Damit Sicherheit nicht auf Ihrem Schreibtisch liegen bleibt.

Informationssicherheit und Compliance für den Mittelstand

NIS-2, DSGVO, Cyber Resilience Act – die Pflichten wachsen, die Fristen laufen. Wer nicht handelt, riskiert Bußgelder, Haftung und den Verlust wichtiger Geschäftspartner.

Als externer ISB (Informationssicherheitsbeauftragter) und vCISO (Virtual Chief Information Security Officer) nehmen wir Ihnen diese Last ab. Auf Basis von ISO 27001 und BSI IT-Grundschutz setzen wir um, was Gesetz, Kunden und Versicherer verlangen – strukturiert, pragmatisch und ohne unnötigen Aufwand.

Sie führen Ihr Unternehmen – wir sichern es ab.

Unverbindlich kennenlernen

15 Minuten. Kostenfrei. Sie erhalten einen konkreten Fahrplan.

Focus Online Badge – Externer Informationssicherheitsbeauftragter Veröffentlichung Logo von Basic Thinking
Maximilian Schildmann, Geschäftsführer der Ingenieurgesellschaft ISM

Maximilian Schildmann
Gründer und Geschäftsführer

Sie führen ein Unternehmen – keine IT-Abteilung und keine Compliance-Abteilung. Trotzdem landen NIS-2, ISO 27001 und der Cyber Resilience Act auf Ihrem Schreibtisch. Seit Dezember 2025 ist NIS-2 in Kraft, ab September 2026 greifen die ersten CRA-Pflichten, ab Dezember 2027 muss jedes betroffene Produkt die CE-Kennzeichnung tragen. Wer diese Themen aufschiebt, riskiert persönliche Haftung, empfindliche Bußgelder und den Ausschluss aus Lieferketten.

Genau dafür gibt es uns. Die Verantwortung bleibt bei Ihnen – aber die operative Umsetzung übernehmen wir. Als fester Ansprechpartner, nicht als austauschbarer Berater. Gemeinsam bauen wir auf, was Sie brauchen: ein funktionierendes Sicherheitssystem, belastbare Nachweise und einen konkreten Fahrplan für jede Anforderung, die auf Sie zukommt.

DSGVO seit 2018, NIS-2 seit Dezember 2025, CRA-Meldepflichten ab September 2026, CE-Pflicht ab Dezember 2027 – die regulatorische Last wächst mit jedem Jahr. In einem 15-Minuten-Gespräch zeigen wir Ihnen, wo Sie stehen und was als Erstes zu tun ist.

Typische Situationen im Mittelstand

Die Anforderungen sind klar – die Umsetzung selten. In unserer Beratungspraxis sehen wir sechs Konstellationen besonders häufig.

Ich hafte persönlich – aber wir haben keine IT-Sicherheitsabteilung.

Wer setzt Informationssicherheit bei Ihnen im Alltag um? NIS-2 macht das Thema zur Chefsache (§ 38 BSIG), auch DSGVO und CRA nehmen die Geschäftsführung direkt in die Pflicht. Die Verantwortung bleibt bei Ihnen – die Arbeit übernehmen wir. Als externer Informationssicherheitsbeauftragter (ISB) liefern wir die Nachweise, die Aufsicht, Kunden und Versicherer sehen wollen.

Externer ISB als Lösung

Mehrere Regelwerke parallel – wir verzetteln uns in Doppelarbeit.

Müssen Sie wirklich alles dreifach machen? DSGVO, NIS-2, ISO 27001 und CRA fordern oft dieselben Bausteine: Risikoanalyse, technische Schutzmaßnahmen, Vorfall-Prozesse, Schulungen. Wir bringen das in einem System zusammen, statt jedes Regelwerk einzeln zu führen – das spart bis zu 50 % operativen Aufwand.

Compliance aus einer Hand

Kunden fordern ISO-27001-Nachweise – sonst fallen wir aus der Lieferkette.

Verlieren Sie Aufträge, weil Ihnen Sicherheitsnachweise fehlen? Großkunden, Konzerne und KRITIS-Betreiber verlangen seit NIS-2 belastbare Belege von ihren Zulieferern. Ohne Informationssicherheits-Managementsystem (ISMS) scheitern Ausschreibungen oder ziehen sich in die Länge. Wir bauen Ihr ISMS pragmatisch und zertifizierungsfähig auf – schlank genug, dass Ihre Mitarbeitenden es im Alltag wirklich nutzen, statt Dokumentationsberge zu pflegen, die niemand liest.

ISO 27001 als Lieferketten-Nachweis

Unsere Produkte fallen unter den Cyber Resilience Act – das Team ist überfordert.

Stellen Sie Produkte mit Software, IoT oder vernetzten Steuerungen her? Ab September 2026 müssen Sie Schwachstellen an die ENISA melden, ab Dezember 2027 brauchen Sie die CE-Kennzeichnung nach CRA – sonst ist Schluss mit dem EU-Markt. Wir begleiten Ihr Produktteam Schritt für Schritt: vom Einsortieren der Produkte über Security by Design und Software-Stückliste (SBOM) bis zur fertigen Konformitätserklärung.

CRA-Beratung für Hersteller

Wir suchen seit Monaten einen Sicherheitsbeauftragten – vergeblich.

Sie schreiben aus, aber niemand bewirbt sich? Der Markt für IT-Security-Köpfe ist leer, und für viele Mittelständler lohnt sich eine Vollzeit-Stelle ohnehin nicht. Ein vCISO (Virtual Chief Information Security Officer) übernimmt die strategische Sicherheitsführung auf C-Level – ab zwei Tagen im Monat, ohne Recruiting-Schleife und ohne Vollzeit-Budget.

vCISO statt Vollzeit-Stelle

Eine Datenpanne kann uns das Vertrauen unserer Kunden kosten.

Was, wenn morgen Daten weg sind? Sie haben dann 72 Stunden Zeit, das der Aufsichtsbehörde zu melden (Art. 33 DSGVO). Bußgelder reichen bis 20 Mio. €, dazu kommen Vertrauensschäden bei Kunden. Wir bauen Ihre technisch-organisatorischen Maßnahmen (TOM nach Art. 32 DSGVO) und Ihre Melde-Prozesse so auf, dass Sie im Krisenfall sofort handlungsfähig sind.

DSGVO-TOM-Beratung

Unsere Leistungen im Überblick

Informationssicherheit ist kein Projekt mit Enddatum – sie muss dauerhaft funktionieren. Wir begleiten Sie von der ersten Analyse bis zum laufenden Betrieb. Alle Bausteine lassen sich frei kombinieren.

Externer ISB

Kein Recruiting, kein Einarbeiten: Wir übernehmen die ISB-Rolle sofort. Gap-Analyse, Risikobewertung, Richtlinien und Schulungen – alles aus einer Hand.

Leistungen im Detail

vCISO

CISO-Expertise, ohne eine Vollzeitstelle zu besetzen. Sicherheitsstrategie, Berichte an die Geschäftsleitung (Board-Reporting) und Krisenmanagement – ab 2 Tagen pro Monat, flexibel skalierbar.

Aufgaben eines vCISO

ISO 27001 Beratung

Zertifizierung bestehen – beim ersten Anlauf. Vom Soll-Ist-Vergleich (Gap-Assessment) über den ISMS-Aufbau bis zur Audit-Vorbereitung begleiten wir Sie Schritt für Schritt.

ISO 27001 Beratung im Detail

BSI IT-Grundschutz

Pflicht für Behörden und Betreiber kritischer Infrastrukturen (KRITIS). Wir beraten zu allen vier BSI-Standards – von der Basis-Absicherung bis zum Notfallmanagement (Business Continuity Management).

BSI IT-Grundschutz Beratung

NIS-2 Compliance

Seit Dezember 2025 Pflicht – Geschäftsführer haften persönlich. Wir prüfen Ihre Betroffenheit, schließen Lücken (Gap-Assessment) und übernehmen die BSI-Registrierung.

NIS-2 Beratung

DSGVO TOM

Datenschutz nachweisbar erfüllen: Wir prüfen Ihre Maßnahmen nach Art. 32 DSGVO, schließen Lücken und verzahnen alles mit Ihrem bestehenden Sicherheitssystem (ISMS).

DSGVO TOM Beratung

Cyber Resilience Act

Erste Meldepflichten ab September 2026, CE-Kennzeichnung ab Dezember 2027 für alle Produkte mit Software oder Netzwerk. Wir begleiten Sie bei Klassifizierung, Sicherheit ab Entwicklungsstart (Security by Design) und CE-Dokumentation.

CRA Beratung

Compliance aus einer Hand

Bis zu 50 % weniger Aufwand: NIS-2, DSGVO, CRA und ISO 27001 in einem System statt in vier. Eine Dokumentation, alle Anforderungen erfüllt.

Integrierter Ansatz

Herausforderungen für den Mittelstand: NIS-2, DSGVO, CRA und ISO 27001 im Überblick

DSGVO, NIS-2 und der Cyber Resilience Act sind verbindliche Pflichten. ISO 27001 und BSI IT-Grundschutz sind freiwillige Standards – aber das methodische Rückgrat, das die Pflichten erst nachweisbar erfüllbar macht. Die meisten mittelständischen Unternehmen sind von mehreren Regelwerken parallel betroffen. Wir setzen sie in einem konsolidierten Managementsystem um, statt getrennte Projekte zu führen.

DSGVO: Datenschutz für jede Datenverarbeitung

Die EU-Datenschutz-Grundverordnung gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet – ohne Schwellenwerte. Bußgelder reichen bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes.

Verbindlich sind technisch-organisatorische Maßnahmen nach Art. 32 DSGVO, ein Verarbeitungsverzeichnis nach Art. 30, Meldepflichten innerhalb von 72 Stunden und ein nachweisbares Auftragsverarbeiter-Management.

DSGVO-TOM-Beratung →

NIS-2: IT-Sicherheit für 29.500 Unternehmen

Das NIS-2-Umsetzungsgesetz erfasst rund 29.500 Unternehmen in 18 Sektoren – ab 50 Mitarbeitern oder 10 Mio. € Umsatz. Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes; persönliche Haftung der Geschäftsleitung nach § 38 BSIG.

Pflicht sind die zehn Mindestmaßnahmen nach § 30 BSIG, BSI-Registrierung, Meldepflichten (24 h / 72 h / 30 Tage) und die Schulung der Geschäftsführung. Den eigenen Reifegrad ermitteln wir strukturiert in einer NIS-2 Gap-Analyse.

NIS-2-Beratung →

ISO 27001 & BSI IT-Grundschutz: Das ISMS-Fundament

Ein zertifiziertes Informationssicherheits-Managementsystem nach ISO 27001 oder BSI IT-Grundschutz ist die methodische Basis – und deckt rund 80–90 % der NIS-2-Anforderungen bereits ab.

Für Unternehmen mit internationaler Lieferkette und Kunden-Audits ist ISO 27001 das gängigere Format; für KRITIS und öffentliche Verwaltung der BSI-Standard. Beide schaffen belastbare Nachweise gegenüber Aufsicht, Kunden und Versicherern. Wer als KMU schlank einsteigen möchte, beginnt mit dem CyberRisikoCheck nach DIN SPEC 27076 (750 €) als erste Standortbestimmung.

ISO-27001-Beratung →

Cyber Resilience Act: Produktsicherheit für Hersteller

Hersteller, Importeure und Händler digitaler Produkte müssen ab Dezember 2027 eine CE-Kennzeichnung nach CRA tragen – sonst kein EU-Marktzugang. Meldepflichten für Schwachstellen greifen bereits ab September 2026.

Pflicht sind Security by Design, SBOM, Schwachstellenmanagement und technische Dokumentation. Bußgelder bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes – plus Marktverbot bei fehlender Konformität. Für Produkt- und Entwicklungs-Teams vermittelt unser CRA-Workshop das Methodenwissen kompakt im Inhouse-Format.

CRA-Beratung →

Arbeitshilfen aus der Beratungspraxis

Kostenlose Checklisten aus unserer Beratung. Direkt anwendbar, ohne Verpflichtungen.

Kostenfreie Praxis-Vorlage

NIS-2 Mindestmaßnahmen-Checkliste

Übersicht der 10 Pflichtmaßnahmen nach § 30 BSIG mit ISO-27001-Zuordnung und Priorisierungsvorschlag.

Ihre Daten werden ausschließlich zur Bereitstellung der angeforderten Informationen verwendet. Datenschutzerklärung

  • Unverbindlich
  • Aus der Beratungspraxis
  • Per E-Mail erhalten

Cyber Resilience Act: Neue Anforderungen für Hersteller

Der Cyber Resilience Act betrifft jeden, der Produkte mit Software oder Netzwerkanbindung herstellt, importiert oder vertreibt. Ab September 2026 greifen die ersten Meldepflichten für aktiv ausgenutzte Schwachstellen, ab Dezember 2027 ist die CE-Kennzeichnung verbindlich – sonst verliert das Produkt den EU-Marktzugang.

Das Risiko ist konkret: Produkte ohne CE-Kennzeichnung nach CRA verlieren ihre Marktzulassung. Wir begleiten Sie von der Betroffenheitsanalyse bis zur fertigen Dokumentation.

Die Zusammenhänge zwischen CRA und anderen Regelwerken erläutern unsere Magazin-Artikel:

Compliance aus einer Hand: NIS-2, DSGVO und CRA verbinden

NIS-2, DSGVO und CRA verlangen vieles doppelt: Risikoanalysen, Schulungen, Vorfallprozesse. Wer jedes Gesetz einzeln umsetzt, verdreifacht den Aufwand – und verliert den Überblick.

Unser integrierter Compliance-Ansatz spart bis zu 50 % Aufwand bei der Audit-Vorbereitung. Ein System statt drei. Eine Dokumentation, alle Anforderungen erfüllt.

Wie DSGVO und NIS-2 zusammenhängen, zeigt unser Artikel DSGVO und NIS-2: Wo sich Datenschutz und Cybersicherheit überschneiden.

Branchen, in denen wir zu Hause sind

Gesundheitswesen und eHealth

Patientendaten gehören zu den sensibelsten Informationen überhaupt. Kliniken, Praxen und eHealth-Hersteller stehen unter besonderer Aufsicht. Wir sichern Ihre Telematikinfrastruktur (TI), begleiten die Integration von ePA und TI-Messenger und schützen medizinische Daten DSGVO-konform.

Industrie und vernetzte Produktion

Vernetzte Maschinen schaffen neue Angriffsflächen. Ein Ransomware-Angriff kann die gesamte Fertigung stilllegen. Wir verbinden Produktions-IT (OT) und Büro-IT sicher – von der Netzwerksegmentierung über IoT-Absicherung bis zur Lieferkettensicherheit.

Mehr dazu im Artikel OT-Security für Produktionsunternehmen: IT und OT sicher verbinden.

Kritische Infrastrukturen (KRITIS)

Ein Ausfall bei Strom, Wasser oder Telekommunikation trifft nicht nur das Unternehmen – sondern die Gesellschaft. Deshalb gelten für KRITIS-Betreiber die strengsten Vorgaben. Wir setzen die KRITIS-Verordnung um, sichern Meldepflichten ab und entwickeln belastbare Notfallkonzepte.

Warum Unternehmen mit uns arbeiten

Über 10 Jahre Praxis in der Absicherung deutscher Unternehmen — von Automobilherstellern über KRITIS-Betreiber bis zur Pharmaindustrie. Wir kennen die Probleme, bevor sie auftreten.

Kurze Wege, schnelle Ergebnisse — Sie sprechen direkt mit dem Berater, der auch umsetzt. Kein Weiterreichen, kein Warten. Was wir zusagen, halten wir ein.

Immer auf dem neuesten Stand — regelmäßige Fortbildungen in ISO 27001, BSI IT-Grundschutz und DSGVO. Mitglied der BSI Allianz für Cyber-Sicherheit.

Messbare Ergebnisse — dokumentierte Vorgehensweisen, klare Erfolgskriterien. Unsere Kunden bestehen Audits, erfüllen Kundenanforderungen und schlafen nachts besser.

Fachtiefe im Magazin

Wir teilen unser Wissen offen. In unserem Magazin erklären wir komplexe Themen verständlich – von NIS-2 über ISO 27001 bis zum Cyber Resilience Act.

Häufig gestellte Fragen (FAQ)

Angreifer nehmen gezielt den Mittelstand ins Visier – weil er wertvolle Daten besitzt, aber oft weniger Schutz als Konzerne. Ein erfolgreicher Angriff kann den Betrieb tagelang lahmlegen und rechtliche Folgen nach sich ziehen. Eine durchdachte Sicherheitsstrategie schützt vor Datenverlust, Betriebsausfall und Haftungsrisiken.

Die monatlichen Kosten starten ab 1.890 € und richten sich nach Größe, Branche und Umfang. Dafür erhalten Sie ISMS-Betreuung, Gap-Analysen und Risikobewertungen. Im Vergleich zu einer internen Vollzeitstelle sparen Sie Personalkosten und profitieren sofort von Fachexpertise.

Ein externer ISB ist besonders wichtig, wenn Ihr Unternehmen mit sensiblen Daten arbeitet, mehr als 50 Mitarbeiter beschäftigt, eine ISO 27001 Zertifizierung anstrebt oder kritische Infrastrukturen betreibt. Auch bei regulatorischen Anforderungen wie NIS-2 oder wenn Geschäftspartner Informationssicherheit verlangen, ist ein externer ISB unverzichtbar.

Das Fundament bilden: aktuelle Virenschutz-Software, regelmäßige Backups, Firewall und sichere Passwörter mit Zwei-Faktor-Anmeldung. Darauf aufbauend sind Schulungen, verschlüsselte Datenübertragung und klare Zugriffsrechte entscheidend. Eine gute Strategie berücksichtigt die individuellen Risiken Ihres Unternehmens.

ISO 27001 ist der weltweit anerkannte Standard für Informationssicherheit. Das Zertifikat belegt, dass Ihr Unternehmen Sicherheit systematisch betreibt und laufend verbessert. Besonders relevant ist ISO 27001 für IT-Dienstleister, Cloud-Anbieter, Zulieferer großer Konzerne und Unternehmen mit sensiblen Kundendaten.

Rechnen Sie mit 8 bis 18 Monaten – je nach Größe, vorhandenen Strukturen und Ressourcen. Mit erfahrener externer Begleitung lässt sich der Prozess deutlich beschleunigen. Warum ein ISMS trotzdem nicht in 3 Tagen entsteht, erklären wir im Magazin.

Die DSGVO verlangt unabhängig von der Unternehmensgröße: ein Verarbeitungsverzeichnis nach Art. 30, technisch-organisatorische Maßnahmen nach Art. 32 (Verschlüsselung, Zugangskontrollen, Backup-Konzepte), Meldepflichten bei Datenpannen innerhalb von 72 Stunden, ein dokumentiertes Auftragsverarbeiter-Management und – ab 20 Mitarbeitenden mit regelmäßiger Datenverarbeitung – einen Datenschutzbeauftragten. Bußgelder reichen bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes.

Der Cyber Resilience Act erfasst Hersteller, Importeure und Händler aller Produkte mit digitalen Elementen, die im EU-Binnenmarkt vertrieben werden – Hardware, Software, IoT-Geräte und vernetzte Produkte. Ab Dezember 2027 ist eine CE-Kennzeichnung nach CRA verpflichtend; ohne sie verlieren Produkte ihre Marktzulassung. Meldepflichten für aktiv ausgenutzte Schwachstellen greifen bereits ab September 2026. Mehr im CRA-Leitfaden.

Die vier Regelwerke teilen sich rund 60–70 % der Maßnahmen: technisch-organisatorische Schutzmaßnahmen, Risikomanagement, Incident Response, Lieferkettensicherheit und Schulungen. Ein zertifiziertes ISMS nach ISO 27001 oder BSI IT-Grundschutz deckt einen Großteil der NIS-2-Pflichten ab; DSGVO-Vorgaben für TOM lassen sich integriert umsetzen. Eine Compliance-aus-einer-Hand-Strategie spart bis zu 50 % Aufwand gegenüber der getrennten Umsetzung.

Wissen Sie, wo Ihr Unternehmen steht?

In 15 Minuten wissen Sie, woran Sie sind: Welche Gesetze betreffen Sie? Wo bestehen Lücken? Und was sollten Sie als Erstes tun? Kostenfrei und unverbindlich.

Über 90 % unserer Erstgespräche führen zu einem konkreten Fahrplan – auch dann, wenn Sie sich gegen eine Zusammenarbeit entscheiden.