Zum Inhalt springen

Stufe 02 · Aufbau

Cyber Governance Setup

Wir bauen die CISO-Funktion in deinem Unternehmen auf — Governance, Rollen und Prozesse — in 6 bis 12 Wochen. Als einmaliges Projekt mit klarer Abgrenzung. Das Ergebnis ist übergabefähig: entweder an einen externen vCISO oder an eine interne Rolle, sobald sie besetzbar ist.

Dauer
6–12 Wochen
Ergebnis
Funktionsfähige Cyber-Governance

Wann relevant

Diese Leistung passt, wenn …

  • Ein Reality Check, ein Audit oder ein Vorfall hat klar gemacht: ohne geführte Sicherheitsfunktion geht es nicht weiter.
  • Es gibt Tools und Maßnahmen — aber keine Rollen, keine klaren Verantwortlichkeiten und keine entscheidungsfähigen Prozesse.
  • NIS2 oder andere Regulatorik verlangt eine geführte und nachweisbare Sicherheitsfunktion.
  • Eine eigene CISO-Stelle ist aktuell nicht realistisch — du willst die Funktion trotzdem sauber aufgebaut wissen.

Inhalt

Was die Leistung umfasst.

Governance-Modell

Wir entwerfen das Governance-Modell: wo die Sicherheitsfunktion aufgehängt ist, an wen sie berichtet, welches Mandat sie hat und wie sie mit IT, Datenschutz und Geschäftsführung zusammenwirkt.

Rollen & Verantwortlichkeiten

RACI-Modell für die Sicherheitsthemen: wer ist verantwortlich, wer wird konsultiert, wer informiert. Inklusive Schnittstellen zu IT-Betrieb, Einkauf und Recht.

Policy-Set in Mindestumfang

Die Kern-Policies werden aufgesetzt: Informationssicherheits-Leitlinie, Zugangs- und Berechtigungssteuerung, Lieferanten-Governance, akzeptable Nutzung — kompakt, lesbar, verabschiedungsfähig.

Risikomanagement-Prozess

Ein einfacher, durchhaltbarer Prozess für Risiko-Identifikation, -Bewertung und -Behandlung. Inkl. Risiko-Register und Format für die Geschäftsführung.

Incident-Response-Grundprozess

Wer entscheidet was, wann, wie wird informiert? Ein einfacher Reaktionsplan inklusive Eskalationskette und Kommunikationsmustern — bevor er gebraucht wird.

Kennzahlen & Reporting

Ein schlankes Reporting-Format an die Geschäftsführung: was läuft, was hakt, welche Risiken werden behandelt, welche Entscheidungen stehen an.

Ergebnis

Was du davon hast.

  • Dokumentierte Governance-Struktur mit klarem Mandat und Berichtsweg.
  • Definierte Rollen — wer ist verantwortlich, wer entscheidet, wer informiert.
  • Set verabschiedeter Kern-Policies in Mindestumfang.
  • Funktionsfähiger Risiko- und Incident-Prozess — durchhaltbar, nicht überdimensioniert.
  • Reporting-Format und KPIs zur Steuerung durch die Geschäftsführung.
  • Übergabefähig in den laufenden vCISO- oder CISO-Betrieb.

Ablauf

Wie wir vorgehen.

  1. 01

    Kick-off & Reifegrad-Baseline

    Wir starten mit einer kompakten Standortbestimmung — auch ohne vorherigen Reality Check. Ziel: gemeinsames Bild, klarer Scope, abgestimmter Zeitplan.

  2. 02

    Governance- & Rollendesign

    Wir entwerfen das Governance-Modell und die Rollen, stimmen sie mit Geschäftsführung und Schlüsselrollen ab und bringen sie in eine entscheidungsfähige Form.

  3. 03

    Prozess- & Policy-Aufbau

    Risikomanagement, Incident Response und das Policy-Set werden aufgesetzt — schlank, lesbar, im Unternehmen tragbar. Keine Aktenordner ohne Wirkung.

  4. 04

    Übergabe & Operationalisierung

    Die Funktion wird operationalisiert: erste Reporting-Zyklen, Schulung der Rollen, Übergabe in den laufenden Betrieb — durch interne Rolle oder vCISO.

Erstgespräch vereinbaren Kontakt aufnehmen

Andere Leistungen

Auch interessant

Alle Leistungen

Cyber Reality Check

Strukturierte Standortbestimmung in 1–2 Tagen. Management-Report mit Top 10 Risiken.

Externer CISO / vCISO

Sicherheitsführung als externe Funktion — strategisch, planbar, ohne Vollzeit-Stelle.

Security Risk Assessments

Strukturierte Bewertung der IT-Sicherheitslage. Klare Prioritäten statt Toollisten.

Interim Projektmanagement

Erfahrene Projektleitung für IT- und Sicherheitsvorhaben — temporär, fokussiert.