FRAMEWORK WÄHLEN

Frameworks verstehen. Das passende für Ihr Unternehmen finden.

Strukturierte Wege, um Cyberrisiken zu steuern, Compliance-Gespräche vorzubereiten und ein belastbares Sicherheitsprogramm aufzubauen — direkt vergleichbar, damit Sie den richtigen Ausgangspunkt wählen.

Auf dieser Seite referenziert

NIST CSF 2.0ISO/IEC 27001:2022CIS Controls v8.1SOC 2GDPRNIS2HIPAAPCI DSSNIST CSF 2.0ISO/IEC 27001:2022CIS Controls v8.1SOC 2GDPRNIS2HIPAAPCI DSS
WARUM FRAMEWORKS

Was ein Framework Ihnen bringt

Ein Framework ist eine gemeinsame Blaupause für ein Sicherheitsprogramm — konsistente Praxis, vorbereitete Nachweise und eine gemeinsame Sprache mit Kunden, Versicherern und Auditoren.

01

Konsistenz

Standardisierte Praxis in der gesamten Organisation statt personenabhängiger Ad-hoc-Sicherheit.

02

Compliance-Bereitschaft

Wissen, welche Anforderungen und Nachweise Ihr Team braucht, bevor der Fragebogen eintrifft.

03

Risikoreduktion

Ein systematischer Weg, die wichtigsten Lücken zu finden, zu priorisieren und zu schliessen.

04

Vertrauen der Stakeholder

Nachweisbare Praxis schafft Vertrauen bei Kunden, Partnern und Regulatoren.

DIE FRAMEWORKS

Jedes Framework verstehen

Was jedes ist, wie es aufgebaut ist und zu welchem Unternehmen es passt. NIST CSF 2.0 treibt heute das kostenlose Assessment an; die anderen sind Referenzleitfäden mit Assessments auf der Roadmap.

Framework

Jetzt verfügbar

NIST Cybersecurity Framework 2.0

Ein freiwilliges, risikobasiertes Framework von NIST, das jeder Organisation hilft, Cyberrisiken zu steuern und zu reduzieren.

Auf einen Blick

6 functions22 categories106 subcategoriesMittlere Komplexität

Am besten für

Jede Organisationsgrösse, die eine flexible, risikobasierte Baseline als Ausgangspunkt möchte.

  • Sechs Funktionen: Govern, Identify, Protect, Detect, Respond, Recover
  • 22 Kategorien und 106 Outcome-Subkategorien
  • Vier Stufen: Partial, Risk Informed, Repeatable, Adaptive
  • Freiwillig, risikobasiert und organisationsunabhängig

So führen Sie es ein
Phasenweise: Ist-Profil, Zielprofil, dann eine priorisierte Gap-Analyse.

Hilft bei der Vorbereitung auf

FISMAHIPAASOXPCI DSS
Kostenlose Analyse starten

Standard

Assessment auf Roadmap

ISO/IEC 27001:2022

Der internationale Standard für ein Informationssicherheits-Managementsystem (ISMS) — mit akkreditierter Zertifizierung und globaler Anerkennung.

Auf einen Blick

93 Annex A controls4 themesISMS certificationHohe KomplexitätZertifizierbar

Am besten für

Unternehmen, die ein global anerkanntes Zertifikat für Kunden und Partner benötigen.

  • 93 Annex-A-Kontrollen in vier Themen (37 organisatorisch · 8 personenbezogen · 14 physisch · 34 technologisch)
  • Risikobewertung und -behandlung im Kern des ISMS
  • Kontinuierliche Verbesserung über die ISO-Managementsystem-Struktur (Annex SL)
  • Akkreditierte Zertifizierung mit jährlichen Überwachungsaudits

So führen Sie es ein
Formelles ISMS: Geltungsbereich und Risikobehandlung, Dokumentation, internes Audit, dann Zertifizierungsaudit.

Hilft bei der Vorbereitung auf

GDPRSOXHIPAAPCI DSS

Kontroll-Set

Assessment auf Roadmap

CIS Critical Security Controls v8.1

Ein priorisiertes, präskriptives Set aus 18 Kontrollen (v8.1, 2024) zum Schutz vor den häufigsten Angriffsmustern.

Auf einen Blick

18 controls153 safeguardsIG1 = 56Niedrige Komplexität

Am besten für

Teams, die eine präskriptive technische Checkliste wollen — IG1 ist ein hervorragender KMU-Einstieg.

  • 18 Kontrollen und 153 Safeguards (v8.1, 2024)
  • Drei Implementation Groups; IG1 = 56 Safeguards als KMU-Baseline
  • Präskriptiv, technisch und sofort umsetzbar
  • Abgebildet auf NIST CSF, ISO 27001 und PCI DSS

So führen Sie es ein
Mit IG1 für grundlegende Cyber-Hygiene starten, dann je nach Reife zu IG2 und IG3 übergehen.

Hilft bei der Vorbereitung auf

NIST CSFISO 27001PCI DSS

Attestierung

Assessment auf Roadmap

SOC 2

Eine AICPA-Attestierung für Dienstleister, die Kundendaten verarbeiten — ein Bericht einer unabhängigen CPA-Firma, keine Zertifizierung.

Auf einen Blick

5 TSC categoriesType I & IICPA attestationMittlere KomplexitätAttestierung

Am besten für

B2B-SaaS- und Dienstleistungsunternehmen, die Vertrauen in der Beschaffung nachweisen.

  • Fünf Trust Services Categories; Security (Common Criteria) ist verpflichtend
  • Type I (Design zu einem Zeitpunkt) und Type II (Wirksamkeit über einen Zeitraum)
  • Unabhängige CPA-Attestierung — ein Bericht, keine Zertifizierung
  • Auf NIST CSF und ISO 27001 abgebildet (AICPA-TSC-Mappings)

So führen Sie es ein
Readiness-Assessment, Lücken beheben, 3–12 Monate Beobachtungszeitraum, dann die Type-II-Prüfung.

Hilft bei der Vorbereitung auf

HIPAAGDPRPCI DSS
PASSENDES FINDEN

Noch unsicher, wo Sie starten?

Eine kurze Orientierung von Ihrer heutigen Lage zum passenden Framework.

KMU, das eine Baseline möchteNIST CSF 2.0 · CIS IG1
Sie brauchen ein anerkanntes ZertifikatISO/IEC 27001
B2B-SaaS mit BeschaffungsprüfungenSOC 2
Industrielle oder OT-SystemeNIST CSF · IEC 62443
GEGENÜBERSTELLUNG

Die vier im Vergleich

Die vier lassen sich aufeinander abbilden — eine Gap-Analyse überträgt sich auf alle. Der kostenlose Ablauf startet heute mit NIST CSF 2.0.

NIST CSF 2.0Jetzt verfügbar
Typ
Framework
Komplexität
Mittlere Komplexität
Nachweis
Kernstruktur
22 Kategorien · 106 Subkategorien
Am besten für
Risikobasierte Baseline
Vorbereitung auf
FISMA · HIPAA · SOX · PCI DSS
ISO/IEC 27001Assessment auf Roadmap
Typ
Standard
Komplexität
Hohe Komplexität
Nachweis
Zertifizierbar
Kernstruktur
93 Annex-A-Kontrollen
Am besten für
Anerkanntes Zertifikat
Vorbereitung auf
GDPR · SOX · HIPAA · PCI DSS
CIS Controls v8.1Assessment auf Roadmap
Typ
Kontroll-Set
Komplexität
Niedrige Komplexität
Nachweis
Kernstruktur
18 Kontrollen · 153 Safeguards
Am besten für
Technische Checkliste
Vorbereitung auf
NIST CSF · ISO 27001 · PCI DSS
SOC 2Assessment auf Roadmap
Typ
Attestierung
Komplexität
Mittlere Komplexität
Nachweis
Attestierung
Kernstruktur
5 Trust Services Categories
Am besten für
Trust-Bericht
Vorbereitung auf
HIPAA · GDPR · PCI DSS
DAS ASSESSMENT HEUTE

Was Sie jetzt erhalten

Das kostenlose Assessment läuft auf NIST CSF 2.0. ISO 27001, CIS Controls und SOC 2 sind Referenzleitfäden, während ihre Assessment-Abläufe entstehen — die Inhalte hier gelten aber für alle vier.

  • Aktuelles Quiz — das kostenlose NIST-CSF-2.0-Assessment.
  • Aktuelles Ergebnis — Bewertung, schwache Kategorien, Umsetzungsprioritäten und Nachweisorientierung.
  • Optionaler Starter-Export — PDF- und HTML-Dateien für die Ergebnisse des kostenlosen Assessments.

Frameworks vs. Regulierung

GDPR und NIS2 sind EU-Recht (eine Verordnung und eine Richtlinie); HIPAA, SOX, FISMA und FERPA sind US-Gesetze; PCI DSS ist ein Industriestandard. Sie sind keine Frameworks — aber ein framework-basiertes Programm ist der Weg, sich darauf vorzubereiten. Die Tags auf jeder Karte zeigen, wo das Framework häufig eingesetzt wird.

GDPRNIS2HIPAASOXFISMAFERPAPCI DSSIEC 62443
NACH BRANCHE

Branchenanwendungen

Wie verschiedene Branchen typische Risiken auf framework-basierte Assessment-Prioritäten abbilden.

Gesundheitswesen

HIPAA-Compliance, Schutz von Patientendaten und Sicherheit medizinischer Geräte mit NIST CSF und ISO 27001.

Wichtige Frameworks

HIPAANIST CSF

Typische Herausforderungen

  • Schutz von Patientendaten über mehrere Systeme
  • Cybersecurity-Compliance für medizinische Geräte
  • Ransomware-Schutz für kritische Systeme
  • Risikomanagement für Drittanbieter

Assessment-Fokus

Was das Audit prüft

  • Zugriffskontrolle für klinische und administrative Systeme
  • Ransomware-Bereitschaft über Backups, Endpoint-Kontrollen und Recovery
  • Umgang von Lieferanten mit Patientendaten und vernetzten Geräten

Typische Roadmap-Prioritäten

  • MFA und minimale Rechte auf risikoreichen Systemen bestätigen
  • Recovery-Prozesse für kritische patientennahe Dienste testen
  • Sicherheitsverantwortung der Lieferanten und Nachweise dokumentieren
GAP → PLAN

Vom Framework zum Aktionsplan

Drei Schritte vom Framework zur priorisierten Roadmap.

01

Framework-Kontext

Beginnen Sie heute mit NIST CSF 2.0 und behalten Sie ISO 27001 und CIS Controls als Roadmap-Referenzen im Blick.

NIST CSF 2.0
02

Gap-Analyse

Absolvieren Sie ein geführtes Assessment in 10–15 Minuten mit priorisierten Ergebnissen.

10–15 Min.
03

Aktionsplan

Erhalten Sie einen konkreten, framework-basierten Umsetzungsplan mit Aufwandsschätzungen und Prioritäten.

Umsetzungsplan
PLAN BEREIT
FAQ

Häufige Fragen

Mit welchem Framework sollte ein KMU starten?

NIST CSF 2.0 ist für KMU der häufigste Ausgangspunkt, da es risikobasiert und organisationsunabhängig ist. CIS Controls IG1 ist eine ausgezeichnete Ergänzung für konkrete technische Safeguards.

Muss ich mich auf nur ein Framework festlegen?

Nein. Frameworks lassen sich aufeinander abbilden. Eine einzige Gap-Analyse kann gleichzeitig Orientierung in NIST-, ISO- und CIS-Begriffen liefern.

Zertifiziert CyberGapAudit meine Organisation?

Nein. Wir sind keine akkreditierte Zertifizierungsstelle. Wir erstellen Gap-Analysen und Aktionspläne, die Ihnen bei der Vorbereitung auf formelle Audits und Attestierungen helfen.

Bereit, Ihr passendes Framework zu finden?

Starten Sie mit dem kostenlosen Assessment, um Ihre aktuelle Posture zu verstehen und einen framework-basierten Plan zu erhalten.