BSC Cyber Security

vCISO / ISBaaS

Servicebeschreibung

In einer zunehmend digitalen Welt gelten „gelebte“ Informationssicherheit und Cyber Resilienz als entscheidende Erfolgs- wenn nicht sogar Überlebensfaktoren für Unternehmen jeder Größe. Um den ständig komplexer werdenden Bedrohungen mit entsprechenden Sicherheitsmaßnahmen zu begegnen, ist ein proaktiver und ganzheitlich-risikobasierter Ansatz die bessere Wahl als punktuelles Löschen von virtuellen Brandherden. Doch dazu fehlt in vielen, besonders in mittelständischen Unternehmen, oftmals das geeignete Personal, die Ressourcen, die benötigten Qualifikationen oder Budgets.

Unser vCISO / ISBaaS bietet Ihnen in diesem Fall genau die Unterstützung, die Sie brauchen, um Ihr Informationssicherheitsmanagement effektiv, zuverlässig und flexibel zu gestalten. In der Rolle des externen Informationssicherheitsbeauftragten (ISB) bzw. „virtuellen“ Chief Information Security Officer (vCISO) bringen wir spezialisiertes Fachwissen und umfassende Erfahrung direkt in Ihr Unternehmen, ohne dass Sie dafür einen eigenen (internen) CISO oder ISB dauerhaft beschäftigen, ausbilden oder einstellen müssen.

Vorgehensweise und Ziele: wir begleiten Sie entlang Ihres individuellen Reifegrads im Bereich Informationssicherheit. Dabei passt sich unser Service an Ihre Bedürfnisse an. Vom Aufbau eines ISMS in der Startphase über die Stabilisierung und Optimierung bis hin zur langfristigen Qualitätssicherung in der Erhaltungsphase. Als genutzte Methodik lehnen wir uns an den „quasi Standard“ der ISO 2700x Normenreihe, nutzen aber zusätzlich bei Bedarf und wenn gewünscht weitere international bewährte Cyber Security Frameworks (z.B. NIST Cyber, CIS Controls), die zusätzlich spezielle Umsetzungsmaßnahmen und den gezielten Aufbau von Cyber Resilienz als Ziel haben.

Vorteile des externen vCISO / ISB aaS

Professionelles und zeitgleich effizientes Management der Informationssicherheit im Unternehmen
Umgehung limitierter interner Kapazitäten, keine Doppelbelastung für interne bestehende Ressourcen mit eigentlich anderem Fokus
Vermeidung von Interessenkonflikten durch interne (Doppel-)Besetzung von Funktionen
Durch den „externen Blick“ entstehen neue Impulse und innovative Lösungsansätze, die interne, vermeindlich gute Praktiken hinterfragen
Klare strategische Ausrichtung der Informationssicherheit, statt sich im Tagesgeschäft zu verlieren
Stets aktuelle Expertise bei fortwährend steigenden Anforderungen in der Cybersicherheit
Investitionen in entsprechende Maßnahmen erfolgen gezielt dort, wo sie den größten Nutzen bringen (z.B. mittels Priorisierungen, Kosten-Nutzen, Risikoabschätzung)
Sicherheits- und IT-Prozesse werden messbar transparenter, was die Zusammenarbeit zwischen IT, Management und Fachbereichen deutlich erleichtert
Sicherstellung von Compliance gegenüber geltenden Gesetzen, Richtlinien oder Auftraggebern
Gesteigertes Vertrauen von Kunden, Partnern und damit verbesserte Wettbewerbsfähigkeit durch nachweisbar gelebte Informationssicherheit
Flexibilität: Sie starten dort, wo Ihr Unternehmen aktuell steht, und wachsen mit unserem Service

Welchen vCISO Service wählen?

Die gute Nachricht: wir haben für jeden Reifegrad, jede Ausgangslage und Zielvorstellung die passende Lösung. Dazu haben wir 3 SLA-Stufen im Service-Angebot: Gold, Silber und Bronze. Als Entscheidungsgrundlage geben wir Ihnen folgende Anhaltspunkte und Leistungsinhalte zur Abgrenzung der einzelnen Servicestufen – Sie wählen die für Sie passende Option.

Gold – steht für „Aufbau & aktive Steuerung“

Ausgangslage: Ihr Unternehmen verfügt derzeit über keine internen Kapazitäten für die ISB-/CISO-Rolle, verfolgt jedoch das klare Ziel eine umfassende Cyber-Sicherheitsstrategie und damit ein funktionierendes Informationssicherheitsmanagementsystems (ISMS) aufzubauen.
Fokus: Aufbau eines funktionierenden ISMS; aktive, operative und strategische Übernahme der ISB-Rolle im Unternehmen ohne das Erfordernis einer eigenen ISB-Person/Rolle.
Zielvorstellung: Sie wünschen sich eine maximale Betreuung von „außen“ besonders in der Startphase, auf Wunsch auch in einem dauerhaften externen Verhältnis der Rolle des ISB / CISO. Umsetzung notwendiger Maßnahmen unterstützt durch relevante Stellen im Unternehmen. Etablieren eines „stabilen“, funktionierenden ISMS und nachhaltiger Strukturen für mehr Eigenständigkeit.
Voraussetzungen: Keine inhaltlichen bzw. technischen Voraussetzungen zum Start. Ausschließlich „Grundmotivation“ im Unternehmen (bei GF und relevanten Stakeholdern) sowie geplantes, regelmäßiges Budget für Cyber-Sicherheits- und InfoSec-Maßnahmen.

Silber – steht für „Stabilisierung & Übergang“

Ausgangslage: Ihr Unternehmen hat beschränkte interne Kapazitäten (Manpower) für die Wahrnehmung der Rolle des ISB / CISO, die Funktion ist ggf. im Aufbau und soll mittelfristig verantwortlich für das ISMS sein. Es gibt eine klare Ausrichtung und Motivation (seitens der GF) zur Etablierung einer umfassenden Cyber Sicherheits-Strategie und des aktiven Betreibens eines ISMS.
Fokus: Der Fokus liegt im Aufbau eines funktionierenden ISMS; aktive, operative Übernahme der ISB-Rolle im Unternehmen (Netz16 vCISO) + Coaching der eigenen internen ISB / CISO -Person/Rolle. Abnahme von Arbeitslasten für spezielle Themen und Maßnahmen.
Zielvorstellung: Dauerhafter, unterstützender oder auch zeitlich begrenzter externer ISB / vCISO Support, Umsetzung notwendiger Maßnahmen in Kooperation durch relevante Stellen im Unternehmen. Stärkung der internen Verantwortung, ISMS läuft stabil mit externer Begleitung als Qualitätssicherung.
Voraussetzungen: Aktuelles InfoSec- / Cyber-Assessment (nicht älter als 12 Monate) samt Ergebnis (Scoring) in Bezug auf Reifegrad und Gap-Darstellung gegen gängige Frameworks wie ISO 2700x, CIS Controls v8.x, NIST Cyber Security Framework, NIS2 oder vergleichbar. Dieses wird als Grundlage für den Start des Services benötigt*. Personell: intern aktiv besetzte oder neu etablierte Rolle des ISB / CISO im Unternehmen.

Bronze – steht für „Beratung & Qualitätssicherung“

Ausgangslage: Hier ist Ihr (interner) ISB/CISO im Unternehmen bereits fest etabliert und „offiziell bestellt“, es existiert seitens der Unternehmensleitung / GF ein gelebtes IS- und Cybersicherheitsbewusstsein inkl. reservierten Ressourcen und Budgets für entsprechende Maßnahmen. Wir treten strategisch beratend und kontrollierend auf.
Fokus: Unser Fokus liegt auf Qualitätssicherung, strategischer Weiterentwicklung und punktueller Maßnahmenumsetzung oder Auditbegleitung; Unterstützung des internen ISB / CISO nach Bedarf
Zielvorstellung: Qualitätssicherung und externe Kontrolle, Optimierung ISMS-Prozesse und Cyber Security in Bezug auf Qualität, Effektivität und Reaktion
Voraussetzungen: Aktuelles InfoSec- / Cyber-Assessment (nicht älter als 12 Monate) samt Ergebnis (Scoring) in Bezug auf Reifegrad und Gap-Darstellung gegen gängige Frameworks wie ISO 2700x, CIS Controls v8.x, NIST Cyber Security Framework, NIS2 oder vergleichbar. Dieses wird als Grundlage für den Start des Services benötigt*. Personell: intern aktiv besetzte und etablierte Rolle des ISB / CISO im Unternehmen.

*Hinweis: Wenn nicht vorhanden, empfehlen wir die Durchführung unseres Netz16 IS/Cyber Assessments.

Leistungen

ISMS-Management (wahlweise aktiv, unterstützend oder beratend): Aufbau, Weiterentwicklung und Pflege eines ISMS nach der ISO 2700x Norm bzw. eines vergleichbaren „Cyber Security Management Programms“ nach Standards wie dem NIST Cyber Security Framework oder CIS Controls.
Art der Leistungserbringung: Betreuung Remote + regelmäßige / bei Bedarf vor-Ort-Termine (Turnus und Intensität abhängig von SLA-Stufe)
ISMS-Reifegrad & Gap-Check: Prüfung / Audit Ausgangslage, IST-SOLL Vergleich, Mapping/Gapping gegen Best Practices und IS-Frameworks, Formulierung von konkreten Handlungsempfehlungen.
ISMS „Jump-Start“ Vorlagenpaket: praxiserprobte Richtlinien, Konzepte, Prozeduren und Templates zur (beschleunigten) Fertigstellung und passgenauen Adaption im Unternehmen.
Owner Risikomanagement: Je nach Unternehmensgröße – Übernahme der IT-Risikomanager Rolle im Rahmen des ISMS.*
Owner KVP: Verantwortlicher „Treiber“ für KVP (= kontinuierlicher Verbesserungsprozess), Dokumentation Abweichungen, Aufbereitung und Priorisierung von Maßnahmen zur Freigabe (via Jourfixe)
Regel-Jour Fixe: Regelmäßige aktive Abstimmung und Austausch im IS-Team (ISB/CISO, Risiko-Manager, „Senior-Responsible“, IT/Technik), ca. 90 Minuten
Leistungen ISMS Aufbauphase: Entwicklung passgenauer benötigter Dokumentationen, Richtlinien, Konzepte, Handbücher und Verfahrensanweisungen, ebenso wie Templates, Formulare und Checklisten für die vollständige Etablierung der InfoSec-Organiation, -Prozesse und -Kultur im Unternehmen.*
Leistungen ISMS Betriebsphase: Wesentliche Aktivitäten für die dauerhafte Steuerung und Bearbeitung laufender Cyber- & IS-relevanter Aktivitäten zur Aufrechterhaltung und kontinuierlichen Verbesserung der InfoSec-Maßnahmen und Cyber Resilienz; u.a. z.B. Risiko- und Schwachstellen-Analysen, Review Rollen und Zugriffsrechte, Richtlinien- und Dokumentationspflege, Nachbereitung & Zielverfolgung Ihrer Schulungs- und Awarenessmaßnahmen, Wirkung technischer Maßnahmen, Bewertung Sicherheitsvorfälle, Notfall- und IRR-Übungen.*
vCISO Tool (ISMS-Management und Reporting): ISMS-Fortschritts- und Compliance-Bewertung, Reporting, KPIs, Aufgaben-Tracking und Priorisierung nach Risikograd (Aufbauphase + Erhaltungsphase), auf Wunsch auch integriertes Risikomanagement, BIA, Assetmanagement, Schwachstellenmanagement und Policy-Editor im Tool nutz- bzw. abbildbar.

*Hinweis: Verrechnung auf optional zubuchbares vCISO Pre-Paid Volumen oder nach Aufwand am Monatsende.

Unsere Angebote:

Beschreibung	Gold	Silber	Bronze
Art der Leistungserbringung:	Betreuung remote + regelmäßige vor-Ort-Termine (z.B. wöchentlich, monatlich oder quartalsweise)	Remote-Betreuung + vor-Ort-Termine in längeren Intervallen (z.B. monatlich oder quartalsweise)	Remote-Betreuung mit längeren Intervallen (z.B. quartalsweise oder jährlich)
ISMS-Management:	aktiver, verantwortlicher ext. ISB / vCISO	unterstützend, ext. ISB / vCISO als „Copilot“, Stellvertreter	beratend, Übernahme Arbeitslasten, spezielle Themen und Maßnahmen
ISMS-Reifegrad & Gap-Check:	inklusive, fortwährend	inklusive, initial / einmalig	optional, kostenpflichtig
ISMS „Jump-Start“ Vorlagenpaket:	inklusive	optional, Vorlagenpaket nachträglich kostenpflichtig zubuchbar	optional, Vorlagenpaket nachträglich kostenpflichtig zubuchbar
Owner Risikomanagement:	fortwährend*, Verantwortung jederzeit übertragbar	initial*, Verantwortung übergebend nach Aufbauphase	n.v., durch internen verantwortlichen ISB / CISO erbracht, auf Wunsch unterstützend*
Owner KVP:	fortwährend*, verantwortlich	initial*, Verantwortung übergebend nach Aufbauphase	n.v., durch internen verantwortlichen ISB / CISO erbracht, auf Wunsch unterstützend*
Regel-Jour Fixe:	1x / Monat	1x / Quartal	1x / Halbjahr
Leistungen ISMS Aufbauphase:	nach Aufwand	nach Aufwand	nach Aufwand
Leistungen ISMS Betriebsphase:	nach Aufwand	nach Aufwand	nach Aufwand
vCISO (ISMS) Tool:	inklusive	optional, Tooleinsatz nachträglich kostenpflichtig zubuchbar	optional, Tooleinsatz nachträglich kostenpflichtig zubuchbar

Kostenmodell:

Bronze/Silber/Gold

Abrechnung monatlich zum Festpreis
*zusätzliche Aufwände über vCISO Prepaid Volumenpaket („verschiedene Größen buchbar) oder nach Aufwand

Vertragsbedingungen:

Laufzeiten: mind. 12 Monaten
Kündigungsfrist: 3 Monate zum Laufzeitende
Vertragsverlängerung: 12 Monate bei ausbleibender Kündigung
Zahlungsabwicklung: per SEPA Lastschriftmandat oder über schon vereinbarte Zahlungskonditionen

Suchen Sie einen kompetenten Partner für Ihre IT?

Dann kontaktieren Sie uns gerne per Telefon oder E-Mail:

Netz16 ist Ihr Experte mit über 15 Jahre Erfahrung in der Bereitstellung fortschrittlicher IT-Lösungen, die auf die spezifischen Bedürfnisse Ihres Unternehmens zugeschnitten sind. Unser Team aus Expert:innen berät Sie umfassend und unterstützt Sie dabei, Ihre IT-Infrastruktur zu optimieren und zukunftssicher zu gestalten.