In der neuen Folge des syracom-Podcasts „Security first – Kaffee zweitens“ waren David Pelchen und Daniel Volkhardt von der Q-SOFT GmbH zu Gast bei syracom in Wiesbaden. Gemeinsam sprechen die vier Kollegen in zwei Folgen über die strategische und operative Bedeutung von Informationssicherheitsmanagementsystemen (ISMS).
Die Doppelfolge „ISMS: Sicherheit beginnt nicht erst in der IT“ macht klar: Ein ISMS ist kein IT-Projekt „on top“ und weit mehr als eine ISO-27001-Zertifizierung. Richtig verstanden ist es ein strategisches Managementsystem, das Risiken strukturiert steuert und Informationssicherheit nachhaltig in der Organisation verankert.
Cyberangriffe, regulatorische Anforderungen und steigende Erwartungen von Kunden und Partnern machen Informationssicherheit zu einem geschäftskritischen Erfolgsfaktor. Ein ISMS nach ISO 27001 oder branchenspezifischen Standards wie TISAX schafft dafür einen belastbaren Rahmen: Risiken werden systematisch identifiziert und bewertet, Verantwortlichkeiten klar definiert, Maßnahmen priorisiert und Sicherheitsprozesse kontinuierlich verbessert.
In der Praxis scheitert ein ISMS jedoch selten an der Technik, sondern häufig an fehlender Governance, unklaren Rollen oder an einem System, das zwar dokumentiert ist, aber nicht gelebt wird. Genau hier setzt die Management-Perspektive an: Informationssicherheit braucht eindeutige Verantwortlichkeiten, klare Entscheidungswege und eine Steuerung, die sich in bestehende Abläufe integriert.
Ein wirksames ISMS zahlt direkt auf unternehmerische Ziele ein. Es erhöht Marktchancen, weil ISO 27001 in vielen Branchen Voraussetzung für Ausschreibungen und Partnerschaften ist. Es stärkt Kundenvertrauen und kann Vertriebszyklen verkürzen. Zudem reduziert es finanzielle Risiken, etwa durch die Vermeidung von Sicherheitsvorfällen, Betriebsunterbrechungen oder Bußgeldern. Und es schafft effizientere Prozesse, weil klare Governance-Strukturen Reibungsverluste und Doppelaufwände verringern.
Teil 1:
Teil 2:
Wir unterstützen Sie dabei, Ihren aktuellen Reifegrad korrekt einzuordnen, Handlungsfelder zu identifizieren, Maßnahmen sinnvoll zu priorisieren und ein wirksames, nachhaltiges Informationssicherheits-Managementsystem aufzubauen.
Mit der NIS2-Richtlinie rücken IT-Sicherheit und Cyberresilienz endgültig in den Fokus des Gesundheitswesens. Krankenhäuser stehen vor der Herausforderung, umfassende Anforderungen umzusetzen: dauerhaft, sanktionsbewehrt und unter hoher Verantwortung der Geschäftsführung. Dr. Michael Ullmann erläutert im Interview, warum NIS2 keinen Aufschub mehr duldet, wie Künstliche Intelligenz die Umsetzung unterstützen kann und was jetzt zu tun ist.
Kurz gesagt: fast alles. Die Zeiten selektiver Regulierung sind vorbei. Mit NIS2 sind nahezu alle Krankenhäuser in Deutschland betroffen, unabhängig von Bettenzahl oder KRITIS-Einstufung. Entscheidend ist künftig die Unternehmensgröße, also insbesondere die Anzahl der Mitarbeiter. Das bedeutet: Cybersicherheit wird zur verpflichtenden Daueraufgabe. Die Geschäftsleitung trägt die Verantwortung persönlich und kann sie nicht delegieren.
Es geht nicht nur um technische Schutzmaßnahmen, sondern um ein umfassendes Sicherheits- und Governance-Framework. Dazu zählen unter anderem Risikobewertungen, Business-Continuity-Konzepte, Meldepflichten bei Vorfällen, Absicherung der Lieferketten, kontinuierliche Schulungen und vor allem: eine lückenlose Dokumentation. Krankenhäuser müssen jederzeit nachweisen können, dass sie compliant sind, auch ohne konkreten Vorfall.
Weil der Aufwand enorm ist. Die initialen Kosten nur für die Umsetzung der B3S-Richtlinien liegen laut Studien im ersten Jahr der Umsetzung schon bei bis zu zwei Millionen Euro pro Krankenhaus. Die NIS-2-Umsetzung wird geschätzt noch teurer werden. Hinzu kommen laufende Aufwände, personelle Engpässe und fehlende Erfahrung mit regulatorischen Anforderungen auf diesem Niveau. Klassische, meist manuelle Ansätze stoßen da schnell an Grenzen: Sie sind nicht skalierbar, nicht wirtschaftlich und liefern der Führungsebene kaum verwertbare Steuerungsgrundlagen.
KI-gestützte Systeme ermöglichen erstmals eine strukturierte, konsistente und reproduzierbare Auswertung regulatorischer Anforderungen. Konkret heißt das: Wir können große Mengen an Richtlinien, SOPs, Risikoanalysen oder Vertragsdokumenten automatisch analysieren, mit den Anforderungen aus NIS2 abgleichen und aufzeigen, wo Lücken bestehen. Damit schaffen wir Transparenz, reduzieren den manuellen Aufwand und liefern eine belastbare Grundlage für Entscheidungen.
Ja – unser „Regulatorik-Radar“ ist genau dafür entwickelt worden. Es handelt sich um eine KI-gestützte Lösung, die auf Basis eines mehrstufigen Agentenansatzes regulatorische Anforderungen mit vorliegenden Krankenhausdokumenten abgleicht. Die Ergebnisse sind nachvollziehbar begründet, referenzieren direkt auf relevante Stellen in den Dokumenten und unterstützen bei Reporting, Audit-Vorbereitung und Priorisierung. Der Mensch bleibt im Loop, aber er wird entlastet und besser informiert.
Ganz konkret: weniger Abhängigkeit von externen Beratungsleistungen, geringerer interner Aufwand, mehr Sicherheit bei Auditvorbereitungen und die Möglichkeit, Compliance als steuerbaren Prozess zu etablieren. Vorstände und Geschäftsführungen erhalten endlich einen Überblick über Umsetzungsstand und Risiken und können gezielt handeln, statt nur zu reagieren. In Zeiten knapper Ressourcen und wachsender Anforderungen ist das ein echter Hebel.
Bloß nicht warten. Jetzt ist der Zeitpunkt, strukturiert zu starten. Viele Häuser unterschätzen, wie schnell die Meldepflichten greifen und welche persönlichen Haftungsrisiken bestehen. Mit gezielter Beratung und der richtigen technologischen Unterstützung lässt sich der Weg zur Compliance deutlich effizienter und sicherer gestalten. Unsere Empfehlung: Betroffenheit klären, Umsetzungsstand analysieren, Lücken identifizieren und mit Augenmaß handeln.
Consileon unterstützt Krankenhäuser bei der Umsetzung von NIS2 mit regulatorischer Fachkompetenz, fundierter Erfahrung im Krankenhaussektor und modernster KI-Technologie. Das Regulatorik-Radar bietet eine skalierbare Lösung zur Analyse, Dokumentation und Steuerung aller relevanten Anforderungen.
Im Rahmen der Consileon Academy bieten wir praxisorientierte Trainings und Workshops rund um Informationssicherheit und regulatorische Anforderungen an. Die Formate richten sich an Fach- und Führungskräfte, die Informationssicherheit strukturiert, wirksam und managementorientiert im Unternehmen verankern möchten.
Das Training ISO 27001 Foundation vermittelt in drei aufeinander aufbauenden Trainingstagen eine fundierte Einführung in die Anforderungen, Begriffe und Prinzipien von Informationssicherheitsmanagementsystemen (ISMS) gemäß ISO/IEC 27001. Der Fokus liegt auf dem Management der Informationssicherheit und richtet sich an alle, die ein strukturiertes Verständnis für den Aufbau, die Umsetzung und die kontinuierliche Verbesserung eines ISMS erlangen sowie sich gegebenenfalls zertifizieren lassen möchten oder müssen.
Termine 2026:
Das Training TISAX Basics richtet sich an Personen und Organisationen, die vor der Einführung oder Umsetzung von TISAX stehen. Innerhalb eines Trainingstages erhalten Sie einen praxisnahen Überblick über Anforderungen, Begriffe und Prinzipien des TISAX-Standards inklusive der notwendigen Schritte innerhalb der ENX-Plattform.
Termine 2026:
Der zweitägige NIS-2 Management Workshop bietet Ihnen einen praxisnahen Überblick über die europäische NIS-2-Richtlinie und deren Umsetzung im deutschen Recht. Gemeinsam mit einem erfahrenen Security-Experten und einem spezialisierten Rechtsanwalt analysieren Sie, welche regulatorischen Anforderungen auf Ihr Unternehmen zukommen und wo Ihre Organisation aktuell steht.
Interesse an einem Training oder Fragen zu den Inhalten?
Kontaktieren Sie uns gerne. Wir beraten Sie individuell zu Teilnahme, Formaten und Inhouse-Optionen.
Digitale Sicherheit ist nicht nur eine technische Aufgabe, sondern auch ein zentraler Erfolgsfaktor für Unternehmen aller Branchen. Das Cybersecurity-Trainingsportfolio von Consileon unterstützt Teams, Fach- und Führungskräfte sowie Manager dabei, Risiken fundiert zu bewerten, regulatorische Anforderungen zu erfüllen und wirksame Sicherheitsstrategien zu entwickeln. Darüber hinaus kombiniert jedes Training aktuelles Expertenwissen mit praxisnahen Methoden, die direkt im Unternehmensalltag angewendet werden können. Auf diese Weise wird eine nachhaltige Grundlage geschaffen, um Sicherheitskompetenzen langfristig zu stärken und Organisationen resilienter zu machen.
In diesem zweitägigen Workshop erhalten Teilnehmer einen praxisnahen Überblick über die Anforderungen der europäischen NIS-2-Richtlinie. Gemeinsam mit einem Security-Experten und einem spezialisierten Anwalt analysieren Sie die Auswirkungen auf Ihr Unternehmen, identifizieren zentrale Handlungsfelder und leiten priorisierte Maßnahmen auf Basis einer integrierten Red-Flag-Analyse ab. Sie gewinnen ein Verständnis für rechtliche Pflichten, Sicherheitsmaßnahmen sowie das Vorgehen bei Berichtspflichten. Abschließend erhalten Sie einen kompakten Ergebnisbericht mit klaren Handlungsempfehlungen für Ihr Management.
>>> Jetzt buchen bei der Consileon Academy
Dieses Training bietet eine kompakte und verständliche Einführung in den Aufbau sowie die zentralen Anforderungen eines Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001. Ideal für Einsteiger und Verantwortliche, die ein strukturiertes Verständnis der Informationssicherheit erlangen möchten. Dabei werden nicht nur theoretische Grundlagen vermittelt, sondern auch praxisnahe Beispiele herangezogen, um zu zeigen, wie ein ISMS Schritt für Schritt aufgebaut werden kann. Die Teilnehmer lernen zudem, Risiken zu bewerten und geeignete Maßnahmen abzuleiten.
>>> Jetzt buchen bei der Consileon Academy
Dieses Training bietet einen kompakten und verständlichen Einstieg in das Informationssicherheitsmanagementsystem der Automobilbranche. Innerhalb eines Tages erhalten Sie einen Überblick über Anforderungen, den Prüfprozess sowie praktische Vorbereitungsschritte für ein TISAX-Assessment. Ferner lernen Teilnehmer, wie ein sinnvoller Scope definiert wird, welche Prüflevel es gibt und welche Rollen im Unternehmen beteiligt sind. Das Training richtet sich insbesondere an Unternehmen, die ein Verständnis für die Bedeutung von TISAX sowie einen effizienten Einstieg in das Thema suchen.
>>> Jetzt buchen bei der Consileon Academy
Die Consileon Academy steht für praxisnahe Weiterbildung, moderne Lernmethoden und fundiertes Fachwissen aus realen Beratungsprojekten. Durch kleine Gruppen, interaktive Formate und erfahrene Trainer entstehen nachhaltige Lernerfolge, die gezielt auf den Wissensstand der Teilnehmer abgestimmt sind. Es werden sowohl freie Trainings als auch Inhouse-Trainings für Unternehmen angeboten. Wir freuen uns auf Ihre Anfrage!
Die ENX Association bietet mit TISAX (Trusted Information Security Assessment Exchange) im Auftrag des Verbands der Automobilindustrie (VDA) eine standardisierte Plattform für die gegenseitige Akzeptanz von Informationssicherheitsprüfungen in der Automobilindustrie. Diese Initiative ist von zentraler Bedeutung, da sie die gesamte Lieferkette – inklusive externer Dienstleister – abdeckt.
TISAX-Assessments werden von Prüfdienstleistern durchgeführt, die ihre Qualifikation in regelmäßigen Abständen nachweisen. Die daraus resultierenden Prüfergebnisse sind ausschließlich für berechtigte Teilnehmer zugänglich und schützen so sensible Informationen vor einer breiten öffentlichen Einsichtnahme.
Für uns bei der Consileon Business Consultancy GmbH ist die Sicherstellung der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen ein zentraler Bestandteil der Arbeit. Ziel ist es, höchste Standards im Bereich der Informationssicherheit zu gewährleisten und unseren Kunden ein vertrauenswürdiges Umfeld zu bieten.
Seit 2020 erfüllen wir die Anforderungen des Informationssicherheitsstandards VDA ISA. Es werden in regelmäßigen Abständen Prüfungen von einem akkreditierten Prüfdienstleister durchgeführt, diese stellen sicher, dass wir stets auf dem neuesten Stand der Sicherheitsanforderungen agieren.
Die Ergebnisse unserer TISAX-Prüfung stehen ausschließlich berechtigten Teilnehmern über das ENX-Portal zur Verfügung. Interessierte können unser Zertifikat über folgenden Link einsehen: ENX TISAX Assessment Results.
Mit TISAX setzen wir ein klares Zeichen für Informationssicherheit und Vertrauen – für uns und unsere Kunden.