CompliantDesk
ProduktFür wenBlogNIS2-CheckGratisCRA-CheckGratis
LoginDemo buchen→
CompliantDesk

IT-Compliance für den deutschen Mittelstand.

Produkt
  • Funktionen
  • Für wen
  • Blog
  • FAQ
Wissen
  • Compliance-Fahrplan
  • ISO-27001-Katalog
  • NIS2-Katalog
  • ISO 27001 nach Branche
  • NIS2-Pflichten
  • NIS2-Sektoren (Anlage I + II)
  • NIS2 nach Branche
  • NIS2-Bußgelder
  • CRA-Pflichten
  • DSGVO für den Mittelstand
  • Framework-Vergleiche
  • Kostenlose Vorlagen
  • Compliance-Lexikon
Rechtliches
  • Datenschutz
  • Impressum
  • AGB
  • AVV
  • Sicherheit
  • Kontakt
Kontakt
  • info@compliantdesk.de
  • Demo buchen

© 2026 Corelead GmbH. Alle Rechte vorbehalten.

Made in Germany

Compliance-Fahrplan

NIS2, ISO 27001, der Cyber Resilience Act, DSGVO oder TISAX - was heißt das konkret für Ihr Unternehmen? Wählen Sie ein Framework: Was es ist, ob Sie betroffen sind, was bei Nichtstun droht, und der vollständige Fahrplan mit Begründung zu jedem Schritt.

Framework wählen
Fahrplan

NIS2

Was ist das?

Die NIS2-Richtlinie ist die EU-weite Cybersicherheits-Regulierung, in Deutschland umgesetzt über das BSIG in der durch das NIS2UmsuCG geänderten Fassung. Sie verpflichtet Unternehmen aus 18 als kritisch eingestuften Sektoren zu Risikomanagement (§30 BSIG), Vorfallsmeldung ans BSI (§32 BSIG) und persönlicher Haftung der Geschäftsleitung (§38 BSIG).

Betrifft Sie das?

Die Einstufung richtet sich nach Sektor, Mitarbeiterzahl und Umsatz. Sie ist deterministisch - es gibt keinen Ermessensspielraum, ob ein Unternehmen unter die Schwellenwerte fällt.

  • Ihr Unternehmen ist in einem von 18 Sektoren nach Anhang I oder II tätig (u.a. Energie, Verkehr, Gesundheit, digitale Infrastruktur, verarbeitendes Gewerbe, Post, Abfall, Chemie, Lebensmittel).
  • Wichtige Einrichtung (mittleres Unternehmen): 50 bis 249 Mitarbeitende, oder ein Jahresumsatz von über 10 bis 50 Mio. Euro.
  • Wesentliche Einrichtung (großes Unternehmen): ab 250 Mitarbeitenden, oder mehr als 50 Mio. Euro Jahresumsatz und mehr als 43 Mio. Euro Bilanzsumme.
  • Auch ohne eigene Sektor-Zugehörigkeit: als Zulieferer eines betroffenen Unternehmens können Sicherheitsanforderungen über die Lieferkette an Sie weitergereicht werden.
  • Wann eher nicht: Sie liegen unter den Schwellenwerten, sind in keinem der 18 Sektoren tätig und beliefern auch keine NIS2-pflichtigen Kunden.
Was passiert bei Nichtstun?

Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen. Zusätzlich persönliche Haftung der Geschäftsleitung mit dem Privatvermögen bei vorsätzlichen oder grob fahrlässigen Verstößen gegen die Aufsichtspflichten - das unterscheidet NIS2 von den meisten anderen IT-Regelwerken.

Wie lange dauert das realistisch?

Ersteinrichtung ca. 1-2 Tage, danach laufender Betrieb (Reviews, Meldeprozess, Lieferantenbewertungen).

Der Fahrplan, Schritt für Schritt
1

Betroffenheit bestimmen

Klären, ob und in welcher Kategorie Ihr Unternehmen unter NIS2 fällt.

Warum dieser Schritt

Die Einstufung entscheidet über den gesamten weiteren Aufwand. Wesentliche und wichtige Einrichtungen haben unterschiedliche Aufsichtsintensität, und eine falsche Selbsteinschätzung kostet später Zeit - vor allem, weil die Registrierungsfrist beim BSI bereits am 6. März 2026 abgelaufen ist.

Was konkret zu tun ist
  • Sektor nach Anhang I oder II, Mitarbeiterzahl und Jahresumsatz gegenüberstellen.
  • Prüfen, ob Sie als Zulieferer eines betroffenen Unternehmens indirekt Anforderungen erfüllen müssen.
  • Die Einstufung (wesentlich, wichtig, nicht betroffen) schriftlich mit Begründung festhalten.
  • Bei Betroffenheit: Registrierung beim BSI im MUK-Portal nachholen, falls noch nicht geschehen - eine Nachregistrierung ist weiterhin möglich und wird vom BSI positiv bewertet.
Ergebnis: Dokumentierte, nachvollziehbare Betroffenheits-Einordnung als Grundlage aller weiteren Schritte.
2

Geltungsbereich und Verantwortlichkeiten festlegen

Standorte, Bereiche und Verantwortliche für das NIS2-Risikomanagement definieren.

Warum dieser Schritt

§38 BSIG macht die Geschäftsleitung persönlich verantwortlich. Ohne klar benannte Verantwortlichkeit bleibt jede spätere Maßnahme ohne Rückhalt - und im Ernstfall fehlt die Nachvollziehbarkeit, wer wofür zuständig war.

Was konkret zu tun ist
  • Standorte und Unternehmensbereiche festlegen, die unter das NIS2-Risikomanagement fallen.
  • Die Geschäftsleitung als verantwortliche Ebene formal benennen.
  • Interne Zuständigkeiten für Risikomanagement, Meldewesen und Lieferkette verteilen.
Ergebnis: Definierter Geltungsbereich mit benannten Verantwortlichen.
3

Risikoanalyse über die zehn Anforderungsbereiche

Die zehn Risikomanagementmaßnahmen nach §30 BSIG systematisch bewerten.

Warum dieser Schritt

§30 BSIG verlangt kein pauschales Sicherheitsniveau, sondern eine risikobasierte Bewertung über konkrete Bereiche - von Risikoanalyse über Incident-Handling, Business Continuity, Lieferkettensicherheit bis Kryptografie und Zugriffskontrolle. Diese Bewertung ist die fachliche Grundlage für alles Weitere.

Was konkret zu tun ist
  • Jeden der zehn Anforderungsbereiche (u.a. Risikoanalyse, Incident-Handling, Business Continuity, Lieferkettensicherheit, Kryptografie, Zugriffskontrolle, Mehr-Faktor-Anmeldung) auf den Ist-Stand prüfen.
  • Lücken ehrlich dokumentieren statt schönzurechnen - die Bewertung ist die Basis für Bußgeldvermeidung, nicht für Marketing.
  • Ergebnis als Score oder Reifegrad je Bereich festhalten.
Ergebnis: Vollständiges Lückenbild über alle zehn Risikomanagementbereiche.
4

Maßnahmenplan mit Prioritäten aufstellen

Die identifizierten Lücken in eine abarbeitbare Reihenfolge bringen.

Warum dieser Schritt

Nicht jede Lücke hat das gleiche Risiko oder den gleichen Aufwand. Ohne Priorisierung verzetteln sich Unternehmen häufig in unwichtigen Details, während die Punkte mit dem größten Bußgeld- und Haftungsrisiko liegen bleiben.

Was konkret zu tun ist
  • Lücken nach Risiko und Umsetzungsaufwand priorisieren - schnelle, wirkungsvolle Maßnahmen zuerst (z.B. Mehr-Faktor-Anmeldung, geprüfte Backups).
  • Verantwortliche und realistische Fristen je Maßnahme festlegen.
  • Fortschritt regelmäßig gegen den Plan prüfen.
Ergebnis: Priorisierter Maßnahmenplan mit Verantwortlichen und Fristen.
5

Risikomanagement dokumentieren

Das risikobasierte Vorgehen nach Art. 21 NIS2-Richtlinie nachvollziehbar festhalten.

Warum dieser Schritt

NIS2 verlangt nicht nur Maßnahmen, sondern den Nachweis, dass diese auf einer methodischen Risikobewertung beruhen. Eine reine Maßnahmenliste ohne zugrunde liegende Risikobetrachtung erfüllt diese Anforderung nicht.

Was konkret zu tun ist
  • Relevante Risiken erfassen und nach Eintrittswahrscheinlichkeit und Schadenshöhe bewerten.
  • Behandlungsentscheidung je Risiko treffen (vermeiden, mindern, akzeptieren, übertragen).
  • Kritische Risiken mit einer konkreten Behandlungsmaßnahme verknüpfen.
Ergebnis: Dokumentiertes Risikomanagement als zentraler NIS2-Nachweis.
6

Richtlinien aufsetzen und verteilen

Die von §30 BSIG geforderten Richtlinien schriftlich fixieren und im Unternehmen verankern.

Warum dieser Schritt

Eine Richtlinie, die niemand kennt, schützt niemanden. Die Verteilung mit dokumentierter Bestätigung ist Teil des Nachweises - nicht nur das Vorhandensein des Dokuments.

Was konkret zu tun ist
  • Kern-Richtlinien erstellen (Zugriffskontrolle, Kryptografie, Incident-Response, Lieferkette).
  • Richtlinien freigeben und allen betroffenen Mitarbeitenden zur Kenntnisnahme vorlegen.
  • Bestätigungen dokumentieren.
Ergebnis: Freigegebene Richtlinien mit dokumentierten Bestätigungen.
7

Geschäftsleitung schulen und Awareness aufbauen

Die Schulungspflicht der Leitung und die Sensibilisierung der Belegschaft erfüllen.

Warum dieser Schritt

§38 BSIG verpflichtet ausdrücklich die Geschäftsleitung zur Schulung - nicht nur die IT-Abteilung. Das ist eine Besonderheit von NIS2 gegenüber älteren Regelwerken und wird bei einer Prüfung explizit abgefragt.

Was konkret zu tun ist
  • Schulung für die Geschäftsleitung zu Cybersicherheits-Grundlagen und Haftungsrisiken durchführen.
  • Awareness-Schulungen für alle Mitarbeitenden aufsetzen und Abschlüsse nachhalten.
  • Wiederholung in regelmäßigen Abständen einplanen.
Ergebnis: Nachweisbare Awareness-Schulung inklusive Leitungsebene.
8

Vorfallsmanagement und Meldewege einrichten

Meldefähigkeit gegenüber dem BSI innerhalb der gesetzlichen Fristen herstellen.

Warum dieser Schritt

§32 BSIG setzt enge Fristen (Frühwarnung, Meldung, Abschlussbericht). Wer diesen Prozess erst im Ernstfall aufbaut, verpasst die Fristen fast zwangsläufig - Meldefähigkeit muss vor dem ersten Vorfall stehen.

Was konkret zu tun ist
  • Meldewege und Verantwortliche für Sicherheitsvorfälle festlegen.
  • Die gesetzlichen Meldefristen intern bekannt machen und im Prozess verankern.
  • Den Prozess einmal mit einem Testvorfall durchspielen.
Ergebnis: Funktionierender Melde- und Eskalationsprozess innerhalb der gesetzlichen Fristen.
9

Lieferkette bewerten und laufenden Betrieb etablieren

NIS2 als dauerhaftes System betreiben, nicht als Einmal-Projekt.

Warum dieser Schritt

Art. 21 NIS2-Richtlinie fordert ausdrücklich die Bewertung der Lieferkettensicherheit, und die Einstufung sowie Risikolage ändert sich mit der Zeit. Ein einmal erstelltes Dokument veraltet - der laufende Betrieb ist der eigentliche Compliance-Nachweis.

Was konkret zu tun ist
  • Relevante Lieferanten erfassen und sicherheitsrelevant bewerten.
  • Regelmäßige Review-Termine (Reassessment, Wirksamkeitsprüfung) fest einplanen.
  • Status regelmäßig gegenüber der Geschäftsleitung berichten.
Ergebnis: Dauerhaft gepflegtes NIS2-Risikomanagement mit bewerteter Lieferkette.
Häufig gefragt: NIS2
Bin ich als kleines Unternehmen unter 50 Mitarbeitenden von NIS2 betroffen?

Direkt in der Regel nicht - die Schwellenwerte beginnen bei 50 Mitarbeitenden oder 10 Mio. Euro Jahresumsatz für wichtige Einrichtungen. Indirekt kann NIS2 aber über die Lieferkette relevant werden, wenn Sie ein betroffenes Unternehmen beliefern und dieses Sicherheitsanforderungen an Sie weiterreicht.

Die BSI-Registrierungsfrist ist abgelaufen - was jetzt?

Die Frist zur Erstregistrierung im BSI-Portal (MUK) lief am 6. März 2026 ab. Eine Nachregistrierung ist weiterhin möglich und wird vom BSI ausdrücklich empfohlen. Wichtig: Die fehlende Registrierung ist ein eigenständiger Bußgeldtatbestand, unabhängig davon, ob bereits technische Maßnahmen umgesetzt wurden.

Zählt eine bestehende ISO-27001-Zertifizierung als NIS2-Nachweis?

Eine ISO-27001-Zertifizierung deckt einen erheblichen Teil der NIS2-Anforderungen ab, ersetzt den Nachweis aber nicht vollständig - insbesondere die NIS2-spezifische Meldepflicht, die Registrierung beim BSI und die persönliche Schulungspflicht der Geschäftsleitung sind eigenständige Anforderungen.

Wir sind Zulieferer eines NIS2-pflichtigen Unternehmens, aber selbst zu klein - müssen wir trotzdem handeln?

Eine direkte gesetzliche Pflicht besteht dann nicht. In der Praxis geben viele wesentliche und wichtige Einrichtungen Sicherheitsanforderungen jedoch vertraglich an ihre Lieferanten weiter, da sie selbst zur Bewertung der Lieferkettensicherheit verpflichtet sind (Art. 21 NIS2-Richtlinie).

Fahrplan

ISO 27001

Was ist das?

ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS), aktuell in der Fassung ISO/IEC 27001:2022. Anders als NIS2 oder DSGVO ist er keine gesetzliche Pflicht, sondern eine freiwillige Norm - die aber von Großkunden, Konzernen und der öffentlichen Hand zunehmend vertraglich gefordert wird.

Betrifft Sie das?

ISO 27001 richtet sich an kein bestimmtes Gesetz, sondern an eine wachsende Markterwartung. Relevant wird sie, sobald Auftraggeber, Ausschreibungen oder Konzern-Lieferketten eine Zertifizierung voraussetzen.

  • Branchenunabhängig - keine gesetzliche Pflicht, aber eine zunehmend vertraglich geforderte Voraussetzung von Großkunden, Konzernen und der öffentlichen Hand.
  • Besonders relevant für IT-Dienstleister, SaaS-Anbieter, Cloud-Provider, MSPs sowie alle, die in Konzern-Lieferketten arbeiten.
  • Wirtschaftlich meist erst ab ca. 25 Mitarbeitenden sinnvoll - darunter steht der Aufwand oft nicht im Verhältnis zum Nutzen.
  • Wann eher nicht: kein Auftraggeber fordert die Zertifizierung, keine Lieferketten-Anforderung, kein absehbarer Bedarf in den nächsten Jahren.
Was passiert bei Nichtstun?

Keine direkten Bußgelder - ISO 27001 ist keine gesetzliche Pflicht. Das reale Risiko liegt anderswo: verlorene Ausschreibungen und Aufträge, wenn Auftraggeber die Zertifizierung vertraglich voraussetzen, sowie Vertragsverletzungen, wenn eine bereits zugesagte Zertifizierung nicht erreicht wird.

Wie lange dauert das realistisch?

Aufbau bis zur Zertifizierungsreife typischerweise mehrere Wochen bis Monate; die Zertifizierung selbst dauert in der Praxis oft 8 bis 12 Monate.

Der Fahrplan, Schritt für Schritt
1

Geltungsbereich (Scope) festlegen

Definieren, welche Standorte, Bereiche und Prozesse das ISMS umfasst.

Warum dieser Schritt

Der Scope ist die Grundlage jeder Zertifizierung - er bestimmt, was der Auditor überhaupt prüft. Ein zu weit gefasster Scope erzeugt unnötigen Aufwand, ein zu eng gefasster wirkt gegenüber Auftraggebern unglaubwürdig.

Was konkret zu tun ist
  • Standorte, Abteilungen und Prozesse festlegen, die unter das ISMS fallen.
  • Ausschlüsse aus dem Scope explizit begründen (Klausel 6.1.3 d).
  • ISMS-Rollen, Ziele und Rahmenbedingungen dokumentieren.
  • Kontext der Organisation und Erwartungen interessierter Parteien festhalten (Klausel 4).
Ergebnis: Dokumentierter Scope als Fundament der Zertifizierung.
2

Gap-Analyse gegen die 93 Annex-A-Controls

Den Umsetzungsgrad aller Controls und der Pflicht-Klauseln (4-10) ehrlich bewerten.

Warum dieser Schritt

Ohne eine belastbare Ist-Aufnahme lässt sich weder priorisieren noch der spätere Aufwand einschätzen. Die Gap-Analyse ist der aufwendigste, aber wichtigste Startpunkt - hier entscheidet sich, wie realistisch der Zeitplan wird.

Was konkret zu tun ist
  • Alle 93 Annex-A-Controls sowie die Klauseln 4 bis 10 systematisch durchgehen.
  • Je Control den tatsächlichen Umsetzungsgrad einschätzen, nicht den gewünschten.
  • Lücken dokumentieren und grob nach Aufwand einschätzen.
Ergebnis: Vollständiges Lückenbild über alle Controls als Basis für SoA und Maßnahmenplan.
3

Statement of Applicability (SoA) mit Begründungen

Für jedes Control Anwendbarkeit, Umsetzungsstatus und Begründung festhalten.

Warum dieser Schritt

Das SoA ist eines der wenigen zwingend geforderten Dokumente der Norm (Klausel 6.1.3 d). Ohne begründeten Ausschluss nicht anwendbarer Controls gilt die Zertifizierung als unvollständig - Auditoren prüfen dieses Dokument als Erstes.

Was konkret zu tun ist
  • Jedes Control auf Anwendbarkeit prüfen.
  • Nicht anwendbare Controls mit nachvollziehbarer Begründung ausschließen.
  • Umsetzungsstatus und Verantwortliche je Control ergänzen.
Ergebnis: Vollständiges, begründetes Statement of Applicability als Pflichtdokument.
4

Risikomethodik anwenden und Risikoregister aufbauen

Informationssicherheits-Risiken methodisch bewerten und behandeln.

Warum dieser Schritt

ISO 27001 ist im Kern ein risikobasiertes Managementsystem. Ohne eine einheitliche, nachvollziehbare Bewertungsmethodik (Klausel 6.1.2) lassen sich Entscheidungen über Maßnahmen später nicht begründen.

Was konkret zu tun ist
  • Einheitliche Bewertungsmethodik festlegen (z.B. Eintrittswahrscheinlichkeit mal Schadenshöhe).
  • Relevante Risiken erfassen und bewerten.
  • Behandlungsoptionen wählen und mit konkreten Maßnahmen verknüpfen.
Ergebnis: Nachvollziehbarer Risikobewertungs- und -behandlungsprozess.
5

Maßnahmen umsetzen

Die offenen Controls aus der Gap-Analyse Schritt für Schritt schließen.

Warum dieser Schritt

Die Gap-Analyse allein verbessert nichts - erst die tatsächliche Umsetzung reduziert das Risiko und schafft die Substanz, die ein Auditor später prüft.

Was konkret zu tun ist
  • Gap-Items nach Priorität und Aufwand sortieren.
  • Verantwortliche und realistische Fristen je Maßnahme festlegen.
  • Umsetzung laufend dokumentieren.
Ergebnis: Sinkende Gap-Quote mit dokumentiertem Fortschritt.
6

Kontrollen betreiben und Wirksamkeit bewerten

Umgesetzte Controls dauerhaft betreiben und ihre Wirksamkeit belegen.

Warum dieser Schritt

Ein Control, das einmal eingerichtet und nie überprüft wird, ist auf Dauer kein wirksames Control mehr. Auditoren fragen gezielt nach Wirksamkeitsnachweisen, nicht nur nach dem Vorhandensein einer Maßnahme.

Was konkret zu tun ist
  • Aktive Controls mit Review-Intervallen versehen.
  • Nachweise zu den jeweiligen Controls sammeln.
  • Wirksamkeit regelmäßig bewerten und Ergebnisse dokumentieren.
Ergebnis: Betriebene Controls mit belastbarem Wirksamkeitsnachweis.
7

Richtlinien-Set aufbauen

Das dokumentierte Richtlinien-Fundament für das ISMS schaffen.

Warum dieser Schritt

Viele Controls verlangen explizit eine dokumentierte Richtlinie (z.B. Zugriffskontrolle, Kryptografie). Ohne schriftliche Fixierung fehlt der Nachweis, dass ein Prozess nicht nur gelebt, sondern auch verbindlich festgelegt ist.

Was konkret zu tun ist
  • Kern-Richtlinien passend zu den umgesetzten Controls erstellen.
  • Richtlinien freigeben und den Mitarbeitenden zur Kenntnisnahme vorlegen.
  • Bestätigungen dokumentieren.
Ergebnis: Freigegebenes Richtlinien-Set mit dokumentierten Bestätigungen.
8

Awareness und Schulungsnachweise

Sensibilisierung der Belegschaft nachweisbar dokumentieren.

Warum dieser Schritt

Klausel 7.2/7.3 fordert Kompetenz und Bewusstsein der Mitarbeitenden als eigenständiges Kriterium - nicht nur technische Maßnahmen. Fehlende Schulungsnachweise sind eine häufige Feststellung in Zertifizierungsaudits.

Was konkret zu tun ist
  • Schulungsinhalte passend zum Scope und den Risiken festlegen.
  • Schulungen durchführen und Abschlüsse je Mitarbeitendem dokumentieren.
Ergebnis: Auditfähige Schulungsnachweise je Mitarbeitendem.
9

Lieferanten bewerten

Dienstleister und Lieferanten risikoorientiert einschätzen.

Warum dieser Schritt

Annex A enthält eigene Controls zu Lieferantenbeziehungen - ein ISMS, das die eigene Lieferkette ignoriert, bleibt an einer zentralen Stelle lückenhaft.

Was konkret zu tun ist
  • Relevante Lieferanten erfassen.
  • Sicherheitsrelevante Risiken je Lieferant bewerten.
  • Ergebnisse dokumentieren und bei Bedarf Maßnahmen ableiten.
Ergebnis: Bewertete Lieferkette mit dokumentierten Ergebnissen.
10

Internes Audit durchführen

Das ISMS vor dem Zertifizierungsaudit selbst kritisch prüfen.

Warum dieser Schritt

Ein internes Audit ist eine zwingende Voraussetzung für die Zertifizierung (Klausel 9.2). Es deckt Lücken auf, bevor ein externer Auditor sie findet - und ist damit die letzte Gelegenheit zur Korrektur ohne Auditfolgen.

Was konkret zu tun ist
  • Internes Audit über Controls und Klauseln systematisch durchführen.
  • Feststellungen dokumentieren und priorisiert nachverfolgen.
  • Offene Punkte vor dem Zertifizierungsaudit schließen.
Ergebnis: Dokumentiertes internes Audit mit Feststellungen - Pflichtvoraussetzung für die Zertifizierung.
11

Management-Review und Zertifizierungsaudit vorbereiten

Die Leitungsbewertung durchführen und Auditreife herstellen.

Warum dieser Schritt

Klausel 9.3 verlangt, dass die oberste Leitung das ISMS regelmäßig formal bewertet - nicht nur die operative Ebene. Ohne dokumentiertes Management-Review fehlt ein zwingendes Element der Norm.

Was konkret zu tun ist
  • Management-Review mit der Geschäftsleitung durchführen und dokumentieren.
  • Offene Feststellungen aus dem internen Audit schließen.
  • Alle Nachweise für den Auditor konsolidieren.
Ergebnis: Auditbereites ISMS mit vollständiger Dokumentation.

Unabhängige Eignungsbewertung durch qualifizierten ISO 27001-Auditor (IQI GmbH): CompliantDesk bildet die Anforderungen der DIN EN ISO/IEC 27001:2024-01, Klauseln 4-10 und Annex A, nachvollziehbar und prüffähig ab.

Häufig gefragt: ISO 27001
Lohnt sich ISO 27001 für ein Unternehmen mit 30 Mitarbeitenden?

Wirtschaftlich sinnvoll ist ISO 27001 meist ab ca. 25 Mitarbeitenden - vorausgesetzt, es gibt einen konkreten Anlass wie eine Kundenanforderung oder eine Ausschreibung. Ohne diesen Anlass steht der Aufwand oft nicht im Verhältnis zum Nutzen.

Ist ISO 27001 gesetzlich vorgeschrieben?

Nein. ISO 27001 ist eine freiwillige internationale Norm, kein Gesetz. Sie wird in Deutschland unter anderem zur Erfüllung von §8a BSIG (KRITIS) und §30 BSIG (NIS2) anerkannt, ersetzt eine gesetzliche Pflicht aber nicht automatisch vollständig.

Können wir ISO 27001 ohne externen Berater umsetzen?

Grundsätzlich ja - die Norm schreibt keinen Berater vor. Der Aufwand liegt vor allem in der Gap-Analyse gegen alle 93 Controls, dem Statement of Applicability und der Dokumentationstiefe. Ein strukturiertes Vorgehen wie dieser Fahrplan reduziert den Bedarf an externer Unterstützung deutlich.

Deckt ISO 27001 automatisch NIS2 oder DSGVO ab?

Teilweise. Ein funktionierendes ISMS nach ISO 27001 deckt einen erheblichen Teil der NIS2-Anforderungen ab, ersetzt aber nicht die NIS2-spezifische Meldepflicht und BSI-Registrierung. Datenschutzrechtliche DSGVO-Pflichten wie das Verarbeitungsverzeichnis sind eigenständig zu erfüllen.

Fahrplan

Cyber Resilience Act (CRA)

Was ist das?

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) verpflichtet Hersteller, Produkte mit digitalen Elementen über den gesamten Lebenszyklus abzusichern - von der sicheren Entwicklung über das Schwachstellenmanagement bis zur CE-Kennzeichnung. Anders als NIS2, das Betreiber und Einrichtungen adressiert, setzt der CRA am Produkt an: Ein Unternehmen kann zugleich NIS2-Einrichtung und CRA-pflichtiger Hersteller sein.

Betrifft Sie das?

Das ist beim CRA die wichtigste Frage - anders als NIS2 oder DSGVO gilt er nicht für Unternehmen allgemein, sondern nur für die Rolle als Hersteller, Importeur oder Händler eines Produkts mit digitalen Elementen.

  • Betrifft Sie nur, wenn Sie Produkte mit digitalen Elementen herstellen, importieren oder in der EU in Verkehr bringen - Hardware oder Software mit direkter oder indirekter Daten- oder Netzwerkverbindung.
  • Volle Pflichten treffen Hersteller. Importeure haben erweiterte Prüfpflichten und sind ab 11. September 2026 in die Meldekette eingebunden. Händler haben reduzierte Pflichten.
  • Betrifft ausdrücklich auch eigenständig vertriebene Software, nicht nur Hardware.
  • Gilt grundsätzlich auch für kleine Hersteller - es gibt keine generelle Ausnahme für kleine Unternehmen, nur Erleichterungen bei bestimmten Meldefristen für Kleinst- und Kleinunternehmen.
  • Wann eher nicht: Sie stellen keine eigenen Produkte mit digitalen Elementen her, importieren keine und vertreiben auch keine eigene Software. Dann ist für Sie eher NIS2 oder ISO 27001 relevant - beide adressieren Betreiber, nicht Hersteller.
Was passiert bei Nichtstun?

Bußgelder bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes bei Verstößen gegen die grundlegenden Sicherheitsanforderungen (Anhang I) sowie die Hersteller- und Meldepflichten (Art. 13, 14). Wirtschaftlich oft schwerer wiegt das zweite Risiko: Marktüberwachungsbehörden können nicht konforme Produkte vom EU-Markt nehmen.

Wie lange dauert das realistisch?

Abhängig vom Produktportfolio: Der Meldeprozess muss bis 11. September 2026 stehen, die übrigen Pflichten (Konformitätsbewertung, CE-Kennzeichnung, technische Dokumentation) bis 11. Dezember 2027.

Der Fahrplan, Schritt für Schritt
1

Betroffenheit und Rolle klären

Feststellen, welche Produkte betroffen sind und in welcher Rolle (Hersteller, Importeur, Händler) Sie stehen.

Warum dieser Schritt

Die Rolle bestimmt den gesamten weiteren Pflichtenumfang. Wer ein Produkt unter eigenem Namen weitervertreibt oder wesentlich verändert, gilt oft selbst als Hersteller mit vollem Pflichtenkatalog - eine falsche Selbsteinschätzung ist der häufigste Startfehler.

Was konkret zu tun ist
  • Produktportfolio erfassen und je Produkt prüfen, ob digitale Elemente mit Daten- oder Netzwerkverbindung vorliegen.
  • Eigene Rolle je Produkt bestimmen (Hersteller, Importeur, Händler, ggf. mehrere zugleich).
  • Sektorspezifisch bereits regulierte Ausnahmen prüfen (z.B. Medizinprodukte, Kraftfahrzeuge).
  • Betroffene Produkte mit Rollenzuordnung in einer Liste dokumentieren.
Ergebnis: Dokumentierte Produktliste mit Betroffenheits- und Rollenbewertung.
2

Produkt einordnen: Standard, wichtig oder kritisch

Jedes betroffene Produkt der richtigen Risikoklasse zuordnen.

Warum dieser Schritt

Die Klasse entscheidet, ob eine Selbstbewertung ausreicht oder eine unabhängige Prüfstelle eingebunden werden muss. Eine zu niedrige Einstufung ist ein rechtliches Risiko, eine zu hohe erzeugt unnötigen Aufwand.

Was konkret zu tun ist
  • Jedes Produkt gegen die Kategorien in Anhang III (wichtige Produkte, Klasse I und II) und Anhang IV (kritische Produkte) prüfen.
  • Standardprodukte identifizieren, für die die interne Kontrolle (Selbstbewertung) ausreicht.
  • Für wichtige Produkte prüfen, ob harmonisierte Normen anwendbar sind oder eine benannte Stelle nötig wird.
Ergebnis: Dokumentierte Klassifizierung je Produkt mit Begründung.
3

Security-by-Design-Anforderungen umsetzen

Die grundlegenden Sicherheitsanforderungen aus Anhang I im Produkt verankern.

Warum dieser Schritt

Anhang I ist der inhaltliche Kern des CRA. Ohne eine dokumentierte Risikobewertung und nachweislich umgesetzte Sicherheitsmerkmale lässt sich keine Konformität erklären - Verstöße dagegen gehören zur höchsten Bußgeldstufe.

Was konkret zu tun ist
  • Cybersicherheits-Risikobewertung für das Produkt durchführen und dokumentieren.
  • Sichere Standardeinstellungen, Angriffsflächenreduktion und Datensparsamkeit als Entwicklungsprinzipien verankern.
  • Umsetzung der Anforderungen aus Anhang I Teil I dokumentieren.
Ergebnis: Dokumentierte, nachweisbare Umsetzung der grundlegenden Sicherheitsanforderungen.
4

Schwachstellenmanagement und Meldeprozess aufbauen

Meldefähigkeit für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle herstellen.

Warum dieser Schritt

Die Meldepflicht nach Art. 14 gilt bereits ab 11. September 2026 - deutlich früher als die übrigen Pflichten - und ausdrücklich auch für Produkte, die schon auf dem Markt sind. Wer erst 2027 plant, verpasst diesen früheren Stichtag.

Was konkret zu tun ist
  • Prozess für koordinierte Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure) einrichten.
  • Meldewege zur zuständigen Behörde (ENISA/CSIRT) und interne Verantwortliche festlegen.
  • Fristen für Frühwarnung, Meldung und Abschlussbericht intern verankern.
Ergebnis: Einsatzbereiter Melde- und Schwachstellenprozess vor dem Stichtag September 2026.
5

Konformitätsbewertung und technische Dokumentation

Die formale Konformität des Produkts nachweisen.

Warum dieser Schritt

Ohne vollständige technische Dokumentation und ein durchlaufenes Konformitätsbewertungsverfahren ist keine CE-Kennzeichnung möglich - unabhängig davon, wie gut das Produkt tatsächlich abgesichert ist.

Was konkret zu tun ist
  • Technische Dokumentation gemäß den CRA-Vorgaben erstellen (Produktbeschreibung, Risikobewertung, umgesetzte Anforderungen).
  • Konformitätsbewertungsverfahren passend zur Produktklasse durchführen (Selbstbewertung oder benannte Stelle).
  • EU-Konformitätserklärung vorbereiten.
Ergebnis: Vollständige technische Dokumentation und abgeschlossene Konformitätsbewertung.
6

Laufende Pflichten über den Produktlebenszyklus

CRA-Konformität nicht nur beim Markteintritt, sondern über die gesamte Produktlebensdauer sicherstellen.

Warum dieser Schritt

Der CRA endet nicht mit der CE-Kennzeichnung. Sicherheitsupdates, die Marktüberwachung und die Meldepflicht für Bestandsprodukte laufen weiter - ein Produkt kann auch nachträglich non-konform werden.

Was konkret zu tun ist
  • Prozess für Sicherheitsupdates über die vom Hersteller festgelegte Update-Dauer etablieren.
  • Konformitätsstatus bei Produktänderungen erneut bewerten.
  • Zusammenarbeit mit Marktüberwachungsbehörden vorbereiten (Auskunftsfähigkeit, Dokumentenzugriff).
Ergebnis: Dauerhaft nachweisbare CRA-Konformität über den gesamten Produktlebenszyklus.
Häufig gefragt: Cyber Resilience Act (CRA)
Betrifft mich der CRA, wenn ich nur Software anbiete, keine Hardware?

Ja. Eigenständig auf den Markt gebrachte Software fällt ebenso unter den CRA wie Hardware mit digitalen Elementen. Reine Software-Anbieter halten sich häufig fälschlich für nicht betroffen.

Bin ich als kleiner Hersteller vom CRA befreit?

Nein, eine generelle Ausnahme für kleine Unternehmen gibt es nicht. Der CRA sieht für Kleinst- und Kleinunternehmen Erleichterungen vor, etwa bei bestimmten Meldefristen - die grundlegenden Pflichten bleiben aber bestehen.

Wir importieren nur Produkte, stellen sie nicht selbst her - betrifft uns der CRA trotzdem?

Ja, allerdings mit einem reduzierten, aber wachsenden Pflichtenumfang. Importeure haben erweiterte Prüfpflichten gegenüber dem Hersteller und sind ab 11. September 2026 in die Meldekette für Schwachstellen und Vorfälle eingebunden.

Gilt der CRA auch für Produkte, die wir schon länger verkaufen?

Die Meldepflicht nach Art. 14 gilt ausdrücklich auch für Produkte, die bereits vor dem Stichtag auf dem Markt bereitgestellt wurden. Die übrigen Pflichten (Konformitätsbewertung, CE-Kennzeichnung) knüpfen im Kern an das Inverkehrbringen ab dem 11. Dezember 2027 an.

Was ist der Unterschied zwischen CRA und NIS2 für mein Unternehmen?

NIS2 richtet sich an Betreiber und Einrichtungen in kritischen Sektoren und regelt, wie ein Unternehmen seine eigene IT absichert. Der CRA richtet sich an Hersteller, Importeure und Händler und regelt, wie sicher die von ihnen in Verkehr gebrachten Produkte sein müssen. Ein Unternehmen kann in beide Regelwerke gleichzeitig fallen.

Fahrplan

DSGVO

Was ist das?

Die Datenschutz-Grundverordnung regelt EU-weit, wie personenbezogene Daten verarbeitet werden dürfen. Sie gilt branchen- und größenunabhängig für praktisch jedes Unternehmen, das mit Kunden-, Mitarbeiter- oder Interessentendaten arbeitet.

Betrifft Sie das?

Anders als NIS2 oder TISAX gibt es bei der DSGVO keine Schwellenwerte oder Sektor-Listen - sie gilt ab dem ersten Mitarbeitenden und dem ersten Kundenkontakt.

  • Gilt für alle Unternehmen, die personenbezogene Daten verarbeiten - ausnahmslos, unabhängig von Branche und Größe.
  • Ein Datenschutzbeauftragter ist verpflichtend, sobald in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind.
  • Auch reine B2B-Unternehmen sind betroffen: Mitarbeiterdaten, Bewerberdaten und Ansprechpartner bei Geschäftskunden zählen bereits als personenbezogene Daten.
  • Kein Unternehmen ist zu klein - kleine Unternehmen sind laut Aufsichtsbehörden vergleichsweise häufig betroffen, weil der Schutz oft geringer ausfällt.
Was passiert bei Nichtstun?

Bußgelder bis zu 20 Mio. Euro oder 4 % des weltweiten Konzernumsatzes, je nachdem, welcher Betrag höher ist. Allein 2024 verhängten deutsche Aufsichtsbehörden 187 Bußgeldbescheide, der höchste Einzelfall lag bei 14,5 Mio. Euro.

Wie lange dauert das realistisch?

Ersteinrichtung ca. 1-2 Tage, danach laufender Betrieb.

Der Fahrplan, Schritt für Schritt
1

Verarbeitungsverzeichnis aufbauen

Alle Verarbeitungstätigkeiten strukturiert erfassen.

Warum dieser Schritt

Das Verarbeitungsverzeichnis (Art. 30 DSGVO) ist die Pflichtgrundlage, aus der sich fast alle weiteren Schritte ableiten - ohne den Überblick, welche Daten wofür verarbeitet werden, lässt sich keine Rechtsgrundlage prüfen und kein Löschkonzept aufstellen.

Was konkret zu tun ist
  • Verarbeitungstätigkeiten mit Zweck, Datenkategorien, Empfängern und Löschfristen anlegen.
  • Sowohl Kunden- als auch Mitarbeiterdaten-Verarbeitungen erfassen.
  • Verzeichnis bei neuen Verarbeitungen laufend aktuell halten.
Ergebnis: Gepflegtes Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO).
2

Rechtsgrundlagen prüfen

Für jede Verarbeitung die passende Rechtsgrundlage nach Art. 6 DSGVO festlegen.

Warum dieser Schritt

Ohne gültige Rechtsgrundlage ist eine Verarbeitung grundsätzlich unzulässig - unabhängig davon, wie gut sie technisch abgesichert ist. Das ist der rechtliche Kern der DSGVO, nicht nur eine formale Fußnote.

Was konkret zu tun ist
  • Je Verarbeitungstätigkeit prüfen, ob Einwilligung, Vertrag, rechtliche Pflicht, berechtigtes Interesse oder eine andere Grundlage greift.
  • Bei Einwilligungen den Nachweis der Einholung sicherstellen.
  • Ergebnisse im Verarbeitungsverzeichnis dokumentieren.
Ergebnis: Dokumentierte Rechtsgrundlage je Verarbeitungstätigkeit.
3

Technische und organisatorische Maßnahmen (TOMs) dokumentieren

Die Sicherheit der Verarbeitung nach Art. 32 DSGVO nachweisen.

Warum dieser Schritt

Art. 32 verlangt ein dem Risiko angemessenes Schutzniveau - und den Nachweis dafür. Auftraggeber fragen TOMs regelmäßig als eigenständiges Dokument ab, unabhängig vom AVV.

Was konkret zu tun ist
  • Technische Maßnahmen erfassen (Zugriffskontrolle, Verschlüsselung, Backups).
  • Organisatorische Maßnahmen erfassen (Prozesse, Verantwortlichkeiten, Schulungen).
  • TOMs als eigenständiges, aktuelles Dokument pflegen.
Ergebnis: Dokumentierte technische und organisatorische Maßnahmen (Art. 32 DSGVO).
4

Datenschutz-Folgenabschätzung wo nötig

Für risikoreiche Verarbeitungen eine DSFA erstellen.

Warum dieser Schritt

Art. 35 verlangt eine DSFA immer dann, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für Betroffene birgt - wird sie unterlassen, ist das selbst ein eigenständiger Verstoß, unabhängig vom Ergebnis der Verarbeitung.

Was konkret zu tun ist
  • Prüfen, welche Verarbeitungen eine DSFA erfordern (z.B. umfangreiche Profilbildung, besondere Datenkategorien).
  • DSFA je betroffener Verarbeitung durchführen und Restrisiken bewerten.
  • Ergebnisse und Maßnahmen dokumentieren.
Ergebnis: Abgeschlossene Datenschutz-Folgenabschätzung für risikoreiche Verarbeitungen.
5

Auftragsverarbeiter und AVVs erfassen

Alle externen Dienstleister mit Datenzugriff vertraglich absichern.

Warum dieser Schritt

Wer Daten an Dienstleister weitergibt (Cloud, Hosting, Software-as-a-Service), bleibt datenschutzrechtlich verantwortlich, wenn kein wirksamer Auftragsverarbeitungsvertrag (Art. 28) vorliegt - die Verantwortung lässt sich nicht einfach outsourcen.

Was konkret zu tun ist
  • Alle Dienstleister mit Zugriff auf personenbezogene Daten erfassen.
  • Auftragsverarbeitungsverträge (AVV) einholen oder abschließen.
  • Übersicht regelmäßig aktualisieren.
Ergebnis: Vollständige Übersicht der Auftragsverarbeiter mit gültigen Verträgen.
6

Betroffenenrechte-Prozesse festlegen

Auskunft, Löschung und Widerspruch fristgerecht beantworten können.

Warum dieser Schritt

Die Art. 15-22 DSGVO geben Betroffenen einklagbare Rechte mit festen Fristen. Ohne festgelegten internen Prozess wird jede Anfrage zum Ad-hoc-Sonderfall - mit Risiko, die Frist zu verpassen.

Was konkret zu tun ist
  • Prozess für Auskunfts-, Berichtigungs- und Löschanfragen dokumentieren.
  • Verantwortliche und Bearbeitungsfristen festlegen.
  • Prozess intern bekannt machen, damit Anfragen nicht übersehen werden.
Ergebnis: Dokumentierter, fristgerechter Prozess für Betroffenenrechte.
7

Löschkonzept aufsetzen

Aufbewahrung und Löschung personenbezogener Daten nachvollziehbar regeln.

Warum dieser Schritt

Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) verlangt, dass Daten nicht länger als nötig aufbewahrt werden. Ohne festgelegte Löschfristen sammeln sich unnötige Datenbestände an, die im Schadensfall zusätzliches Risiko bedeuten.

Was konkret zu tun ist
  • Löschfristen je Datenkategorie festlegen, unter Berücksichtigung gesetzlicher Aufbewahrungspflichten.
  • Löschkonzept als Dokument fixieren und im Unternehmen bekannt machen.
  • Umsetzung stichprobenartig prüfen.
Ergebnis: Dokumentiertes Löschkonzept mit klaren Aufbewahrungsfristen.
8

Laufenden Betrieb etablieren

Datenschutz dauerhaft aktuell halten, nicht nur einmalig herstellen.

Warum dieser Schritt

Verarbeitungstätigkeiten, Dienstleister und Risiken ändern sich laufend. Ein einmal erstelltes Verzeichnis veraltet ohne regelmäßige Pflege schnell - und verliert damit seinen Nachweiswert.

Was konkret zu tun ist
  • Feste Review-Termine für Verarbeitungsverzeichnis, TOMs und AVVs einplanen.
  • Änderungen an Verarbeitungen zeitnah nachpflegen.
  • Neue Dienstleister oder Tools vor dem Einsatz datenschutzrechtlich prüfen.
Ergebnis: Dauerhaft aktueller, nachweisbarer Datenschutz-Stand.
Häufig gefragt: DSGVO
Gilt die DSGVO auch für sehr kleine Unternehmen?

Ja, ohne Ausnahme. Die DSGVO gilt ab dem ersten Mitarbeitenden und dem ersten Kundenkontakt - es gibt keine Mindestgröße oder Branchen-Ausnahme.

Brauchen wir einen Datenschutzbeauftragten?

In der Regel ja, sobald mindestens 20 Personen im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Unabhängig von der Mitarbeiterzahl kann ein Datenschutzbeauftragter zusätzlich Pflicht sein, wenn die Kerntätigkeit in einer umfangreichen Verarbeitung besonderer Datenkategorien besteht.

Reicht eine Datenschutzerklärung auf der Website aus?

Nein. Die Datenschutzerklärung informiert nur Website-Besucher über die dortige Verarbeitung. Sie ersetzt weder das Verarbeitungsverzeichnis noch die TOM-Dokumentation, die AVVs mit Dienstleistern oder das Löschkonzept.

Was, wenn wir nur Daten von Geschäftskunden (B2B) verarbeiten, keine Verbraucher?

Die DSGVO gilt trotzdem. Ansprechpartner, Bewerber und Mitarbeitende sind ebenfalls natürliche Personen mit personenbezogenen Daten - reine B2B-Tätigkeit befreit nicht von den Pflichten.

Fahrplan

TISAX

Was ist das?

TISAX (Trusted Information Security Assessment Exchange) ist der vom VDA entwickelte Informationssicherheits-Standard der Automobilindustrie, basierend auf dem VDA-ISA-Fragenkatalog. Wer als Zulieferer oder Dienstleister in der Lieferkette großer Automobilhersteller arbeitet, wird darüber standardisiert auf Informationssicherheit geprüft.

Betrifft Sie das?

TISAX ist keine gesetzliche Pflicht, sondern eine vertragliche Anforderung der Automobil-Lieferkette. Betroffen ist, wer von einem OEM oder Tier-1-Zulieferer dazu aufgefordert wird.

  • Betrifft Zulieferer und Dienstleister der Automobilindustrie, deren OEM- oder Tier-1-Auftraggeber (u.a. VW, Mercedes-Benz, BMW, Audi, Porsche, Continental) ein TISAX-Label fordern.
  • Größenunabhängig - auch kleine Engineering-Büros mit zehn Mitarbeitenden werden auditiert, wenn der Auftraggeber es verlangt.
  • Der konkrete Anlass kommt in der Regel direkt vom Auftraggeber, meist im Rahmen einer Ausschreibung oder eines bestehenden Vertrags.
  • Wann eher nicht: keine direkten oder indirekten Geschäftsbeziehungen in die Automobil-Lieferkette.
Was passiert bei Nichtstun?

Keine direkten Bußgelder - TISAX ist kein Gesetz. Das reale Risiko: Verlust des Auftrags oder Ausschluss aus der Lieferkette, wenn OEM oder Tier-1 das TISAX-Label vertraglich voraussetzen.

Wie lange dauert das realistisch?

Vorbereitung typischerweise mehrere Wochen, abhängig vom geforderten Assessment-Level.

Der Fahrplan, Schritt für Schritt
1

Assessment-Ziele und -Level klären

Prüfumfang und angestrebtes Assessment-Level mit dem Auftraggeber festlegen.

Warum dieser Schritt

TISAX ist kein einheitliches Zertifikat, sondern ein modulares System aus Prüfzielen (z.B. Informationssicherheit, Prototypenschutz, Datenschutz) und Assessment-Leveln unterschiedlicher Prüftiefe. Ohne diese Klärung lässt sich der Aufwand nicht seriös einschätzen.

Was konkret zu tun ist
  • Mit dem Auftraggeber klären, welche Prüfziele konkret gefordert sind.
  • Das angestrebte Assessment-Level anhand der Kundenanforderung schriftlich festhalten.
  • Den VDA-ISA-Katalog als fachliche Grundlage der Vorbereitung heranziehen.
Ergebnis: Klar dokumentierter Prüfumfang als Basis der gesamten Vorbereitung.
2

Geltungsbereich und Standorte festlegen

Definieren, welche Standorte und Bereiche in das Assessment fallen.

Warum dieser Schritt

Der Scope bestimmt, was der Prüfdienstleister später tatsächlich begutachtet - ein zu eng gefasster Scope kann vom Auftraggeber abgelehnt werden, ein zu weiter erzeugt unnötigen Aufwand.

Was konkret zu tun ist
  • Standorte und Bereiche festlegen, die in das Assessment fallen.
  • Verantwortliche für die Vorbereitung benennen.
  • Rahmenbedingungen mit dem geforderten Assessment-Level abgleichen.
Ergebnis: Definierter Geltungsbereich für das Assessment.
3

VDA-ISA-Anforderungen umsetzen

Den VDA-ISA-Fragenkatalog über alle relevanten Prüfbereiche bewerten und erfüllen.

Warum dieser Schritt

Der VDA-ISA-Katalog ist die fachliche Grundlage jedes TISAX-Assessments. Ehrliche Selbstbewertung ist hier kein Nebenaspekt, sondern Teil des Prozesses - TISAX basiert bewusst auf einem Self-Assessment-Charakter.

Was konkret zu tun ist
  • Fragen über die relevanten Prüfbereiche systematisch beantworten.
  • Reifegrade ehrlich einschätzen statt zu beschönigen.
  • Erkannte Lücken dokumentieren.
Ergebnis: Reifegrad-Bild über alle relevanten Prüfbereiche.
4

Maßnahmen priorisieren und Risiken bewerten

Lücken bis zur angestrebten Reife schließen und Informationssicherheits-Risiken dokumentieren.

Warum dieser Schritt

Ohne priorisierten Plan bleibt die Selbstbewertung eine reine Bestandsaufnahme. Der Reifegrad steigt erst durch konkrete, terminierte Umsetzung - und ein dokumentiertes Risikomanagement ist selbst Teil des VDA-ISA-Katalogs.

Was konkret zu tun ist
  • Erkannte Lücken priorisieren und Verantwortliche zuweisen.
  • Maßnahmen bis zum angestrebten Reifegrad terminieren.
  • Relevante Informationssicherheits-Risiken erfassen und bewerten.
Ergebnis: Priorisierter Umsetzungsplan mit dokumentiertem Risikomanagement.
5

Richtlinien aufsetzen und Awareness schaffen

Informationssicherheits-Richtlinien fixieren und Mitarbeitende sensibilisieren.

Warum dieser Schritt

Der VDA-ISA-Katalog prüft nicht nur Technik, sondern auch organisatorische Verankerung - dokumentierte Richtlinien und nachweisbare Awareness sind eigene Prüfpunkte.

Was konkret zu tun ist
  • Kern-Richtlinien passend zum Prüfumfang erstellen und freigeben.
  • Awareness-Schulungen für betroffene Mitarbeitende durchführen und nachhalten.
Ergebnis: Freigegebene Richtlinien und dokumentierte Schulungsnachweise.
6

Nachweise konsolidieren

Belege je Prüfbereich sammeln und auffindbar ablegen.

Warum dieser Schritt

Ein TISAX-Assessment prüft nicht nur, ob eine Maßnahme existiert, sondern ob sie belegt werden kann. Verstreute oder fehlende Nachweise sind ein häufiger Grund für Nacharbeiten im offiziellen Prozess.

Was konkret zu tun ist
  • Nachweise zentral ablegen und den jeweiligen Prüfbereichen zuordnen.
  • Prüfen, ob je Prüfbereich ausreichende Belege vorliegen.
Ergebnis: Konsolidierte, auffindbare Nachweislage über alle Prüfbereiche.
7

Self-Assessment-Reife für den ENX-Prozess

Die interne Reife vor dem offiziellen Assessment kritisch gegenprüfen.

Warum dieser Schritt

Das offizielle TISAX-Assessment führt ein akkreditierter Prüfdienstleister im ENX-Prozess durch, nicht das eigene Unternehmen. Eine belastbare interne Vorprüfung reduziert das Risiko von Nachforderungen oder einem nicht bestandenen Assessment.

Was konkret zu tun ist
  • Antwort- und Nachweislage intern gegenprüfen, bevor der offizielle Prozess startet.
  • Offene Punkte schließen, bevor Sie sich an einen ENX-Prüfdienstleister wenden.
  • Den formalen ENX-Registrierungs- und Prüfprozess einplanen.
Ergebnis: Belastbare Self-Assessment-Reife als Vorbereitung auf das offizielle Assessment.
Häufig gefragt: TISAX
Warum brauchen wir TISAX, obwohl wir kein Automobilhersteller sind?

TISAX prüft nicht nur Automobilhersteller selbst, sondern deren gesamte Lieferkette. Wer als Zulieferer, Engineering-Dienstleister oder IT-Dienstleister für einen OEM oder Tier-1 arbeitet, wird in der Regel vertraglich zur TISAX-Teilnahme verpflichtet.

Ist TISAX gesetzlich vorgeschrieben?

Nein. TISAX ist kein Gesetz, sondern ein branchenweiter Industriestandard der Automobilindustrie. Die Verpflichtung entsteht vertraglich über den Auftraggeber, nicht über eine gesetzliche Grundlage.

Reicht eine ISO-27001-Zertifizierung anstelle von TISAX?

In der Regel nicht vollständig. TISAX basiert auf dem VDA-ISA-Katalog, der eigene, automotive-spezifische Prüfbereiche wie Prototypenschutz enthält, die über den Umfang von ISO 27001 hinausgehen. Eine bestehende ISO-27001-Basis erleichtert die Vorbereitung, ersetzt das Assessment aber nicht.

Wer führt das offizielle TISAX-Assessment durch?

Ein akkreditierter Prüfdienstleister im ENX-Prozess - nicht das eigene Unternehmen. Die interne Vorbereitung dient dazu, dieses offizielle Assessment möglichst ohne Nachforderungen zu bestehen.

Der nächste Schritt führt über Ihren IT-Partner

Diesen Fahrplan können Sie mit Ihrem eigenen Team umsetzen - oder ihn geführt in CompliantDesk abarbeiten. Ihr IT-Dienstleister richtet Ihnen dafür einen Zugang ein.

Mehr über CompliantDesk erfahren