Zum Inhalt springen

Warum wir ISO 27001, ISO 9001 und C5 zertifiziert sind – und was das mit DORA & NIS2 zu tun hat

Sicherheit, Qualität und Verlässlichkeit sind bei einem Managed Service Provider nicht „nice to have“, sondern die Grundlage für alles. Wenn wir Systeme betreiben, Daten verarbeiten und die IT unserer Kunden am Laufen halten, dann geht es nicht nur um Technik – es geht um Vertrauen, Verantwortung und messbare Standards.

Genau deshalb sind wir nach ISO 27001 und ISO 9001 zertifiziert und verfügen zusätzlich über ein C5-Testat. Diese Standards sind für uns kein Marketing-Logo, sondern ein Arbeitsmodus: Sie definieren, wie wir Risiken bewerten, Prozesse leben, Qualität absichern und unsere Services kontinuierlich verbessern. Und sie helfen unseren Kunden dabei, regulatorische Anforderungen wie DORA und NIS2 strukturiert zu erfüllen.

ISO 27001: Informationssicherheit als System

ISO 27001 ist der weltweit etablierte Standard für Informationssicherheits-Managementsysteme (ISMS). Klingt sperrig – ist aber eigentlich sehr praktisch: Er sorgt dafür, dass Informationssicherheit nicht von Einzelpersonen abhängt („Frag mal den Admin…“), sondern als wiederholbarer Prozess funktioniert.

Was bedeutet das konkret?

  • Risiken werden systematisch bewertet (z. B. Ausfallrisiken, Datenabfluss, Lieferkettenrisiken)
  • Schutzmaßnahmen sind definiert, dokumentiert und überprüfbar
  • Zugriffe, Berechtigungen, Änderungen werden kontrolliert – nicht nach Tagesform
  • Vorfälle werden strukturiert behandelt (Incident Handling, Lessons Learned)
  • Audits und Management Reviews sorgen dafür, dass das System nicht einschläft

Kurz: ISO 27001 ist unser „Sicherheitsbetriebssystem“. Damit stellen wir sicher, dass Sicherheit nicht nur beim Neubau glänzt, sondern auch im Alltag funktioniert – Montagmorgen 08:13 Uhr inklusive.

ISO 9001: Qualität, die man messen kann

IT-Services sind dann gut, wenn sie reproduzierbar gut sind. Nicht nur, wenn gerade die perfekte Person mit perfekter Laune im Dienst ist.

ISO 9001 ist der Standard für Qualitätsmanagement. Für uns heißt das:

  • klare Prozesse statt „das machen wir immer so“
  • definierte Verantwortlichkeiten und saubere Übergaben
  • Dokumentation und Nachvollziehbarkeit (auch wenn’s mal hektisch wird)
  • kontinuierliche Verbesserung auf Basis echter Kennzahlen und Feedbacks
  • Fehlerprävention: Ursachen beheben, nicht nur Symptome löschen

Gerade im Managed Service ist das Gold wert: Qualität zeigt sich nicht in der PowerPoint, sondern in Tickets, Reaktionszeiten, Changes, Wartungsfenstern und in der Frage: „Läuft’s – oder läuft’s wirklich?“

C5: Cloud mit deutscher Gründlichkeit

Neben den ISO-Zertifizierungen haben wir ein C5-Testat (Cloud Computing Compliance Criteria Catalogue). C5 kommt ursprünglich aus dem Umfeld des Bundesamts für Sicherheit in der Informationstechnik (BSI) und ist besonders relevant, wenn Unternehmen Cloud- oder Provider-Leistungen nutzen und dabei hohe Anforderungen an Sicherheit und Transparenz erfüllen müssen.

Der Kern von C5: Es geht nicht nur darum, dass etwas kontrolliert wird, sondern dass es prüfbar belegt ist – inklusive Anforderungen rund um:

  • Informationssicherheit und Organisation
  • Identitäts- und Berechtigungsmanagement
  • Protokollierung, Monitoring, Incident Response
  • Change- und Patch-Management
  • Business Continuity / Notfallmanagement
  • (und je nach Kontext) Anforderungen rund um Datenstandorte, Subdienstleister und Transparenz

Ein C5-Testat ist damit für viele Kunden ein entscheidender Baustein, um Provider-Risiken sauber zu adressieren – besonders in regulierten Branchen oder bei kritischen Prozessen.

Was bringt das unseren Kunden – ganz praktisch?

Zertifikate sind nur dann wertvoll, wenn sie den Alltag besser machen. Für unsere Kunden bedeutet das:

  1. Nachvollziehbarkeit statt Blackbox
    Prozesse, Rollen, Verantwortlichkeiten und Kontrollen sind klar definiert.
  2. Sicherheitsniveau mit System
    Nicht „wir geben uns Mühe“, sondern ein ISMS mit messbaren Kontrollen und Auditfähigkeit.
  3. Weniger Reibung in Audits und Lieferantenbewertungen
    Viele Fragen, die sonst mühsam einzeln beantwortet werden, sind über Standards bereits strukturiert abgedeckt.
  4. Bessere Stabilität im Betrieb
    Qualitätsmanagement sorgt für saubere Abläufe – auch unter Druck.
  5. Bessere Grundlage für Compliance-Anforderungen
    Genau hier kommen DORA und NIS2 ins Spiel.

DORA: Resilienz wird Pflicht – und Provider rücken ins Zentrum

DORA (Digital Operational Resilience Act) richtet sich primär an den Finanzsektor, betrifft aber in der Praxis auch Dienstleister und IT-Provider, weil sie Teil der operativen Wertschöpfung sind. Die Grundidee: Unternehmen müssen nachweisen, dass sie digital widerstandsfähig sind – also Störungen verkraften, schnell reagieren und Risiken in der Lieferkette beherrschen können.

Was DORA besonders relevant macht:

  • Fokus auf ICT-Risikomanagement
  • klare Anforderungen an Incident Management und Meldewege
  • Resilienztests und Nachweise zur Wiederherstellbarkeit
  • Third-Party Risk Management: Dienstleister werden intensiver bewertet

Unsere ISO-27001/ISO-9001-Struktur und C5-Transparenz helfen dabei, diese Themen geordnet abzubilden: dokumentiert, überprüfbar und in einem Betrieb, der nicht erst beim Audit anfängt „ordentlich zu werden“.

NIS2: Mehr Unternehmen, mehr Pflichten, mehr Konsequenzen

NIS2 (die EU-Richtlinie zur Cybersicherheit) erweitert den Kreis der betroffenen Unternehmen deutlich – auch über klassische KRITIS hinaus. Ziel ist ein höheres, einheitlicheres Sicherheitsniveau in Europa. Und ja: Das Thema wird ernster, weil Pflichten und Haftungsrisiken klarer werden.

Typische NIS2-Schwerpunkte:

  • verbindliches Risikomanagement für Cybersecurity
  • Incident Handling und Meldepflichten
  • Business Continuity und Krisenmanagement
  • Supply-Chain-Security (Dienstleister, Subdienstleister, Abhängigkeiten)
  • Anforderungen an Governance und Verantwortlichkeiten

Auch hier gilt: Zertifizierungen ersetzen keine Rechtsberatung – aber sie liefern eine extrem solide Basis, um die geforderten Strukturen praktisch umzusetzen. Vor allem ISO 27001 ist inhaltlich sehr nah an den „Pflichtbausteinen“, die NIS2 in Unternehmen verankern will.

Unser Anspruch: Compliance ist kein Ziel – sie ist das Nebenprodukt guter Arbeit

Wir zertifizieren uns nicht, um eine Plakette an die Wand zu hängen. Wir tun es, weil wir glauben, dass moderne IT-Services nur dann professionell sind, wenn sie:

  • verlässlich laufen,
  • sicher gebaut sind,
  • transparent betrieben werden,
  • und auditfähig dokumentiert sind.

ISO 27001, ISO 9001 und C5 sind für uns deshalb keine Einzelprojekte, sondern ein Rahmen, der unsere tägliche Arbeit besser macht.