DIE HERAUSFORDERUNG
ISO 27001 Anforderungen: Komplex — aber der Aufwand muss es nicht sein.
Informationssicherheit ist längst keine optionale Zusatzleistung mehr — für DiGA-Hersteller ist ein nachweisbares ISMS faktisch Pflicht, und auch Kliniken, Krankenkassen und Partner erwarten zunehmend ISO 27001 oder C5. Die Umsetzung scheitert aber oft an den gleichen Stellen.
DiGA-Hersteller: ISO 27001 ist Pflicht
Die DiGAV verlangt von DiGA-Herstellern explizit ein Informationssicherheitsmanagementsystem — zertifiziert nach ISO 27001 oder auf Basis des BSI IT-Grundschutzes. Das BfArM kann das Zertifikat jederzeit anfordern. Wer eine DiGA ins BfArM-Verzeichnis bringen will, kommt an ISO 27001 nicht vorbei.
Wo anfangen?
ISO 27001:2022 definiert 93 Maßnahmen im Annex A. Ohne Erfahrung ist unklar, welche davon für Ihr Unternehmen tatsächlich relevant sind, wie tief die Umsetzung gehen muss und in welcher Reihenfolge man vorgehen sollte. Das Ergebnis: Teams verlieren Wochen mit Maßnahmen, die für ihre Risikolage gar nicht relevant sind.
ISMS neben dem Tagesgeschäft
Ihr Team entwickelt Produkte — nicht Sicherheitsrichtlinien. Der Aufbau eines ISMS konkurriert direkt mit dem Tagesgeschäft. Ohne einen strukturierten Plan und klare Priorisierung blockiert das Projekt andere Entwicklungsvorhaben, ohne selbst voranzukommen.
Kunden und Partner fordern den Nachweis
Kliniken, Krankenkassen und Kooperationspartner fragen immer häufiger nach einem ISO-27001-Zertifikat oder einer C5-Attestierung. Wer keinen Nachweis liefern kann, verliert Ausschreibungen und Kooperationsmöglichkeiten — unabhängig davon, wie gut das eigentliche Produkt ist.
Zwei Systeme, doppelte Arbeit?
Viele Unternehmen haben bereits ein QMS nach ISO 13485 und fürchten, mit einem ISMS ein paralleles System aufbauen zu müssen. Das muss nicht sein. Dokumentenlenkung, interne Audits, Management Review — viele Prozesse überschneiden sich. Aber ohne bewusste Integration entstehen tatsächlich redundante Strukturen.
WIE WIR ARBEITEN
Unser Ansatz: Strukturierter ISMS-Aufbau bis zur ISO 27001 Zertifizierung.
Ein ISMS ist kein IT-Projekt — es ist ein Managementsystem, das Informationssicherheit systematisch in Ihre Organisation einbettet. Wir bauen es so auf, dass es zu Ihrer tatsächlichen Infrastruktur passt und nicht an der Realität vorbeigeht.
Wenn Sie bereits ein QMS nach ISO 13485 betreiben, nutzen wir bestehende Strukturen — Dokumentenlenkung, interne Audits, Management Review. Kein Paralleluniversum, sondern ein integriertes System.
Organisation passt.
Scope & Kontext
Wir definieren den Geltungsbereich Ihres ISMS, identifizieren relevante Stakeholder und erfassen die regulatorischen und vertraglichen Anforderungen, die für Ihr Unternehmen gelten — von der DSGVO über DiGA-Anforderungen bis zu Kundenverträgen.
Risikoanalyse
Systematische Bewertung Ihrer Informationssicherheitsrisiken — bezogen auf Ihre tatsächliche Infrastruktur, Ihre Datenflüsse und Ihre Bedrohungslage. Nicht theoretisch, sondern konkret: Welche Assets haben Sie? Wo liegen die größten Risiken? Was hat Priorität?
Statement of Applicability (SoA)
Welche der 93 Maßnahmen aus Annex A der ISO 27001:2022 sind für Sie relevant — und welche nicht? Wir dokumentieren jede Entscheidung nachvollziehbar. Das SoA ist eines der Kerndokumente für die Zertifizierung und zeigt dem Auditor, dass Sie bewusst und risikobasiert entschieden haben.
Richtlinien & Maßnahmen
Wir erstellen die notwendigen Richtlinien — Zugriffsmanagement, Incident Response, Business Continuity, Lieferantenmanagement und mehr — und unterstützen bei der Umsetzung der technischen und organisatorischen Maßnahmen, priorisiert nach Risiko und Aufwand.
Internes Audit & Zertifizierung
Internes Audit, Management Review und Vorbereitung auf das externe Zertifizierungsaudit. Wir stellen sicher, dass Sie wissen, was der Auditor erwartet — und dass die Antworten bereitliegen. Auf Wunsch übernehmen wir auch die Rolle des externen ISB.
C5-Begleitung (optional)
Für Unternehmen, die Cloud-basierte Gesundheitsanwendungen betreiben, wird der C5-Kriterienkatalog des BSI zunehmend relevant — insbesondere im DiGA-Umfeld. Ein bestehendes ISMS nach ISO 27001 ist eine gute Grundlage, auf der die C5-Attestierung aufbauen kann. Wir begleiten die Gap-Analyse und Vorbereitung.
ERGEBNISSE
Ihre Ergebnisse: Auditfestes ISMS und C5-Attestierung.
Am Ende steht ein ISMS, das Ihre Daten tatsächlich schützt, einer Zertifizierungsprüfung standhält und das Ihr Team eigenständig betreiben kann.
Scope & Kontextanalyse
Dokumentierter Geltungsbereich, Stakeholder-Analyse und Erfassung aller regulatorischen, vertraglichen und internen Anforderungen an Ihre Informationssicherheit.
Risikoanalyse & Behandlungsplan
Vollständige Risikoanalyse mit Asset-Inventar, Bedrohungs- und Schwachstellenbewertung, Risikobehandlungsplan und dokumentierten Akzeptanzkriterien.
Statement of Applicability
Nachvollziehbare Entscheidung für jede Maßnahme aus Annex A: anwendbar oder nicht, mit Begründung und Verweis auf die umgesetzten Kontrollen.
Sicherheitsrichtlinien
Alle erforderlichen Richtlinien — Informationssicherheitsleitlinie, Zugriffsmanagement, Incident Response, Business Continuity, Lieferantenmanagement und weitere, zugeschnitten auf Ihr Unternehmen.
Zertifizierungsvorbereitung
Durchführung des internen Audits, Vorbereitung des Management Reviews und Begleitung während des Zertifizierungsaudits — bis das ISO-27001-Zertifikat vorliegt.
C5-Attestierung (optional)
Gap-Analyse gegen den BSI C5-Kriterienkatalog, Maßnahmenplan und Vorbereitung auf die Prüfung durch den Wirtschaftsprüfer. Aufbauend auf Ihrem bestehenden ISMS.
Bereit für ein ISMS, das funktioniert?
Im Erstgespräch zeigen wir Ihnen, welcher Aufwand realistisch ist, wo Sie heute stehen und ob neben der ISO 27001 Zertifizierung auch eine C5-Attestierung für Sie relevant ist.
Erstgespräch vereinbaren