Compliance ist kein Projekt, sondern ein Dauerlauf. Wir laufen mit.
ISO 27001, NIS2, DSGVO, GoBD, laufende Compliance‑Begleitung, regelmäßige Audits und aktive Dokumentationspflege. Damit Sie jederzeit audit‑ready sind.
Compliance ignorieren ist teuer. Compliance falsch machen auch.
Risiko: DSGVO-Verstoß
Bußgelder bis 20 Mio. € oder 4 % des Jahresumsatzes. Reputationsschaden, Kundenvertrauen verloren.
Risiko: NIS2-Nicht-Compliance
Bußgelder bis 10 Mio. € oder 2 % des Jahresumsatzes. Persönliche Haftung der Geschäftsführung.
Risiko: ISO 27001 nicht umgesetzt
Kein Zugang zu Aufträgen von Großkunden und öffentlicher Hand. Wettbewerbsnachteil.
Risiko: GoBD-Mängel
Steuerliche Schätzungen bei Betriebsprüfung. Nachzahlungen, Zinsen, Bußgelder.
Die gute Nachricht: Compliance ist machbar, wenn Sie einen Partner haben, der den Überblick behält.
NIS2: Was KMU jetzt wissen müssen.
Die NIS2‑Richtlinie betrifft deutlich mehr Unternehmen als die Vorgängerversion. Wenn Ihr Unternehmen in einem der 18 betroffenen Sektoren tätig ist und mehr als 50 Mitarbeiter oder 10 Mio. € Jahresumsatz hat, sind Sie wahrscheinlich betroffen.
| Fakt | Detail |
|---|---|
| Wer ist betroffen? | 18 Sektoren, darunter Energie, Gesundheit, Fertigung, digitale Infrastruktur, IT-Dienstleister, Abfallwirtschaft u.v.m. |
| Was wird verlangt? | Risikomanagement, Incident-Response, Business Continuity, Supply-Chain-Security, regelmäßige Audits, Meldepflichten (24 h / 72 h). |
| Wer haftet? | Die Geschäftsführung persönlich. NIS2 sieht eine persönliche Haftung der Leitungsorgane vor, Delegation reicht nicht. |
| Welche Strafen drohen? | Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist). |
| Wann gilt es? | Die nationale Umsetzung ist im Gange. Unternehmen sollten jetzt handeln, nicht abwarten. |
Compliance‑Begleitung, was wir konkret tun.
| Nr. | Leistung | Beschreibung |
|---|---|---|
| 1 | Gap-Analyse / Prozess-Analyse & -Audit | Wo stehen Sie heute? Wir prüfen den Ist-Zustand gegenüber den Anforderungen (ISO 27001, NIS2, DSGVO, GoBD) und liefern einen priorisierten Maßnahmenkatalog. |
| 2 | Maßnahmenkatalog & Umsetzungsplan | Auf Basis der Gap-Analyse: konkrete Maßnahmen, Verantwortlichkeiten, Zeitplan, Budget-Schätzung. |
| 3 | Umsetzungsbegleitung | Wir begleiten die Umsetzung der Maßnahmen: Richtlinien erstellen, Prozesse definieren, technische Controls implementieren (in Zusammenarbeit mit Schwerpunkt 1 – Managed IT). |
| 4 | Regelmäßige Status-Audits | Quartalweise (oder nach Bedarf): Prüfung des Umsetzungsstands, Identifikation neuer Risiken, Aktualisierung des Maßnahmenkatalogs. |
| 5 | Dokumentationspflege | Sicherheitsrichtlinien, Verarbeitungsverzeichnis, Risikobewertungen, Audit-Trails – wir halten Ihre Dokumentation aktuell, damit Sie bei einer Prüfung vorbereitet sind. |
| 6 | Vorbereitung externer Prüfungen | Ob Wirtschaftsprüfer, BSI-Audit oder Kundenvorgabe: Wir bereiten Sie gezielt auf die Prüfung vor und begleiten Sie am Audit-Tag. |
Welche Standards und Vorschriften decken wir ab?
ISO 27001
Informationssicherheits-Management
Zunehmend Pflicht bei Großkunden-Aufträgen, öffentlicher Hand, Ausschreibungen. Wettbewerbsvorteil.
NIS2
Cybersicherheit kritischer Infrastrukturen
Betroffene Sektoren: persönliche Haftung der Geschäftsführung. Handlungsbedarf sofort.
DSGVO
Datenschutz
Gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet. Bußgelder bis 20 Mio. €.
GoBD
Steuerrelevante Dokumentation
Betrifft jedes Unternehmen mit digitaler Buchführung. Relevant für DMS, Archivierung, E-Rechnung.
BFSG
Barrierefreiheit (digital)
Ab Juni 2025 für viele digitale Produkte und Dienstleistungen. Relevant für Website-Compliance.
Vom Audit bis zur dauerhaften Compliance, Schritt für Schritt.
Schritt 1
Erstberatung & Scope
Welche Standards betreffen Sie? NIS2-Check, Branchenprüfung, Prioritäten setzen.
1-2 h (kostenlos)
Schritt 2
Gap-Analyse
Ist-Zustand dokumentieren, Soll-Zustand definieren, Delta identifizieren.
1-2 Wochen
Schritt 3
Maßnahmenplan
Priorisierte Maßnahmen mit Verantwortlichkeiten, Zeitplan und Budget.
In Gap-Analyse enthalten
Schritt 4
Umsetzung
Richtlinien erstellen, Prozesse einführen, technische Controls (Zusammenarbeit mit Managed IT).
4–12 Wochen (je nach Umfang)
Schritt 5
Status-Audit
Quartalweise Prüfung: Was ist umgesetzt? Was hat sich geändert? Neue Risiken?
Schritt 6
Laufende Pflege
Dokumentation aktuell halten, Änderungen nachverfolgen, auf regulatorische Neuerungen reagieren.
Fortlaufend
Compliance in Ihrem Paket
| Leistung | SmartStart | MidRange Pro | Shield Pro | BlackPulse |
|---|---|---|---|---|
| DSGVO-Basics (technisch) | ✓ | ✓ | ✓ | ✓ |
| Gap-Analyse / Audit | Auf Anfrage | Auf Anfrage | Auf Anfrage | ✓ inklusive |
| Laufende Compliance-Begleitung | — | — | Auf Anfrage | ✓ inklusive |
| Quartals-Audits | — | — | Auf Anfrage | ✓ inklusive |
| Dokumentationspflege | — | — | In laufender Begleitung enthalten | ✓ inklusive |
| Vorbereitung ext. Prüfungen | — | — | Auf Anfrage | ✓ inklusive |
Compliance wirkt am besten im System
Projektleitung (PRINCE2 & Scrum)
Compliance-Umsetzung ist ein Projekt und verdient Projektleitung. Wir integrieren Compliance-Anforderungen direkt in den Projektplan.
IT-Strategie & vCIO
Der vCIO stellt sicher, dass Compliance kein Silo bleibt, sondern in die IT-Gesamtstrategie eingebettet ist.
Häufige Fragen
Sind wir von NIS2 betroffen?
Das hängt von Ihrer Branche und Unternehmensgröße ab. In unserer kostenlosen Erstberatung prüfen wir das in 30 Minuten.
Ersetzt TENALCO einen Datenschutzbeauftragten?
Nein. TENALCO übernimmt die technische und organisatorische Compliance-Begleitung. Für die formalen Rollen des DSB arbeiten wir mit zertifizierten Datenschutzbeauftragten zusammen oder unterstützen Ihren internen DSB.
Wie lange dauert es bis zur ISO-27001-Readiness?
Typischerweise 6–12 Monate, abhängig vom Ist-Zustand. Wir liefern nach 2 Wochen eine Gap-Analyse mit realistischem Zeitplan.
Können wir mit der Compliance-Begleitung starten, bevor wir Managed IT buchen?
Ja. Compliance-Begleitung ist als eigenständige Leistung buchbar. Die Umsetzung technischer Controls erfordert allerdings Zugriff auf Ihre IT, das kann über Managed IT oder Ihren bestehenden IT-Dienstleister erfolgen.
Was passiert bei einem echten Security-Incident?
TENALCO hat in Schwerpunkt 1 (Managed IT & Security) definierte Incident-Response-Prozesse. Für NIS2-relevante Vorfälle stellen wir sicher, dass die Meldepflichten (24 h Initial, 72 h Detail) eingehalten werden.
Begleitet TENALCO uns auch bei einer externen Prüfung?
Ja. Wir bereiten Sie gezielt vor und sind am Audit-Tag als Ansprechpartner verfügbar, vor Ort oder remote.
Compliance ist keine Option, sondern Geschäftsführer‑Pflicht.
In 30 Minuten prüfen wir, welche Standards für Ihr Unternehmen gelten und wo Sie heute stehen. Kostenlos. Unverbindlich. Vertraulich.
✓ Unverbindlich. ✓ 30 Minuten. ✓ Experten-Einschätzung.