FAQ's

Fragen?Antworten.

AlLGEMEIN
ISMS
Dsm
BCM
ERM
NIS2
ISO 27001
TISAX®
DORA

Allgemein

Which kind of organizations is Athereon GRC suitable for?

Athereon GRC is suitable for companies of all sizes and industries. We offer tailored solutions and extensive experience across various sectors.

Which frameworks does Athereon GRC target?

Athereon GRC is standards-open and supports a wide range of standards and frameworks, including ISO 27001, ISO 31000, BSI IT-Grundschutz and many more. You can also integrate your own customer frameworks. If you require a specific industry standard that we don't yet support, we'll be happy to implement it for you at short notice.

What is the pricing for an Athereon GRC solution?

Our offering is modular, allowing you to customize the solution that's right for you. Prices are based on company size classes (S, M, L, XL), to which your organization is assigned based on its size, number of locations, and regulatory area. Our sales team is happy to provide you with an initial cost estimate or a binding quote.

What services does Athereon GRC offer besides software solutions?

Our professional services such as training, customer success management, migration support and individual customizations perfectly complement our software offering.

Informationssicherheitsmanagement

Who needs an ISMS?

An ISMS is required by any organization that processes, stores, or transmits confidential, sensitive or business-critical information. This applies not only to large companies, but also to small and medium-sized businesses that need to protect the data of their customers, employees or partners.

In today's data-driven world, an ISMS makes sense for almost all companies. Some particularly safety-critical sectors and industries with globally interconnected supply chains are even required by regulations to implement and operate an ISMS and are regularly monitored by external auditors.

How do I have to manage my ISMS?

An ISMS must be structured and documented, clearly and comprehensibly describing an organization's security processes and measures. It is important that the ISMS not only exists in theory, but is actively implemented in practice and continuously monitored.

An ISMS can be managed in various forms, depending on the standards or norms the organization adheres to. Implementation is carried out with the help of consulting firms or in the form of a specialized software solution such as Athereon GRC.

What is an ISMS certification?

An ISMS certification is formal proof that a company has successfully implemented an ISMS and is operating it in accordance with recognized standards, such as ISO 27001. Through this certification, an independent certification body confirms that the company's ISMS meets the requirements of the standard and functions effectively.

ISMS certification helps companies gain the trust of customers, partners and authorities by demonstrating that the organization bases its information security processes on internationally recognized standards. It also ensures that the company actively monitors and continuously improves data security.

How can Athereon GRC support my company in this?

Athereon GRC pursues a fresh, modern ISMS implementation approach and offers all the software tools needed to fully implement an ISMS and operate it long-term in your own ISMS compliance cockpit. You receive support through numerous workflows. Because Athereon GRC operationalizes the ISMS and its requirements and automates documentation, our customers are highly satisfied with the long-term total cost of ownership of their ISMS implementation. The low cost of long-term operation of the ISMS is particularly appreciated.

Data Privacy Management

What is data protection management?

Data protection management covers all measures companies take to ensure the protection of personal data and comply with the requirements of the GDPR and the revised Data Protection Act. This includes the systematic collection, organization, storage and deletion of data, as well as employee training and the implementation of technical and organizational security measures. The goal is to prevent data protection violations, protect the rights of data subjects and create trust in the responsible handling of data.

Data protection management software – what are the benefits?

Athereon GRC is your comprehensive data protection management software that supports you in complying with all legal requirements such as GDPR. Athereon GRC offers transparent processes, efficient risk management and easy integration into existing systems. It also makes it incredibly easy to generate all reports for your stakeholders.

How can Athereon GRC help my company with data protection?

Athereon GRC supports you with a wide range of functions, including maintaining a register of processing activities (RoPA) in accordance with Art. 30 GDPR (General Data Protection Regulation). The software guides you through all relevant questions relating to data processing in your organization, allowing you to efficiently comply with data protection requirements and minimize liability risks. Thanks to automated workflows, predefined report templates and real-time overview, you can keep an eye on your data protection processes at all times.

Business Continuity Management

What is Business Continuity Management and who needs BCM?

Business Continuity Management (BCM) deals with the resilience of organizations.

A BCM is necessary to maintain operational capability even in crises. Regardless of size or industry, any company can be affected by unexpected events that could disrupt business operations—such as natural disasters, technical malfunctions, cyberattacks, or pandemic-related outages. Therefore, all companies that want to ensure they can continue operating even in difficult times need a BCM.

A BCM is therefore not only useful for many companies, but is often also a regulatory requirement in safety-critical sectors and industries. Stricter regulations such as DORA, NIS2, or new ISMS generations require the implementation and operation of a BCM, which is regularly monitored by external audit bodies.

How do I have to manage my BCM?

A BCM must be well-structured and documented, clearly defining how the organization responds to crises and emergencies and ensures its operational capability. It must be regularly reviewed, practiced, and adapted to new threats or changes within the company. The latest generation of ISMS standards, such as VDA TISAX® 6.1 or ISO 27001:2024, have made BCM even more relevant. The ISO 22301 and BSI 200-4 standards provide excellent international templates for developing a BCM.

The key components of reliable business continuity management include a documented BCM policy, a business impact analysis (BIA), risk management and assessment, contingency plans and recovery strategies, training and awareness strategies, testing and exercises, and ensuring continuous improvement. With an Athereon GRC solution, all of these elements are configurable and accessible on a single platform.

What is BCM certification?

A BCM certification is formal proof that a company has successfully implemented a BCM system and is operating it according to recognized standards, such as ISO 22301. Through this certification, an independent certification body confirms that the company's BCM meets the requirements of the standard and functions effectively .

BCM certification helps companies gain the trust of customers, partners, and authorities by demonstrating that they have set up their business processes with their business-critical risks in mind. It also ensures that the company can respond to incidents in a structured manner and continuously improve as an organization.

Enterprise Risk Management

What is Enterprise Risk Management?

Enterprise Risk Management (ERM) is a holistic approach that systematically identifies, assesses, and manages all of a company's risks—from financial to operational, strategic, and compliance risks. The goal is to identify potential threats early and proactively manage them to achieve corporate goals and ensure long-term success.

What benefits does Athereon GRC's ERM software bring to my company?

With Athereon GRC's risk management module, you gain a complete overview of your corporate risks and can efficiently assess and manage them to make informed decisions and comply with legal requirements. This minimizes potential threats and lays the foundation for sustainable corporate success.

Which enterprise risk management frameworks is Athereon GRC suitable for?

Athereon GRC supports all common frameworks such as ISO 31000, IDW PS 340, ISO 27005, and BSI 200-3. This allows you to easily adapt your risk management to established standards and ensure compliance with relevant regulations.

How can Athereon GRC support my company in risk management?

Athereon GRC offers fully integrated, cross-domain risk management. The end-to-end risk workflow maps the entire risk lifecycle and offers the appropriate functionality for every phase of the risk process. This allows you to establish interdisciplinary, enterprise-wide risk management.

NIS2

Was ist die NIS2-Richtlinie?

Die zweite Fassung derNetwork and Information Security-Richtlinie, kurz NIS2, dient zur Stärkung derCyberresilienzkritischer und wichtigerInfrastrukturenimöffentlichen wie privatenSektor innerhalb der EU. Konkret beinhaltet die aktualisierte Richtlinieverschärfte MaßnahmenundMeldepflichtenbei IT-Sicherheitsvorfällen für zahlreiche Unternehmen.

Wann kommt das NIS2-Umsetzungsgesetz in Deutschland?

Seit dem17. Oktober 2024gilt die EU-weite Verpflichtung für Mitgliedsstaaten, die neue NIS-2-Richtlinie durchnationales Rechtumzusetzen. Durch den Bruch der Ampelkoalition im November 2024 verzögert sich in Deutschland die rechtliche Umsetzung. Ein konkretes Datum für das Inkrafttreten eines entsprechenden Gesetzes in Deutschland ist zurzeit nicht bekannt, wird aberzeitnah erwartet.

Wer ist betroffen von NIS2?

Von der Neuerung sind deutlichmehr Branchenund Unternehmen betroffen, als dies bei der ersten EU-Richtlinie für Netzwerk- und Informationssicherheit der Fall war. Unternehmen sind außerdem in der Verantwortung,selbständig zu prüfen, ob sie von NIS2 betroffen sind.

In der Mehrzahl handelt es sich ummittlere und große Unternehmen. Welche Branchen konkret betroffen sind und welcher der beidenneuen Kategoriensie angehören, können Sie in unseremBlogpostzum Thema NIS2 genau nachlesen. Außerdem bietet dasBSI(Bundesamt für Sicherheit in der Informationstechnik) eine praktischeBetroffenheitsprüfungmit Fragen, die Ihnen helfen, IhrUnternehmen einzuordnen.

Wie lauten die neuen NIS2-Anforderungen?

Neu bei NIS2 sind vor allem dieempfindlichen Strafenbei Verstößen und dieverschärften Fristen und Anforderungenzur Meldung von IT-Sicherheitsvorfällen. Dazu wurden drei Zeitfenster erhoben, innerhalb derer es konkrete Auflagen für die Dokumentation gibt.

Was genau es zu tun gilt im Falle einesIT-Sicherheitsvorfallsund wie viel Zeit Ihr Unternehmen dazu hat, können Sie in unseremBlogpostzum Thema NIS2 genau nachlesen.

ISO 27001

Warum eine ISO 27001-Zertifizierung?

Eine Zertifizierung nach ISO 27001 bietetzahlreiche Vorteile, die für Organisationen von großem Nutzen sein können. Die Erfüllung der ISO 27001-Anforderung ist ein Nachweis über diehochwertige Informationssicherheitin Ihrem Unternehmen und dem zuverlässigen Umgang mit Informationen. Die Zertifizierung stärkt dementsprechend dasVertrauen von Kunden und Partnernund kann so einenWettbewerbsvorteilbieten. Der Prozess der (Re-)Zertifizierung fördertkontinuierliche Verbesserungender Sicherheitspraktiken und stärkt dieAbwehr gegen Cyberangriffe.

Ist ISO 27001 für kleine Unternehmen geeignet?

Ja, ISO 27001 ist auch für kleine Unternehmen geeignet. Die Norm bietet einenflexiblen Rahmen, der an die spezifischen Bedürfnisse und Ressourcen kleinerer Organisationen angepasst werden kann. Durch die Implementierung von ISO 27001 können kleine Unternehmen ihreInformationssicherheit verbessern, dasVertrauen von Kunden und Partnernstärken und sich besser gegenCyberbedrohungen schützen. Zudem hilft die Zertifizierung, gesetzliche Anforderungen zu erfüllen und sich imWettbewerb hervorzuheben. Auch wenn die Umsetzung anfangs herausfordernd wirken kann,profitieren kleine Unternehmen langfristigvon einem strukturierten Ansatz zur Informationssicherheit.

Was ist der Unterschied zwischen ISO 27001 und IT-Grundschutz?

Der Hauptunterschied zwischen derinternationalen ISO 27001und demdeutschen IT-Grundschutzliegt in ihrem Ansatz und ihrer Struktur. Beide haben ihre eigenen Vorteile und können je nach denBedürfnissen und Zieleneiner Organisation gewählt werden. Mit Athereon GRC ist es problemlos möglich, die vielenÜberschneidungen darzustellenund die Anforderungen beider Frameworksparallel zu erfüllen.

Wie unterstützt Athereon GRC mich bei den ISO 27001-Anforderungen?

Athereon GRC bildet alle Anforderungen der ISO 27001 in geführten Abschnitten ab, sodass Nutzer jedeAnforderung einzeln bearbeiten,Tickets erstellenoderNachweise verlinkenkönnen. Dasintegrierte Cockpitund die vielseitigen Werkzeuge ermöglichen einevollständige Abbildungaller Anforderungen – ohne zusätzliche Software. Dank flexibler Schnittstellen lässt sich Athereon GRCnahtlosin Ihre bestehendeIT-Landschaft integrieren.

TISAX®

Was ist eine TISAX®-Zertifizierung?

TISAX® (Trusted Information Security Assessment Exchange) ist ein Prüfverfahren für Informationssicherheit, das speziell für dieAutomobilindustrieentwickelt wurde. Der Erhalt desTISAX®-Labelsermöglicht es Unternehmen, ihre Informationssicherheitsstandards zu bestätigen, um dasVertrauenzwischen Geschäftspartnern zustärken. Der Prozess basiert auf den Anforderungen derENX Associationund fördert densicheren Austausch von Informationen in der gesamten Lieferkette. Ein gültiges TISAX®-Label ist oft Voraussetzung für dieZusammenarbeit mit Automobilherstellern und -zulieferern.

Welche TISAX®-Anforderungen gibt es?

Die TISAX®-Anforderungen umfassen verschiedene Aspekte der Informationssicherheit, die sich auf den Schutz von sensiblen Datenund dieRisikobewertungkonzentrieren. Ähnlich wie beiISO 27001müssen Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) implementieren, um Risiken zu identifizieren, zu bewerten und zu steuern. TISAX® umfasst drei unterschiedliche Schutzniveaus, sogenannteAssessment Level.

DieENX Associationbietet kostenlos ein umfangreichesTISAX®-Teilnehmerhandbuchmit allen weiterführenden Informationen an.

Wie lange hält das TISAX®-Zertifikat?

Ein erteiltes TISAX®-Label ist in der Regeldrei Jahre gültig. Nach Ablauf dieser Frist muss eineerneute Bewertungerfolgen, um die kontinuierliche Einhaltung der Informationssicherheitsanforderungen zu gewährleisten. Während der Gültigkeitsdauer können regelmäßige Überprüfungen oderNachauditserforderlich sein, um sicherzustellen, dass dieSicherheitsstandards aufrechterhaltenwerden.

Wie kann Athereon GRC mich bei der Prüfung nach TISAX® unterstützen?

Athereon GRC bildet alle Anforderungen der VDA TISAX® in geführten Abschnitten ab, sodass Nutzer jedeAnforderung einzeln bearbeiten,Tickets erstellenoderNachweise automatisierenkönnen. Alle Anforderungen sind für unterschiedliche Scopes (wie bspw. rechtliche Entitäten oder Werke) granular und modular gesondert abbildbar, sodass auch große Unternehmen immer den Überblick behalten. Dank flexibler Schnittstellen lässt sich Athereon GRCnahtlosin Ihre bestehendeIT-Landschaft integrieren. Mit Athereon GRC benötigen Siekeine weitere Softwarefür Ihr ISMS nach TISAX®.

DORA

Was ist die DORA-Verordnung?

Bei der DORA-Verordnung (Digital Operational Resilience Act) handelt es sich um von der Europäischen Union festgelegte, umfassende Anforderungen an die digitale operationale Resilienz für dengesamten Finanzsektor. Die Verordnung findet seit dem17. Januar 2025Anwendung in Deutschland.

Was hat der Digital Operational Resilience Act mit BAIT zu tun?

Die ehemals in Deutschland verbindlichen Bankaufsichtlichen Anforderungen an die IT (BAIT), herausgegeben durch die Bundesanstalt für Finanzdienstleistungsaufsicht, wurden imJanuar 2025in großen Teilen von der EU-weitenDORA-Verordnung abgelöst. Die Übergangsfrist für später zur DORA hinzugefügte Finanzunternehmen läuft am1. Januar 2027aus, wasDORA zum primären Anforderungskatalogfür betroffene Organisationen macht.

Wen betrifft DORA?

Die DORA-Verordnung betrifftalle Finanzunternehmen im Europäischen Wirtschaftsraum. Dazu zählen unter anderem Kredit- und Zahlungsinstitute, Versicherungsunternehmen und -vermittler sowie Wertpapierfirmen. Außerdem Kontoinformationsdienstleister, E-Geld-Institute, Anbieter von Krypto-Dienstleistungen, Verwaltungsgesellschaften, Ratingagenturen, Verbriefungsregister, Einrichtungen der betrieblichen Altersversorgung und viele weitere Unternehmen. In Teilen sindauch die IT-Dienstleister(z. B. Clouddienstleister) dieser Unternehmen von der DORA-Verordnung betroffen. EU-weit gelten die Anforderungen von DORA fürmehr als 22.000 Organisationen.

Wie kann Athereon GRC mein Unternehmen bei der Einhaltung von DORA unterstützen?

Athereon GRC unterstützt Ihr Unternehmen umfassend bei der Umsetzung der DORA-Anforderungen. Unsere Plattform bietet integrierte Module für unterschiedliche GRC Bereiche, so auch ISMS nach DORA:

  • IKT-Risikomanagement:Erfassung und Bewertung von IKT-bezogenen Risiken gemäß einem standardisierten Risikomanagementprozess. Verknüpfung mit Assets, Schwachstellen und Maßnahmen über ein zentrales Steuerungssystem.
  • Vorfallmanagement:Dokumentation, Klassifikation und Bearbeitung von Sicherheitsvorfällen inkl. Eskalationsmechanismen, Ursachenanalyse und Reportingfunktionen.
  • Resilienz- und Kontinuitätsmanagement:Abbildung von BCM-Prozessen zur Sicherstellung kritischer Geschäftsprozesse und Notfallverfahren gemäß ISO 22301.
  • Drittparteienmanagement:Integration von Dienstleistern in das Risiko- und Kontrollsystem inkl. Bewertung und Überwachung ausgelagerter IKT-Dienstleistungen.
  • Prüfbarkeit und Governance:Revisionssichere Dokumentation, Reporting auf Managementebene, Audit-Trails sowie Unterstützung bei der Erstellung von DORA-konformen Berichten für Aufsichtsbehörden.

Die flexible Konfigurierbarkeit von Athereon GRC ermöglicht eine passgenaue Abbildung Ihrer Governance-Strukturen und ein durchgängiges Kontrollframework zur Sicherstellung der digitalen Betriebsstabilität nach DORA.