Illustration einer Person mit Brille, die an einem Laptop arbeitet, umgeben von Symbolen für Datenschutz und Sicherheit.

Sicherheit nach BSI Grundschutz++ umsetzen

Sicherheit mit System – nachvollziehbar, wirksam, zukunftsfähig.
Kostenfreies Erstgespräch

Wem wir helfen

BSI-Grundschutz Beratung für jede Organisationsgröße

Öffentliche Einrichtungen

Unterstützung bei der Umsetzung staatlicher Sicherheitsanforderungen.
Pain Points
  • Starke Dokumentationspflicht
  • Hoher Aufwand der Strukturanalyse
  • Legacy-Systeme
Ziele
  • Vollständiger, prüfbarer Grundschutz
  • Revisionssichere Umsetzung
  • Nachhaltige Betriebssicherheit

Kritische Infrastrukturen

Beratung für hochkritische Infrastrukturen mit erweitertem Schutzbedarf.
Pain Points
  • Hohe Verfügbarkeitsanforderungen
  • Verpflichtende Nachweise
  • Starke Abhängigkeiten von OT/IT
Ziele
  • Erhöhter Schutzbedarf
  • Belastbare Notfallorganisation
  • Lückenfreie Compliance

Mittelstand & Konzerne

Einführung von Grundschutz++ in komplexen Unternehmensumgebungen.
Pain Points
  • Umfang des Grundschutzes
  • Komplexe Systemlandschaften
  • Mangelnde Ressourcen
Ziele
  • Effiziente Grundschutz-Einführung
  • Priorisierte Maßnahmen
  • Integrierte GRC-Prozesse

Was zu tun ist

Die 7 Schritte zur BSI Grundschutz++ Compliance
1

Kick-Off & Gap-Analyse

Abgleich des bestehenden Sicherheitsniveaus mit den Anforderungen des BSI-Grundschutzes und des erhöhten Schutzniveaus (++).
Zwei Kollegen diskutieren lächelnd bei der Arbeit vor einem Laptop in einem modernen Büro.
2

Strukturanalyse & Schutzbedarfsfeststellung

Ermittlung aller Geschäftsprozesse, Systeme und Informationen sowie Bewertung ihres Schutzbedarfs.
3

Modellierung & Grundschutz-Bausteine

Zuordnung der passenden IT-Grundschutz-Bausteine zu den identifizierten Strukturen.
4

Basis-, Standard- & Zusatzmaßnahmen

Ableitung und Priorisierung der Maßnahmenpakete, einschließlich der erweiterten Anforderungen für Grundschutz++.
5

Risikoanalyse für hohe und sehr hohe Werte

Vertiefte Risikoanalyse für besonders kritische Informationen oder Systeme.
6

Dokumentation & Nachweisführung

Vollständige, prüfbare Dokumentation aller Schritte, Entscheidungen und Sicherheitsmaßnahmen.
7

Optionale Auditvorbereitung

Schließen offener Lücken, Vorbereitung der Nachweise und Durchführung des Audits nach BSI-Grundschutz.

Methoden

Praxisbewährt, effizient und nachhaltig
Mehrere nach oben zeigende Pfeile, darunter ist ein großer Pfeil mit Schraffierung, auf einer schwarzen Tafel gezeichnet.

Change Management

Veränderungen nachhaltig verankern
Wir begleiten Ihr Team durch den gesamten Prozess, minimieren Widerstände und sorgen dafür, dass das ISMS im Alltag gelebt wird.
Nahaufnahme eines einzelnen Puzzlestücks mit Wassertropfen, das über einer Lücke auf einem Puzzlespiel leuchtet.

Workshops

Interaktiv und praxisnah
In zielgerichteten Workshops erarbeiten wir gemeinsam Anforderungen, Prozesse und Lösungen – verständlich, greifbar und direkt anwendbar.
Grünes, leuchtendes, abstraktes digitales Diagramm mit konzentrischen Kreisen und Gitterlinien.

Templates

Schneller starten mit Best Practices
Vorbereitete Vorlagen für Policies, Prozesse und Reports beschleunigen Ihr Projekt und reduzieren den Dokumentationsaufwand erheblich.
Mehrfarbige rechteckige Säulen unterschiedlicher Höhen vor schwarzem Hintergrund.

Reporting

Transparenz auf einen Blick
Klare Reports und Dashboards zeigen Fortschritt, Risiken und Compliance-Status – ideal für Management und Auditoren.

Risiken & Stolpersteine

Häufige Herausforderungen und wie wir sie lösen

Unklare Sektorenzuordnung

Mischkonzerne, neue Geschäftsfelder – passt das in NIS-2?
Unser Ansatz
  • Fehlendes ISMS Know-how
  • Knappe Ressourcen
  • Kundenanforderung nach Zertifikat

Ressourcenmangel

Technische Umsetzung überfordert das Team – Projekt verzögert sich.
Unser Ansatz
  • Fehlendes ISMS Know-how
  • Knappe Ressourcen
  • Kundenanforderung nach Zertifikat

Supply Chain Überforderung

200+ Lieferanten – alle assessen? Budget-Sprengung.
Unser Ansatz
  • Fehlendes ISMS Know-how
  • Knappe Ressourcen
  • Kundenanforderung nach Zertifikat

ISO 27001 als Vehikel

Ein ISMS für multiple regulatorische Anforderungen

NIS-2

EU-Anforderungen
Mit ISO 27001 als Basis NIS-2 einfach und sicher erfüllen.

DORA

Finanzsektor
DORA-Anforderungen einfach in Ihr ISO-27001-ISMS integrieren.

TISAX®

Automotive
ISO 27001 als starke Basis für eine effiziente TISAX-Compliance.

BSI

Grundschutz++
ISO 27001 gezielt mit BSI Grundschutz++ erweitern – für maximale Sicherheit.

ISO 27001

IS-Managementsystem
Die zentrale Basis für alle weiteren Compliance-Frameworks.

FAQs

Häufig gestellte Fragen zur BSI Grundschutz++ Compliance
Was ist der BSI IT-Grundschutz?
Der BSI IT-Grundschutz ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Methodik, um Informationssicherheit systematisch, nachvollziehbar und nach Stand der Technik umzusetzen.
  • ein etabliertes Vorgehensmodell zur Einführung eines ISMS
  • das IT-Grundschutz-Kompendium mit Bausteinen, Gefährdungen und Maßnahmen
  • die Grundlage für Zertifizierungen (z. B. ISO/IEC 27001 auf Basis von IT-Grundschutz)
Viele Behörden und Unternehmen nutzen den IT-Grundschutz als Referenzrahmen für ein auditfähiges und prüfsicheres Sicherheitsniveau.
Was ist IT-Grundschutz++ und warum wird er entwickelt?
IT-Grundschutz++ ist die geplante Weiterentwicklung des bisherigen IT-Grundschutzes. Ziele sind u. a.:
  • eine modernere, effizientere und deutlich stärker automatisierbare Methodik
  • modulare und objektorientierte „Praktiken“ statt rein textlicher Bausteine
  • maschinenlesbare Formate (z. B. JSON) für bessere Tool-Integration
  • klarere Priorisierung und Bewertbarkeit von Maßnahmen
  • engere Orientierung an modernen Technologien (Cloud, OT, KI) und internationalen Standards wie ISO/IEC 27001
IT-Grundschutz++ soll schrittweise ausgerollt werden. Unternehmen, die heute IT-Grundschutz nutzen, werden davon profitieren.
Wer profitiert von IT-Grundschutz und IT-Grundschutz++?
Folgende Organisationen gewinnen besonders:
  • Behörden und öffentliche Einrichtungen
  • kritische Infrastrukturen (KRITIS) und Betreiber wichtiger Dienste
  • Unternehmen mit erhöhtem Schutzbedarf oder regulatorischen Anforderungen
  • IT-, Cloud- und Software-Dienstleister sowie Rechenzentren
IT-Grundschutz++ richtet sich zudem an Unternehmen, die ihre Informationssicherheit stärker digitalisieren und automatisieren möchten.
Welche zentralen Anforderungen stellt der IT-Grundschutz?
Zu den wichtigsten Anforderungen zählen:
  • Aufbau eines ISMS inkl. Rollen, Verantwortlichkeiten, Richtlinien
  • Strukturanalyse und Schutzbedarfsfeststellung
  • Auswahl & Umsetzung der Maßnahmen aus den Bausteinen des Grundschutz-Kompendiums
  • Risikoanalyse für besonders kritische Bereiche
  • Dokumentation, Schulung, Sensibilisierung und kontinuierliche Verbesserung
Eine IT-Grundschutz-Beratung übersetzt diese Anforderungen in konkrete Maßnahmen und Prozessvorgaben.
Worin unterscheidet sich IT-Grundschutz++ vom bisherigen IT-Grundschutz?
IT-Grundschutz++ bringt wesentliche Neuerungen:
  • strukturierte, maschinenlesbare Praktiken statt textlastiger Bausteine
  • weniger Redundanzen, mehr Transparenz und Bewertbarkeit
  • Punktesysteme und Prioritäten für Vertraulichkeit, Integrität und Verfügbarkeit
  • deutlich bessere technische Integration in GRC- und ISMS-Tools
Der Übergang bedeutet weniger manuellen Pflegeaufwand und eine klarere Übersicht über Reifegrad und Sicherheitsniveau.
Müssen bestehende IT-Grundschutz-Umsetzungen komplett neu aufgebaut werden?
Nein. Ein bestehendes ISMS nach IT-Grundschutz bleibt eine wertvolle Grundlage.

Die meisten bestehenden Strukturen, Rollen, Richtlinien und Maßnahmen sind weiterhin nutzbar und können in die Logik von IT-Grundschutz++ überführt werden.

Eine professionelle Beratung hilft, den Übergang effizient und ohne unnötigen Mehraufwand zu gestalten.
Welche Vorteile bietet IT-Grundschutz++ gegenüber anderen Standards wie ISO 27001?
Zu den Vorteilen gehören u.a.:
  • sehr konkrete, praxisnahe Maßnahmenvorschläge
  • enge Ausrichtung an deutscher Gesetzeslandschaft und Verwaltungspraxis
  • gute Anschlussfähigkeit an ISO/IEC 27001
  • klarer Nachweis des „Standes der Technik“
  • künftig bessere Tool-Integration durch maschinenlesbare Formate
Oft ist eine Kombination sinnvoll: ISO 27001 als globales Rahmenwerk – IT-Grundschutz++ als praktische, detaillierte Umsetzung.
Welche Leistungen umfasst eine IT-Grundschutz / IT-Grundschutz++ Beratung?
Typische Bestandteile:
  • Ist-Analyse und Schutzbedarfsfeststellung
  • GAP-Analyse gegen Kompendium bzw. Grundschutz++-Zielbild
  • Entwicklung einer Umsetzungsroadmap
  • Aufbau oder Weiterentwicklung des ISMS
  • Unterstützung bei Tool-Einführung (ISMS/GRC)
  • Erstellung & Review von Richtlinien, Konzepten, Notfallplänen
  • Vorbereitung auf Prüfungen und Zertifizierungen
  • Schulungen & Awareness-Maßnahmen
Kostenloses Erstgespräch buchen
Wie starten Sie am besten in ein IT-Grundschutz / IT-Grundschutz++-Projekt?
Ein sinnvoller Start umfasst:
  • Zielbild definieren (Compliance, Zertifizierung, Reifegrad).
  • Strukturanalyse & Schutzbedarf durchführen.
  • GAP-Analyse gegen IT-Grundschutz bzw. Grundschutz++-Praktiken.
  • Roadmap & Maßnahmen zur Umsetzung erstellen.
  • Interne Audits, Management-Reviews und Verbesserungsprozesse etablieren.
Eine professionelle IT-Grundschutz++-Beratung begleitet Sie vom Einstieg über die Umsetzung bis hin zur nachhaltigen Verankerung im ISMS.
Kostenloses Erstgespräch buchen

Jetzt Klarheit bekommen

Erstgespräch vereinbaren – unverbindlich und kostenfrei
Wir bewerten Ihre aktuelle Compliance-Situation in einem 25-minütigen Erstgespräch, identifizieren Risiken und zeigen konkret, welche Maßnahmen Priorität haben und wie Sie diese strukturiert umsetzen.
Kostenfreies Erstgespräch
Lächelnder Mann mit Brille und Hemd, der in einem modernen Büro telefoniert.
© 2025 Nasari Consulting GmbH
Alle genannten Marken, Standards und Frameworks sind Eigentum der jeweiligen Rechteinhaber.
TISAX® ist eine eingetragene Marke der ENX Association.
Die Verwendung der Bezeichnungen dient ausschließlich der fachlichen Einordnung und impliziert keine Partnerschaft oder Empfehlung.