Häufig gestellte Fragen

Allgemeine Fragen zur Beratung

Zunächst führen wir ein unverbindliches Erstgespräch durch, um Ihr Unternehmen und Ihre Ziele kennenzulernen. Danach folgt eine Gap-Analyse, in der wir bestehende Prozesse und Richtlinien bewerten. Anschließend erarbeiten wir gemeinsam eine Roadmap mit klaren Maßnahmen und Verantwortlichkeiten. Das Ziel: Ein praxisorientiertes, zertifizierungsfähiges Managementsystem, das im Alltag funktioniert und nicht nur für den Auditor gebaut ist.

Typischerweise dauert die Einführung eines ISO/IEC 27001-Systems zwischen 4 und 9 Monaten.

Kleine Unternehmen mit klaren Prozessen können schneller zertifizierungsbereit sein, während größere Organisationen mit mehreren Standorten oder komplexen IT-Strukturen etwas mehr Zeit benötigen. Wir planen den Ablauf so, dass Sie Schritt für Schritt Ergebnisse erzielen, ohne den laufenden Betrieb zu beeinträchtigen.

Wir begleiten Sie flexibel – ob punktuell bei einzelnen Themen oder ganzheitlich bis zur Zertifizierung.

Die Kosten richten sich nach Umfang, Größe und Reifegrad Ihres Unternehmens. Eine erste Einschätzung geben wir Ihnen gerne kostenlos im Rahmen eines Erstgesprächs.

Wir arbeiten modular und transparent: Sie zahlen nur für das, was Sie tatsächlich benötigen.

  • Für kleine Unternehmen kann eine gezielte ISO 27001- oder TISAX-Implementierung bereits im mittleren vierstelligen Bereich starten.
  • Für größere Organisationen, die mehrere Normen integrieren (z. B. ISO 27001, 9001 und 45001), kalkulieren wir gemeinsam ein realistisches Budget.

Die Zertifizierungskosten selbst hängen vom gewählten Zertifizierer (z. B. TÜV Austria, TÜV Süd, Quality Austria) ab – typischerweise ab 4.000 € aufwärts. Wir helfen Ihnen, den passenden Zertifizierer auszuwählen und optimal vorzubereiten, damit keine Nachaudits oder Zusatzkosten entstehen.

Ja. Viele Aufgaben in Projekten lassen sich online durchführen – über sichere Videokonferenzen, gemeinsame Dokumentenräume und strukturierte Checklisten. Das spart Zeit und Reisekosten – und funktioniert auch international.

Natürlich sind Vor-Ort-Termine sinnvoll, gerade bei Ganztagesterminen, internen Audits oder sensiblen Themen.

Wir kombinieren das Beste aus beiden Welten: digitale Effizienz & persönliche Betreuung.

Das erste Beratungsgespräch ist für Sie kostenlos und völlig unverbindlich. Wir klären gemeinsam, welche Themen für Sie relevant sind und wie ein sinnvoller Projektumfang aussehen könnte. Erst danach erhalten Sie ein transparentes, individuelles Angebot.

In 20 bis 30 Minuten besprechen wir remote Ihre Ausgangslage, offene Fragen und mögliche nächste Schritte. Sie erhalten sofort einen Überblick, welche Anforderungen für Sie gelten (z. B. NIS2 Pflichten, ISO 27001 Umfang oder TISAX Label) und wo Sie aktuell stehen.

Alle Informationen werden streng vertraulich behandelt. Bei sensiblen Projekten schließen wir auf Wunsch vorab eine Verschwiegenheitsvereinbarung (NDA) ab. Datensicherheit und Vertraulichkeit sind für uns selbstverständlich.

ISO/IEC 27001 (Informationssicherheitsmanagement)

Die ISO/IEC 27001 ist der internationale Standard für ein Informationssicherheitsmanagementsystem (ISMS). Sie definiert, wie Unternehmen den Schutz ihrer Informationen systematisch aufbauen, umsetzen und verbessern.

Konkret bedeutet das:

  • Risiken erkennen und bewerten
  • geeignete technische & organisatorische Maßnahmen treffen
  • Verantwortlichkeiten klar definieren
  • kontinuierlich überwachen und verbessern

Ein ISMS nach ISO 27001 ist mehr als IT-Sicherheit – es schafft Vertrauen bei Kunden, Partnern und Behörden, reduziert Haftungsrisiken und ist oft Voraussetzung für Ausschreibungen oder Kooperationen.

  1. Analyse & Planung – Wir prüfen bestehende Strukturen und erstellen eine Roadmap.
  2. Aufbau des ISMS – Erstellung von Richtlinien, Risikoanalyse, Awareness-Maßnahmen.
  3. Interne Audits & Managementbewertung – Nachweis der Wirksamkeit.
  4. Zertifizierung – Der externe Auditor prüft die Umsetzung.
  5. Jährliche Überwachungsaudits – Wir begleiten Sie bei der kontinuierlichen Verbesserung.

Wir begleiten Sie über den gesamten Prozess – von der ersten Richtlinie bis zum finalen Auditbericht.

Nein. Viele Unternehmen setzen ISO 27001 um, ohne eine Zertifizierung anzustreben – etwa, um Strukturen aufzubauen, Risiken zu reduzieren oder Kundenanforderungen zu erfüllen. Eine Zertifizierung ist vor allem dann sinnvoll, wenn Sie:

  • gegenüber Kunden Nachweise erbringen müssen,
  • an Ausschreibungen teilnehmen,
  • oder Ihre Sicherheitsreife offiziell bestätigen wollen.

TISAX® (Trusted Information Security Assessment Exchange)

TISAX® ist der von der Automobilindustrie anerkannte Standard zur Bewertung der Informationssicherheit. Er basiert auf ISO/IEC 27001 und dem VDA-ISA-Katalog (Downloads · ENX Portal) Viele Automobilhersteller (OEMs) (z. B. BMW, VW, Mercedes, Magna) verlangen ein gültiges TISAX-Label als Voraussetzung für die Zusammenarbeit.

Ein TISAX®-Projekt startet mit einer Gap-Analyse, um den aktuellen Stand der Informationssicherheit mit den TISAX®-Anforderungen zu vergleichen. Darauf folgt die Umsetzung der notwendigen organisatorischen und technischen Maßnahmen, um erkannte Lücken zu schließen. Nach Abschluss der internen Vorbereitung erfolgt das offizielle TISAX-Assessment durch einen akkreditierten Prüfdienstleister – je nach Assessment Level entweder vor Ort oder remote.

TISAX® fordert von Unternehmen den Nachweis eines wirksamen Informationssicherheitsmanagements. Dazu müssen organisatorische und technische Maßnahmen umgesetzt und dokumentiert werden – unter anderem zu Zugriffskontrolle, Netzwerksicherheit, Prototypenschutz, Datenträgerverwaltung und Lieferantenmanagement. Das Ziel ist, ein prüfbares, standardisiertes Sicherheitsniveau zu erreichen, das von Kunden und Partnern anerkannt wird.

Ein TISAX®-Label gilt in der Regel drei Jahre.

ISO 27001 ist international und branchenübergreifend, TISAX® hingegen spezifisch für die Automobilindustrie. TISAX® nutzt die ISO-Grundlagen, ergänzt sie aber um branchenspezifische Anforderungen (z. B. Prototypenschutz).

NIS2 (EU-Richtlinie zur Netz- und Informationssicherheit)

Die NIS2-Richtlinie gilt für Unternehmen, die wichtige oder kritische Dienstleistungen erbringen – etwa in den Bereichen Energie, Verkehr, IT, Gesundheit, Produktion oder öffentliche Verwaltung. Auch mittelständische Unternehmen können betroffen sein, wenn sie eine wichtige Rolle in der Lieferkette spielen oder bestimmte Größenkriterien erfüllen.

Unternehmen müssen ein systematisches Cybersicherheits-Management einführen. Dazu gehören:

  • Risikobewertungen und regelmäßige Sicherheitsanalysen
  • Technische und organisatorische Schutzmaßnahmen
  • Notfall- und Meldeprozesse bei Sicherheitsvorfällen
  • Schulungen und Sensibilisierung der Mitarbeitenden.

Die Geschäftsführung trägt die Verantwortung für die Umsetzung und Einhaltung dieser Anforderungen.

Ein praxisbewährter Weg besteht aus vier Schritten:

  • Betroffenheitsanalyse – Prüfen, ob das Unternehmen unter NIS2 fällt
  • Gap-Analyse – Bestehende Sicherheitsmaßnahmen mit den NIS2-Anforderungen vergleichen
  • Maßnahmenplanung – Lücken schließen und Verantwortlichkeiten festlegen
  • Implementierung – Technische und organisatorische Maßnahmen umsetzen

Tipp: Eine Kombination von NIS2 mit ISO/IEC 27001 spart Aufwand und schafft ein strukturiertes, auditfähiges Sicherheitsmanagement.

NIS2 baut auf der ersten NIS-Richtlinie auf, geht aber deutlich weiter:

  • Mehr Branchen und Unternehmen fallen darunter
  • Höhere Sicherheitsanforderungen und strengere Meldepflichten
  • Klare Haftungsregeln für das Management

Kurz gesagt: NIS2 sorgt für mehr Verbindlichkeit und ein höheres Sicherheitsniveau in der gesamten EU.

Interne Audits

Ein internes Audit ist eine systematische und unabhängige Überprüfung, ob ein Managementsystem die Anforderungen der jeweiligen Norm (z. B. ISO 9001, ISO 14001, ISO 45001, ISO/IEC 27001, TISAX oder NIS2) korrekt umgesetzt und wirksam betrieben wird. Ziel ist es nicht, „Fehler zu finden“, sondern Verbesserungspotenziale zu erkennen und sicherzustellen, dass Prozesse effizient, normkonform und praxisgerecht funktionieren.

Interne Audits sind ein Pflichtbestandteil aller Managementsysteme und dienen mehreren zentralen Zwecken:

  • Nachweis der Normerfüllung gegenüber Zertifizierungsstellen oder Behörden
  • Frühzeitige Erkennung von Schwachstellen in Prozessen oder Sicherheitsmaßnahmen
  • Vorbereitung auf externe Audits (Zertifizierung, Überwachung, Kundenaudits)
  • Schaffung von Transparenz für Führungskräfte und Mitarbeitende
  • Förderung einer Kultur der kontinuierlichen Verbesserung (KVP)

Ein gut durchgeführtes internes Audit stärkt das Vertrauen in das Managementsystem und verbessert die Gesamtleistung des Unternehmens.

Ja. Wir führen interne Audits nach ISO 27001, ISO 9001, ISO 45001 oder TISAX durch – unabhängig, objektiv und praxisnah. Dabei prüfen wir nicht nur Dokumente, sondern auch Prozesse, Wirksamkeit und Verbesserungspotenzial. Sie erhalten anschließend einen vollständigen Auditbericht inklusive Maßnahmenplan.

Auditorinnen und Auditoren müssen unabhängig, objektiv und qualifiziert sein. Das bedeutet: Sie dürfen nicht ihre eigene Tätigkeit auditieren und sollten eine Audit-Ausbildung (z. B. nach ISO 19011) sowie Kenntnisse der relevanten Norm besitzen.

Integrierte Managementsysteme (IMS)

Ein IMS vereint mehrere Managementsysteme – z. B. Qualität (ISO 9001), Umwelt (ISO 14001), Arbeitsschutz (ISO 45001), Informationssicherheit (ISO/IEC 27001), TISAX® oder NIS2 – in einem gemeinsamen System. Ziel ist eine einheitliche, effiziente und strukturierte Steuerung aller Anforderungen in einem einzigen Rahmenwerk, statt paralleler Einzelsysteme.

Ein IMS bringt zahlreiche Vorteile:

  • Synergieeffekte durch gemeinsame Prozesse, Ziele und Dokumentation
  • Reduzierter Auditaufwand – ein kombiniertes Audit deckt mehrere Normen ab
  • Weniger Doppelarbeit bei Risikoanalysen, Schulungen und Managementbewertungen
  • Ganzheitliche Unternehmenssteuerung: Qualität, Umwelt, Sicherheit und Informationssicherheit werden vernetzt betrachtet

Kurz gesagt: Ein IMS spart Zeit, Kosten und Ressourcen – und erhöht gleichzeitig die Transparenz und Wirksamkeit des gesamten Systems.

Nahezu alle Managementsysteme mit der High Level Structure (HLS) können problemlos kombiniert werden, z. B.:

  • ISO 9001 – Qualitätsmanagement
  • ISO 14001 – Umweltmanagement
  • ISO 45001 – Arbeitsschutz- und Gesundheitsmanagement
  • ISO/IEC 27001 – Informationssicherheitsmanagement
  • TISAX® – Informationssicherheitsstandard der Automobilindustrie
  • NIS2 – EU-Richtlinie zur Netz- und Informationssicherheit

Interne Audits im IMS prüfen mehrere Normen gleichzeitig. Ein Audit kann z.B. Qualität (ISO 9001), Umwelt (ISO 14001) und Arbeitsschutz (ISO 45001) gemeinsam betrachten – mit klaren Fragestellungen zu jeder Norm.

  • Leitlinien & Politik (integrierte Unternehmenspolitik)
  • Ziel- und Kennzahlensystem
  • Risikomanagement und Chancenbewertung
  • Dokumentenlenkung & Wissensmanagement
  • Kommunikations- und Schulungskonzepte
  • Managementbewertung & Auditprogramm

Datenschutz & DSGVO

Wir helfen Unternehmen, die Anforderungen der Datenschutz-Grundverordnung (DSGVO) praxisgerecht umzusetzen:

  • Erstellung der Datenschutzorganisation
  • Verzeichnis der Verarbeitungstätigkeiten
  • Datenschutz-Folgenabschätzungen
  • Auftragsverarbeitungsverträge
  • Schulungen und Awareness

Auf Wunsch stellen wir auch einen externen Datenschutzbeauftragten.

Perfekt: Datenschutz schützt personenbezogene Daten rechtlich, Informationssicherheit schützt alle Informationen technisch und organisatorisch. Gemeinsam bilden sie eine starke Einheit, die Risiken minimiert, Compliance stärkt und Vertrauen schafft. Wir integrieren beide Bereiche nahtlos in ein einheitliches System.

Awareness & Schulungen

Über 80 % aller Sicherheitsvorfälle entstehen durch menschliches Fehlverhalten – z. B. durch Phishing, unsichere Passwörter oder mangelndes Bewusstsein. Awareness-Trainings sensibilisieren Mitarbeitende, erkennen Risiken frühzeitig und stärken die Sicherheitskultur.

Wir bieten:

  • interaktive Präsenz-Workshops
  • E-Learnings & Online-Module
  • Trainings für unterschiedliche Zielgruppen wie Management, IT, HR,..

Mindestens einmal jährlich, ergänzt durch kurze Impulse über das Jahr (z. B. Newsletter, Micro-Trainings oder Phishing-Kampagnen). Wichtig ist Kontinuität – einmalige Schulungen verpuffen schnell. Wir helfen, ein dauerhaftes Awareness-Programm aufzubauen.

ISO 45001 (Arbeitsschutz- und Gesundheitsmanagement)

ISO 45001 ist der internationale Standard für Arbeits- und Gesundheitsschutzmanagement. Er unterstützt Unternehmen dabei, Arbeitsunfälle, Berufskrankheiten und Gesundheitsrisiken systematisch zu vermeiden.

Ziel ist ein sicherer, gesunder und motivierender Arbeitsplatz, an dem Mitarbeitende langfristig leistungsfähig bleiben.

Ja – ISO 45001 lässt sich ideal mit ISO 9001 (Qualität) und ISO 14001 (Umwelt) kombinieren. So entsteht ein integriertes Managementsystem (IMS), das Qualität, Umwelt und Arbeitsschutz gemeinsam steuert und Doppelaufwand vermeidet.

ISO 14001 (Umweltmanagementsystem)

ISO 14001 ist der weltweit anerkannte Standard für Umweltmanagement. Er hilft Unternehmen, ihre Umweltauswirkungen zu kontrollieren, Ressourcen zu schonen und gesetzliche Umweltvorgaben sicher einzuhalten. Ziel ist ein nachhaltiger und effizienter Unternehmensbetrieb.

Nein, sie ist freiwillig, wird jedoch in vielen Branchen von Kunden, Auftraggebern oder Behörden erwartet. Zudem ist sie ein anerkanntes Gütesiegel für aktiven Umweltschutz und nachhaltiges Wirtschaften.

Haben Sie noch weitere Fragen?

Wir beantworten sie gerne persönlich.

Kontakt aufnehmen
Scroll to Top