Pfad 03 · Sichern

ISO 27001 in 4–6 Monaten. Ohne neues Personal.

Der Notivia Compliance-Pfad bringt Sie zur ISO-27001-Zertifizierung — mit eigener ISMS-Plattform (iso-easy.de), externem ISB und 100 % Erfolgsquote im Erst-Audit. Kein zusätzlicher Compliance-Stab. Keine Papier-Tiger. Ein lebendes ISMS, das den Auditor überzeugt und danach weiterläuft.

Komplett-Festpreis ab 19.900 € zertifiziert in 4–6 Monaten · 100 % Erfolgsquote
Compliance-Pfad starten Wie er abläuft →
4–6 Monate bis Zertifikat 100 % Erfolgsquote (alle Kunden) iso-easy.de inkl. (500+ Vorlagen) Externer ISB sofort einsatzbereit
Das unsichtbare Problem

Kein eigenes Compliance-Team. Trotzdem ISO-pflichtig.

Mittelständler bekommen ISO 27001 selten freiwillig — sondern weil ein Großkunde, eine Cyberversicherung oder eine Ausschreibung es fordert. Dann steht die Frage: Wer macht das? Ein neuer ISB als Vollzeitstelle kostet 80–120 k€/Jahr. Eine Beratungs-Heuer ohne Plattform endet in PowerPoint-Wüste.

30%

Umsatz auf dem Spiel

„Unser größter Kunde fordert ISO 27001 — ohne Zertifikat fliegen wir aus dem Lieferanten-Pool.“ Diese Konstellation hören wir wöchentlich. 30 % oder mehr des Umsatzes hängen plötzlich an einem Zertifikat, das niemand intern bauen kann.

93

Controls ohne Ansatz

ISO 27001 Annex A hat 93 Kontrollen. Dazu kommen NIS-2, DORA, EU AI Act, je nach Branche. Im Mittelstand fragt die Geschäftsführung: „Wo fangen wir überhaupt an?“ Und die IT antwortet: „Nicht mein Job.“

6 Mo.

Berater ohne Ergebnis

Klassischer Beratungs-Schuss ins Knie: 6 Monate Workshop-Marathon, am Ende drei Aktenordner mit Policies, kein lauffähiges ISMS, kein Auditor in Sicht. Kostet 80 k€ aufwärts — ohne dass Sie näher am Zertifikat sind.

So läuft es ab

Vier Phasen. Plattform-gestützt. Auditfest.

Kein 500-Seiten-Handbuch. Kein Beratungs-Theater. Vier strukturierte Phasen mit klaren Artefakten — und Notivia + iso-easy.de als operativer Motor von Anfang bis Audit.

01
Monat 1 · Gap-Analyse & Scope

Wir messen, bevor wir dokumentieren.

Systematische Bestandsaufnahme: was existiert bereits? Wo sind die Lücken? Scope-Definition (welche Unternehmensbereiche fallen unter das ISMS). Erste 20 Quick-Wins, die ohne Aufwand gehen.

  • Gap-Analyse gegen ISO 27001:2022
  • Scope-Definition + Kontext der Organisation
  • Asset-Inventar (CIA-Bewertung)
  • 20 Quick-Wins (Tag 30)
02
Monat 2 · Risikomanagement & SoA

Wir bewerten, was wirklich bedroht ist.

Strukturierte Risikoanalyse pro Asset. Statement of Applicability (SoA) für alle 93 Annex-A-Controls — pragmatisch begründet, nicht überengineered. Behandlungspläne mit Verantwortlichkeiten.

  • Risikoregister (alle relevanten Risiken)
  • SoA — alle 93 Controls bewertet
  • Behandlungspläne (Owner + Termin)
  • Restrisiko-Akzeptanz durch GF
03
Monat 3–4 · ISMS-Implementierung

Wir bauen das System, das der Auditor sehen will.

Politiken, Verfahren, Arbeitsanweisungen — alles in iso-easy.de strukturiert. 500+ Vorlagen vorbestückt, nur Anpassung an Ihre Realität. Mitarbeiter-Awareness-Schulungen. Technische Maßnahmen umsetzen.

  • Komplette Dokumenten-Pyramide
  • Mitarbeiter-Awareness (Schulungen + Phishing-Simulation)
  • Technische Maßnahmen (IAM, Backup, Logging)
  • Internes Audit + Management-Review
04
Monat 5–6 · Audit-Vorbereitung & Stufe 1+2

Wir gehen mit Ihnen durch das Audit.

Auditor-Vorbereitung, Probe-Audits, Stage 1 + Stage 2 mit akkreditierter Stelle. Notivia begleitet aktiv — als externer ISB im Termin. 100 % Erfolgsquote in der Erstzertifizierung.

  • Audit-Readiness-Check
  • Stage 1 + Stage 2 mit akkreditierter Stelle
  • Externer ISB im Audit-Termin
  • Zertifikatsausstellung
Was Sie bekommen

Vier Artefakte. Auditfest. Wiederverwendbar.

Kein Beratungs-Ordner zum Verstauben. Vier konkrete Ergebnisse, die in Ihrem Unternehmen leben — vor, während und nach dem Audit.

ISMS in iso-easy.de

Komplettes Managementsystem in Ihrer Mandanten-Instanz auf iso-easy.de — Dashboard, 93 Controls, Risikomatrix, Dokumenten-Workflow, Aufgaben, Audit-Trail. Bleibt nach der Zertifizierung in Ihrem Besitz; Pflege & Re-Audit ohne uns möglich.

Statement of Applicability (SoA)

Alle 93 Annex-A-Controls einzeln bewertet — angewendet/begründet ausgeschlossen, mit Behandlungsplänen. Auditfähig. Wiederverwendbar für TISAX, ISO 27017, NIS-2-Erweiterungen.

Risiko-Register + Behandlungspläne

Strukturierte Risikobewertung mit Owner, Termin und Restrisiko-Akzeptanz. Quartalsmäßiges Review als Routine eingebaut — nicht als Stress-Termin.

Zertifikat ISO/IEC 27001:2022

Ausgestellt durch akkreditierte Stelle. Drei Jahre gültig. Inklusive Erfahrungswissen für Folge-Audits — Notivia bleibt bei Bedarf als externer ISB im Hintergrund.

Passt das zu uns?

Ehrlich gesagt: nicht für jeden.

Der Compliance-Pfad funktioniert dann, wenn gewisse Voraussetzungen erfüllt sind. Lieber einmal ehrlich sprechen.

Passt, wenn …

  • Sie 20–500 Mitarbeitende und keinen dedizierten ISB haben
  • Ein konkreter Treiber existiert (Kunde, Versicherung, Ausschreibung)
  • Sie das Audit innerhalb von 6–9 Monaten brauchen
  • Geschäftsführung 4–6 Stunden/Monat investiert
  • Sie ein lebendes ISMS wollen — nicht nur ein Zertifikat fürs Marketing

Passt nicht, wenn …

  • Sie schon einen voll aufgestellten Compliance-Stab haben
  • Sie eine andere Plattform als iso-easy.de zwingend brauchen
  • Sie nur ein Zertifikat zum Schein wollen — wir machen kein Theater
  • Sie kein Mandat für reale Veränderung in IT/Prozessen haben
  • Sie im Auditor-Termin Schauspielerei erwarten — wir vertreten nur, was tatsächlich existiert
Pricing

Festpreis. Komplett. Inklusive.

Keine Stundenzettel. Keine separaten Plattform-Lizenzen. Eine Rechnung — Beratung + ISMS-Plattform + externer ISB + Audit-Begleitung — bis zum Zertifikat.

ISO-27001-Pfad

Standard (bis 50 MA)

19.900 €
netto · Festpreis · 4–6 Monate
  • ISMS-Aufbau bis Zertifizierung
  • iso-easy.de inklusive (Mandanten-Instanz)
  • Externer ISB im Audit-Termin
  • Stage 1 + Stage 2 (akkreditierte Stelle)
  • 100 % Erfolgsquote-Garantie
  • Bis 50 MA, 1 Standort
ISO-27001-Pfad

Größer / Mehrere Standorte

ab 34.900 €
netto · Festpreis · 5–7 Monate
  • Alles aus Standard
  • Mehrere Standorte / Tochtergesellschaften
  • Bis 250 Mitarbeitende
  • Branchen-Erweiterungen (TISAX, NIS-2)
  • Workshops auf Standort-Ebene
  • Optionaler externer ISB (laufend, 980 €/Mo)

Erfolgsgarantie: Wenn Ihr Unternehmen das Stage-2-Audit nicht besteht und wir die Hauptursache verantworten, übernehmen wir den Re-Audit auf eigene Kosten. Diese Garantie haben wir noch nie einlösen müssen.

Häufige Fragen

Was uns oft gefragt wird.

Genau dafür ist Pfad 03 gemacht. Wir stellen den ISB extern (zertifiziert, erfahren) und übernehmen die Rolle bis zum Audit. Danach entweder: Sie bilden intern jemanden aus, oder wir bleiben als externer ISB an Bord (980 €/Monat).

Wir arbeiten mit klaren Meilensteinen. Wenn etwas wackelt, sehen Sie das früh — nicht erst zwei Wochen vor dem Audit. In 30+ Projekten haben wir die Frist immer gehalten oder den Audit-Termin proaktiv zwei Wochen vor verschoben (besser als durchfallen).

Geht auch SharePoint, kostet aber 3–4× soviel Berater-Zeit. iso-easy.de hat 500+ Vorlagen, 93 Annex-A-Controls vorbestückt, Risiko-Matrix, Audit-Trail, Mandantentrennung. Wer selbst baut, baut 6 Monate an Infrastruktur.

Akkreditierte Stelle (TÜV, DQS, BSI Cert, …) berechnet 8.000–15.000 € für Stage 1 + Stage 2 (50–250 MA). Das ist nicht im Festpreis enthalten — geht direkt vom Auditor an Sie. Wir beraten bei der Auditor-Auswahl.

Nein. Das ISMS auf iso-easy.de gehört Ihnen, die Dokumente gehören Ihnen, der Risiko-Register gehört Ihnen. Externer ISB läuft optional weiter (monatlich kündbar nach 12 Monaten). Volle Migration zu anderem Anbieter: jederzeit möglich.

Drei Dinge. Erstens: Wir haben eine eigene Plattform (iso-easy.de) — keine Lizenzkosten extra. Zweitens: Wir kommen aus Konzern-ISMS-Projekten (ZEISS, BAMAKA, …) — nicht aus dem Compliance-Studium. Drittens: Festpreis mit Erfolgsgarantie — Sie wissen vorher, was es kostet und wann das Zertifikat steht.

Kostenloses Erstgespräch

Lassen Sie uns kurz sprechen.

15–30 Minuten. Kein Pitch. Kein Sales-Funnel. Wir sehen gemeinsam, wo bei Ihnen Wert versickert — und wo der größte Hebel sitzt.

Antwort in 24 h 30-Min-Call kostenlos Direkt mit Murat Aygan Notivia GmbH · Stuttgart
Murat Aygan
Murat Aygan
Gründer · CTO/CAIO auf Zeit
30+ Jahre IT · eigene Projektverantwortung
  • Persönliche Antwort binnen 24 Stunden — kein Call-Center
  • Ehrliche Zeit- und Kostenschätzung, keine Verkaufsshow
  • Ich sage direkt, wenn wir nicht der richtige Partner sind
  • Notivia GmbH, Stuttgart — seit 2019 selbstständig

Lieber gleich einen Termin?

30-Min-Call direkt buchen

oder anrufen: +49 711 35 15 705

Anfrage senden

Schreiben Sie uns

Ein kurzer Hinweis auf Ihr Thema reicht. Wir melden uns persönlich zurück.

Ihre Daten werden vertraulich behandelt und nicht weitergegeben.
Was passiert nach dem Absenden?

Drei klare Schritte. Kein Rätselraten.

1

Innerhalb von 24 Stunden

Persönliche Antwort von mir — keine Auto-Mail, kein Vertriebs-Funnel. Bei Bedarf schlage ich gleich passende Termine vor.

2

15–30 Minuten Klärungscall

Wir hören kurz zu, stellen drei, vier Fragen und sagen Ihnen ehrlich, ob und wie wir helfen können. Ohne Präsentation.

3

Innerhalb einer Woche

Realistische Zeit- und Kostenschätzung mit konkreten nächsten Schritten — oder eine ehrliche Absage mit Empfehlung.

So läuft es ab

In vier Phasen zur Wahrheit.

Kein Consulting-Theater. Kein 50-Seiten-Deck. Vier strukturierte Phasen in zwei Wochen — mit klaren Artefakten am Ende jeder Etappe.

01
Tag 1–3 · Discovery

Wir hören zu, bevor wir reden.

Strukturierte Interviews mit Geschäftsführung, IT-Leitung und zwei, drei Fachbereichen. Ist-Aufnahme Ihrer Kernprozesse, Systeme und Schmerzen — ungefiltert, nicht gefärbt.

  • 4–6 Interviews à 60 Min
  • Prozess-Beobachtung vor Ort
  • System-Inventar
  • Dokumenten-Review
02
Tag 4–7 · Wertstrom-Mapping

Wir zeichnen auf, wo Wert wirklich entsteht.

Ihre Geschäftsprozesse übersetzt in Value Streams — vom Kunden-Touchpoint bis zur Rechnungsstellung. Jeder Stream technisch gekoppelt an die beteiligten Systeme. Sichtbar werden Brüche, Schleifen und Sackgassen.

  • 3–5 End-to-End-Wertströme
  • System-Touchpoint-Matrix
  • Break-Point-Identifikation
  • Daten-Flow-Analyse
03
Tag 8–11 · Vernichter-Priorisierung

Wir quantifizieren die Lecks.

Jeder identifizierte Wertvernichter bekommt eine Hausnummer: Wie viel kostet er pro Jahr? Wie groß wäre der Hebel? Welche Abhängigkeiten sind zu beachten? Am Ende: eine priorisierte Liste nach Aufwand/Wirkung.

  • €-Schätzung pro Vernichter
  • Aufwand-Wirkung-Matrix
  • Strategie-Abgleich
  • Compliance-Querbezüge
04
Tag 12–14 · Roadmap & Präsentation

Wir übergeben einen Fahrplan, keine Folien.

Konkrete 3-Monats-Roadmap mit umsetzbaren Schritten — welche Vernichter zuerst, mit welchen Ressourcen, in welcher Reihenfolge. 90-Minuten-Live-Präsentation vor Ihrer Geschäftsführung. Kein Sales. Nur Substanz.

  • 3-Monats-Roadmap
  • 90-Min GF-Präsentation
  • Übergabe aller Artefakte
  • Q&A mit Fachbereichen
Kostenloses Erstgespräch

Lassen Sie uns kurz sprechen.

15–30 Minuten. Kein Pitch. Kein Sales-Funnel. Wir sehen gemeinsam, wo bei Ihnen Wert versickert — und wo der größte Hebel sitzt.

Antwort in 24 h 30-Min-Call kostenlos Direkt mit Murat Aygan Notivia GmbH · Stuttgart
Murat Aygan
Murat Aygan
Gründer · CTO/CAIO auf Zeit
30+ Jahre IT · eigene Projektverantwortung
  • Persönliche Antwort binnen 24 Stunden — kein Call-Center
  • Ehrliche Zeit- und Kostenschätzung, keine Verkaufsshow
  • Ich sage direkt, wenn wir nicht der richtige Partner sind
  • Notivia GmbH, Stuttgart — seit 2019 selbstständig

Lieber gleich einen Termin?

30-Min-Call direkt buchen

oder anrufen: +49 711 35 15 705

Anfrage senden

Schreiben Sie uns

Ein kurzer Hinweis auf Ihr Thema reicht. Wir melden uns persönlich zurück.

Ihre Daten werden vertraulich behandelt und nicht weitergegeben.
Was passiert nach dem Absenden?

Drei klare Schritte. Kein Rätselraten.

1

Innerhalb von 24 Stunden

Persönliche Antwort von mir — keine Auto-Mail, kein Vertriebs-Funnel. Bei Bedarf schlage ich gleich passende Termine vor.

2

15–30 Minuten Klärungscall

Wir hören kurz zu, stellen drei, vier Fragen und sagen Ihnen ehrlich, ob und wie wir helfen können. Ohne Präsentation.

3

Innerhalb einer Woche

Realistische Zeit- und Kostenschätzung mit konkreten nächsten Schritten — oder eine ehrliche Absage mit Empfehlung.

← Zurück zur Startseite