ISO 27001 in 4–6 Monaten. Ohne neues Personal.
Der Notivia Compliance-Pfad bringt Sie zur ISO-27001-Zertifizierung — mit eigener ISMS-Plattform (iso-easy.de), externem ISB und 100 % Erfolgsquote im Erst-Audit. Kein zusätzlicher Compliance-Stab. Keine Papier-Tiger. Ein lebendes ISMS.
Kein eigenes Compliance-Team. Trotzdem ISO-pflichtig.
Mittelständler bekommen ISO 27001 selten freiwillig — sondern weil ein Großkunde, eine Cyberversicherung oder eine Ausschreibung es fordert. Dann steht die Frage: Wer macht das? Ein neuer ISB als Vollzeitstelle kostet 80–120 k€/Jahr. Eine Beratungs-Heuer ohne Plattform endet in PowerPoint-Wüste.
Umsatz auf dem Spiel
„Unser größter Kunde fordert ISO 27001 — ohne Zertifikat fliegen wir aus dem Lieferanten-Pool.“ Diese Konstellation hören wir wöchentlich. 30 % oder mehr des Umsatzes hängen plötzlich an einem Zertifikat.
Controls ohne Ansatz
ISO 27001 Annex A hat 93 Kontrollen. Dazu kommen NIS-2, DORA, EU AI Act, je nach Branche. Im Mittelstand fragt die Geschäftsführung: „Wo fangen wir überhaupt an?“ Und die IT antwortet: „Nicht mein Job.“
Berater ohne Ergebnis
Klassischer Schuss ins Knie: 6 Monate Workshop-Marathon, am Ende drei Aktenordner mit Policies, kein lauffähiges ISMS, kein Auditor in Sicht. Kostet 80 k€ aufwärts — ohne dass Sie näher am Zertifikat sind.
Vier Phasen. Plattform-gestützt. Auditfest.
Kein 500-Seiten-Handbuch. Kein Beratungs-Theater. Vier strukturierte Phasen mit klaren Artefakten — und Notivia + iso-easy.de als operativer Motor von Anfang bis Audit.
Wir messen, bevor wir dokumentieren.
Systematische Bestandsaufnahme: was existiert bereits? Wo sind die Lücken? Scope-Definition (welche Unternehmensbereiche fallen unter das ISMS). Erste 20 Quick-Wins, die ohne Aufwand gehen.
- Gap-Analyse gegen ISO 27001:2022
- Scope-Definition + Kontext der Organisation
- Asset-Inventar (CIA-Bewertung)
- 20 Quick-Wins (Tag 30)
Wir bewerten, was wirklich bedroht ist.
Use-Case-Bewertung in 8 Dimensionen (Wert, Daten, Recht, Akzeptanz, Tech-Fit, Skalierung, Risiko, Time-to-Value). Aus 30 Ideen wird ein produktiver Use-Case + 2 Folgekandidaten. Architektur-Skizze: On-Premise, Cloud oder hybrid.
- Risikoregister (alle relevanten Risiken)
- SoA — alle 93 Controls bewertet
- Behandlungspläne (Owner + Termin)
- Restrisiko-Akzeptanz durch GF
Wir bauen das System, das der Auditor sehen will.
Politiken, Verfahren, Arbeitsanweisungen — alles in iso-easy.de strukturiert. 500+ Vorlagen vorbestückt, nur Anpassung an Ihre Realität. Mitarbeiter-Awareness-Schulungen. Technische Maßnahmen umsetzen.
- Komplette Dokumenten-Pyramide
- Mitarbeiter-Awareness (Schulungen + Phishing)
- Technische Maßnahmen (IAM, Backup, Logging)
- Internes Audit + Management-Review
Wir gehen mit Ihnen durch das Audit.
Auditor-Vorbereitung, Probe-Audits, Stage 1 + Stage 2 mit akkreditierter Stelle. Notivia begleitet aktiv — als externer ISB im Termin. 100 % Erfolgsquote in der Erstzertifizierung.
- Audit-Readiness-Check
- Stage 1 + Stage 2 (akkreditierte Stelle)
- Externer ISB im Audit-Termin
- Zertifikatsausstellung
Vier Artefakte. Auditfest. Wiederverwendbar.
Kein Beratungs-Ordner zum Verstauben. Vier konkrete Ergebnisse, die in Ihrem Unternehmen leben — vor, während und nach dem Audit.
ISMS in iso-easy.de
Komplettes Managementsystem in Ihrer Mandanten-Instanz auf iso-easy.de — Dashboard, 93 Controls, Risikomatrix, Dokumenten-Workflow, Aufgaben, Audit-Trail. Bleibt nach der Zertifizierung in Ihrem Besitz; Pflege & Re-Audit ohne uns möglich.
Statement of Applicability (SoA)
Alle 93 Annex-A-Controls einzeln bewertet — angewendet/begründet ausgeschlossen, mit Behandlungsplänen. Auditfähig. Wiederverwendbar für TISAX, ISO 27017, NIS-2-Erweiterungen.
Risiko-Register + Behandlungspläne
Strukturierte Risikobewertung mit Owner, Termin und Restrisiko-Akzeptanz. Quartalsmäßiges Review als Routine eingebaut — nicht als Stress-Termin.
Zertifikat ISO/IEC 27001:2022
Ausgestellt durch akkreditierte Stelle. Drei Jahre gültig. Inklusive Erfahrungswissen für Folge-Audits — Notivia bleibt bei Bedarf als externer ISB im Hintergrund.
Ehrlich gesagt: nicht für jeden.
Der Compliance-Pfad funktioniert dann, wenn gewisse Voraussetzungen erfüllt sind. Lieber einmal ehrlich sprechen.
Passt, wenn …
- Sie 20–500 Mitarbeitende und keinen dedizierten ISB haben
- Ein konkreter Treiber existiert (Kunde, Versicherung, Ausschreibung)
- Sie das Audit innerhalb von 6–9 Monaten brauchen
- Geschäftsführung 4–6 Stunden/Monat investiert
- Sie ein lebendes ISMS wollen — nicht nur ein Zertifikat fürs Marketing
Passt nicht, wenn …
- Sie schon einen voll aufgestellten Compliance-Stab haben
- Sie eine andere Plattform als iso-easy.de zwingend brauchen
- Sie nur ein Zertifikat zum Schein wollen — wir machen kein Theater
- Sie kein Mandat für reale Veränderung in IT/Prozessen haben
- Sie im Auditor-Termin Schauspielerei erwarten — wir vertreten nur, was existiert
Festpreis. Komplett. Inklusive.
Keine Stundenzettel. Keine separaten Plattform-Lizenzen. Eine Rechnung — Beratung + ISMS-Plattform + externer ISB + Audit-Begleitung — bis zum Zertifikat.
Standard (bis 50 MA)
- ISMS-Aufbau bis Zertifizierung
- iso-easy.de inklusive (Mandanten-Instanz)
- Externer ISB im Audit-Termin
- Stage 1 + Stage 2 (akkreditierte Stelle)
- 100 % Erfolgsquote-Garantie
- Bis 50 MA, 1 Standort
Fragen Sie an für ein individuelles Angebot
Größer / Mehrere Standorte
- Alles aus Standard
- Mehrere Standorte / Tochtergesellschaften
- Bis 250 Mitarbeitende
- Branchen-Erweiterungen (TISAX, NIS-2)
- Workshops auf Standort-Ebene
- 100 % anrechenbar auf Folgeprojekt
Fragen Sie an für ein individuelles Angebot
Was uns oft gefragt wird.
Genau dafür ist Pfad 03 gemacht. Wir stellen den ISB extern (zertifiziert, erfahren) und übernehmen die Rolle bis zum Audit. Danach entweder: Sie bilden intern jemanden aus, oder wir bleiben als externer ISB an Bord (980 €/Monat).
Wir arbeiten mit klaren Meilensteinen. Wenn etwas wackelt, sehen Sie das früh — nicht erst zwei Wochen vor dem Audit. In 30+ Projekten haben wir die Frist immer gehalten oder den Audit-Termin proaktiv zwei Wochen vor verschoben.
Geht auch SharePoint, kostet aber 3–4× soviel Berater-Zeit. iso-easy.de hat 500+ Vorlagen, 93 Annex-A-Controls vorbestückt, Risiko-Matrix, Audit-Trail, Mandantentrennung. Wer selbst baut, baut 6 Monate an Infrastruktur.
Akkreditierte Stelle (TÜV, DQS, BSI Cert, …) berechnet 8.000–15.000 € für Stage 1 + Stage 2 (50–250 MA). Das ist nicht im Festpreis enthalten — geht direkt vom Auditor an Sie. Wir beraten bei der Auditor-Auswahl.
Nein. Das ISMS auf iso-easy.de gehört Ihnen, die Dokumente gehören Ihnen, der Risiko-Register gehört Ihnen. Externer ISB läuft optional weiter (monatlich kündbar nach 12 Monaten). Volle Migration zu anderem Anbieter: jederzeit möglich.
Drei Dinge. Erstens: Wir haben eine eigene Plattform (iso-easy.de) — keine Lizenzkosten extra. Zweitens: Wir kommen aus Konzern-ISMS-Projekten (ZEISS, BAMAKA, …) — nicht aus dem Compliance-Studium. Drittens: Festpreis — Sie wissen vorher, was es kostet und wann das Zertifikat steht.
Lassen Sie uns kurz sprechen.
15–30 Minuten. Kein Pitch. Kein Sales-Funnel. Wir sehen gemeinsam, wo bei Ihnen Wert versickert — und wo der größte Hebel sitzt.
- Persönliche Antwort binnen 24 Stunden — kein Call-Center
- Ehrliche Zeit- und Kostenschätzung, keine Verkaufsshow
- Ich sage direkt, wenn wir nicht der richtige Partner sind
- Notivia GmbH, Stuttgart — seit 2019 selbstständig
Schreiben Sie uns
Ein kurzer Hinweis auf Ihr Thema reicht. Wir melden uns persönlich zurück.
Drei klare Schritte. Kein Rätselraten.
Innerhalb von 24 Stunden
Persönliche Antwort von mir — keine Auto-Mail, kein Vertriebs-Funnel. Bei Bedarf schlage ich gleich passende Termine vor.
15–30 Minuten Klärungscall
Wir hören kurz zu, stellen drei, vier Fragen und sagen Ihnen ehrlich, ob und wie wir helfen können. Ohne Präsentation.
Innerhalb einer Woche
Realistische Zeit- und Kostenschätzung mit konkreten nächsten Schritten — oder eine ehrliche Absage mit Empfehlung.
