigene AVVs mit Sub-Prozessoren, Mehrsprachigkeit deutsch und englisch automatisch synchronisiert. Mapping zu ISO-27001-Annex-A-Controls automatisch, doppelte Pflege entfällt komplett. Verfahrensverzeichnis nach Artikel 30 DSGVO im selben Modul, einheitliche Datenbasis, kein Excel-Doppelpflege und keine Inkonsistenzen zwischen TOM und Verzeichnis. Datenschutz-Folgenabschätzungen (DSFA) nach Artikel 35 DSGVO werden im selben Workflow erstellt, mit Vorlagen nach DSK-Standard und Beratungs-Pflicht-Trigger ab kritischen Risiko-Schwellwerten.

Jede Änderung an Risiken, Controls, Maßnahmen, Vorfällen oder Dokumenten wird unveränderbar mit Zeitstempel, Nutzer und Diff gespeichert. Der Audit-Bericht ist auf Knopfdruck abrufbar, gefiltert nach Zeitraum, Akteur, Objekt-Typ oder Modul. ISO-27001-Auditoren und ISMS-Auditoren bekommen lückenlose Nachvollziehbarkeit ohne Logfile-Wühlerei oder Datenbank-Dumps. Speicherdauer konfigurierbar, Standard sind zehn Jahre, längere Aufbewahrung für regulierte Branchen möglich, etwa 30 Jahre für Versicherungen oder Energie-Versorger. Cryptographic-Hash-Verkettung sichert gegen nachträgliche Manipulation, Hash-Kette ist vom Auditor verifizierbar mit Standard-Tools. Export als PDF mit elektronischer Signatur (eIDAS-konform) oder als CSV für DATEV-artige Audit-Tools. Audit-Trail ist immutabel selbst für Admins, kein Insider-Risiko durch Privilege-Escalation.

Erfasse Sicherheitsvorfälle mit Kategorie, Schweregrad und Betroffenen, Eskalations-Pfade werden automatisch ausgelöst je nach Schwere und Art des Vorfalls. Stufe drei triggert Notification an CISO, Stufe vier an Geschäftsleitung, NIS2-Meldepflicht-Trigger bei kritischen Vorfällen mit Frist-Tracker für 24-Stunden-Frühwarn-Report, 72-Stunden-Update und 30-Tage-Abschlussbericht. Maßnahmen werden im Vorfall-Ticket gepflegt, Wiederherstellungs-Zeiten gemessen, Lessons Learned strukturiert ergänzt mit Verknüpfung zu Risiko-Inventory für künftige Prävention. Bei NIS2-meldepflichtigen Vorfällen wird der Frühwarn-Report mit Pflichtfeldern automatisch vorbefüllt, du ergänzt nur Details. Der KI-Helfer schlägt Sofortmaßnahmen vor basierend auf Vorfall-Kategorie und schlägt Verknüpfungen zu vergleichbaren Vorfällen vor. Crisis-Communication-Templates für Kunden, Behörden und Presse vorinstalliert, anpassbar pro Mandant.

Die zehn Pflichtmaßnahmen aus NIS2 Artikel 21 werden strukturiert getrackt mit Reifegrad-Bewertung pro Bereich auf einer Fünf-Stufen-Skala. Du siehst sofort wo Lücken sind und welche Maßnahmen Priorität haben, Roadmap zur NIS2-Compliance ableitbar mit Aufwands-Schätzung in Personentagen. Management-Haftung nach Artikel 20 dokumentiert, Vorstands-Trainings audit-fest hinterlegt, Quartals-Reviews automatisch terminiert mit Erinnerungen. Bei Geltung als wichtige oder wesentliche Einrichtung passt sich der Tracker automatisch an die jeweiligen Anforderungen an, etwa strengere Meldepflichten oder erweiterte Auditpflicht. Lieferketten-Risikomanagement nach Artikel 21 Absatz 2d integriert, Sub-Prozessoren werden im AVV-Modul gepflegt, Risiko-Bewertung pro Lieferant mit Eskalation bei kritischen Findings. Geltungs-Prüfung beim Onboarding eines neuen Auftraggebers, indirekte Geltung über Lieferanten-Status erkannt.