grcproxy

DORA. NIS2. BSI IT-Grundschutz. — ISMS, BCM, ITSCM und IKT-Risikomanagement auf einem gemeinsamen Informationsverbund. Ohne Installation. Ohne Implementierungsprojekt.

Regulatorische Anforderungen

DORA, NIS2, BSI IT-Grundschutz: Compliance-Pflichten auch für kleine Unternehmen

Kleine Versicherungen, Versorgungskassen und regulierte Finanzdienstleister stehen vor denselben IKT-Compliance-Anforderungen unter DORA, NIS2 und BSI IT-Grundschutz wie Großunternehmen. Doch während große Unternehmen ganze GRC-Teams beschäftigen, fehlen kleinen Organisationen oft die Strukturen, das Personal und die Zeit.

Die Regulatorik kennt Verhältnismäßigkeit — aber keine Pflichtlosigkeit. Auch für kleine Unternehmen gilt: Prozesse müssen dokumentiert, Maßnahmen nachgewiesen und Überprüfungen regelmäßig durchgeführt werden.

hub

Grundprinzip

Ein Informationsverbund. Alle Resilienz-Nachweise.

Von Prozessen zu Risiken — ohne Excel-Silos.

grcproxy GRC-Plattform

ISMS, BCM, ITSCM und IKT-Risikomanagement in einer GRC-Plattform

grcproxy vereint alle Resilienz-Disziplinen auf einer gemeinsamen Datenbasis:

  • check_circle
    Strukturanalyse & Informationsverbund

    Prozesse, IT-Systeme, Anwendungen, Daten, Infrastruktur und Dienstleister einmalig erfassen — Schutzbedarf und Kritikalität werden automatisch auf abhängige Zielobjekte vererbt.

  • check_circle
    Business Impact Analyse (BIA)

    DORA, NIS2, BSI IT-Grundschutz, BSI 200-4 und ISO 22301 — alle wesentlichen Regelwerke fordern die BIA. Eine Analyse, die gleich mehrere Compliance-Nachweise liefert.

  • check_circle
    ITSCM — IT Service Continuity Management

    Fachliche Wiederanlaufanforderungen (RTO) mit tatsächlicher IT-Wiederherstellungszeit (RTA) abgleichen — Gap-Analyse direkt aus dem Informationsverbund, ohne separate Erhebung.

  • check_circle
    ISMS nach BSI IT-Grundschutz

    Automatische Modellierung: Bausteine des IT-Grundschutz-Kompendiums werden den Zielobjekten automatisch zugeordnet — Grundlage für IT-Grundschutz-Check, Risikobewertung und ISMS-Reifegradindex.

  • check_circle
    IKT-Risikomanagement

    Risikoidentifikation, Risikomatrix und Risikobehandlung — aggregiert nach Zielobjektgruppen, DORA-konform dokumentiert und berichtsfähig.

Keine Installation. Kein Implementierungsprojekt. Kein ISMS-Experte als Voraussetzung.

KRITIS, DORA, NIS2, BSI IT-Grundschutz — für wen ist grcproxy?

grcproxy richtet sich an regulierte Organisationen, die ihre IKT-Compliance-Pflichten strukturiert erfüllen und gegenüber Regulierungsbehörden nachweisen müssen — ohne eigenes GRC-Team:

schedule
Registrierungsfrist KRITIS-DachG: 17. Juli 2026.

Betreiber kritischer Anlagen müssen sich bis zu diesem Datum beim BSI registrieren. Risikoanalyse (April 2027) und Resilienzplan inkl. BCM-System (Mai 2027) folgen — die Umsetzungszeit läuft jetzt.

  • account_balance
    Kleine Versicherungen und Pensionskassen

    Unter DORA verpflichtet — unabhängig von Unternehmensgröße. grcproxy deckt den DORA-Risikomanagementrahmen nach Art. 6–10 sowie die BIA-Anforderungen nach Art. 11 ab.

  • savings
    Versorgungskassen und EbAV

    Der vereinfachte DORA-Rahmen nach Art. 16 gilt seit Januar 2025. grcproxy bietet einen strukturierten Einstieg ohne ISMS-Vorwissen.

  • groups
    Implementierungspartner und GRC-Dienstleister

    Unternehmen, die GRC-Projekte für regulierte Kunden umsetzen, nutzen grcproxy als strukturiertes Werkzeug — mandantenfähig, skalierbar und ohne individuellen Einrichtungsaufwand je Kunde.

  • shield
    KRITIS-Betreiber

    Betreiber kritischer Infrastrukturen in Energie, Gesundheit, Finanzen, Transport und weiteren Sektoren sind verpflichtet, ISMS und BCMS alle drei Jahre beim BSI nachzuweisen. grcproxy liefert beide Nachweise aus einer gemeinsamen Datenbasis.

  • corporate_fare
    NIS2- und BSIG-pflichtige Unternehmen

    Ab 50 Mitarbeitern in einem der 18 regulierten Sektoren gelten Sie nach BSIG als wichtige Einrichtung — mit Pflichten zu Risikomanagement, Meldewesen und Maßnahmennachweis. grcproxy unterstützt Risikoanalyse und Dokumentation nach NIS2 Art. 21.

  • verified_user
    Behörden und Organisationen mit BSI IT-Grundschutz-Pflicht

    Bundesbehörden, Landesbehörden und Unternehmen auf dem Weg zur IS-Zertifizierung. grcproxy ist offiziell durch das BSI lizenziert und hält das IT-Grundschutz-Kompendium stets aktuell.

gavel
Nachweis ist Pflicht — für alle regulierten Organisationen.

ISMS, BCM und IKT-Risikomanagement müssen nicht nur betrieben, sondern nachgewiesen werden — regelmäßig, strukturiert und prüffertig.

In 15 Minuten wissen Sie, ob grcproxy passt.

Kein Implementierungsprojekt, kein ISMS-Vorwissen nötig. Wir zeigen Ihnen die Plattform live — abgestimmt auf Ihre regulatorische Situation.

Demo anfragen
hub

Fundament aller Analysen

Gemeinsamer Informationsverbund

Alle relevanten Geschäftsprozesse, IT-Anwendungen, IT-Systeme, Daten, Dienstleister und Infrastrukturen werden einmal zentral erfasst. Auf dieser gemeinsamen Grundlage leitet grcproxy BCM-, ISMS- und ITSCM-Analysen konsistent ab.

Prozess chevron_right Information chevron_right Anwendung chevron_right System chevron_right Infrastruktur chevron_right Dienstleister

Drei Perspektiven auf dieselbe Datenbasis

BCM, ISM und ITSCM stellen unterschiedliche Fragen — greifen aber auf dieselben Strukturdaten zu. So entstehen belastbare Ergebnisse ohne redundante Erhebung und ohne fachliche Brüche zwischen den Disziplinen.

BCM

Business Impact Analyse

Schutzziel Verfügbarkeit
Ergebnis Verfügbarkeitsanforderungen im Notbetrieb (MTPD, RTO, RPO, MBCO)
DORA Art. 11 & 17 NIS2 Art. 21 BSI 200-4 ISO 22301 VAIT Kap. 9
ISM

Schutzbedarfsanalyse

Schutzziele Vertraulichkeit · Integrität · Verfügbarkeit · Authentizität
Ergebnis Schutzanforderungen im Normal- und Notbetrieb — Grundlage der ISMS-Modellierung
BSI IT-Grundschutz ISO 27001 NIS2 Art. 21 VAIT / BAIT
ITSCM

Gap-Analyse Wiederanlaufzeit

Schutzziel Verfügbarkeit
Ergebnis Abweichungen RTO vs. RTA — Maßnahmenbedarf IT-Wiederanlauf
DORA Art. 11 & 12 NIS2 Art. 21 BSI 200-4
merge_type
Drei Analysen. Eine Datenbasis. grcproxy erfasst einmal — BCM, ISMS, ITSCM und IKT-Risikomanagement profitieren gemeinsam. Keine redundante Erhebung, keine Inkonsistenzen zwischen Disziplinen.
Erfassen arrow_forward Analysieren arrow_forward Ableiten arrow_forward Umsetzen arrow_forward Nachweisen

Von der Analyse in den Betrieb

grcproxy überführt Analyseergebnisse automatisch in konkrete Aufgaben, Maßnahmen und Nachweise. Aus Schutzbedarfen, Wiederanlaufanforderungen und Risiken entstehen modellierte Controls, Risikobehandlungen und ein nachvollziehbarer operativer Betrieb für ISMS, ITSCM und IKT-Risikomanagement.

ISMS

ISMS-Betrieb nach IT-Grundschutz

Aus der Strukturanalyse werden Zielobjekte, Bausteine und Maßnahmen automatisch abgeleitet. grcproxy unterstützt IT-Grundschutz-Check, Umsetzungsstatus, Verantwortlichkeiten, Reviews und Nachweise — bis hin zu Risikobewertung nach BSI 200-3 und ISMS-Reifegradbetrachtung.

BSI IT-Grundschutz ISO 27001 NIS2 Art. 21 VAIT / BAIT
IKT-RISIKO

IKT-Risikomanagement & Risikobehandlung

Schutzbedarfe, Gefährdungen und Maßnahmen fließen in eine nachvollziehbare Risikobewertung ein. Risiken werden bewertet, aggregiert, behandelt und DORA-konform dokumentiert — inklusive Risikomatrix, Zielobjektbezug und Berichtsfähigkeit.

DORA Art. 6–10 NIS2 Art. 21 BSI 200-3 VAIT

BSI-basiert arbeiten. ISO-orientiert berichten.

grcproxy trennt operative Arbeitsweise und Berichtsperspektive klar voneinander — und verhindert damit zwei parallele Steuerungslogiken.

BSI-basiert

Operative Arbeitsweise

Informationsverbund, Schutzbedarfsanalyse, IT-Grundschutz-Check, Business Impact Analyse, Wiederanlaufzeiten und IKT-Risikobewertung — alles auf einer gemeinsamen BSI-basierten Datenbasis umgesetzt.

BSI IT-Grundschutz BSI 200-1 bis 4 DORA NIS2
ISO-orientiert

Ergänzende Berichtsperspektive

Die ISO-Sicht ist kein zweites ISMS — sondern eine zusätzliche Perspektive auf den BSI-basierten Umsetzungsstand. Sie zeigt, wie Maßnahmen und Ergebnisse aus ISO 27001- bzw. ISO 27002-Sicht einzuordnen sind. Das reduziert Komplexität und verhindert Parallelarbeit.

ISO 27001 ISO 27002 ISO 22301
layers
BSI ist die Arbeitsweise. ISO ist die Vergleichssicht.

Das reduziert Komplexität und verhindert parallele Steuerungslogiken zwischen ISMS-Betrieb und ISO-Audit-Vorbereitung.

Prüfungsfähige Nachweise — direkt aus dem Informationsverbund.

grcproxy erzeugt alle Register, Auswertungen und Berichte automatisch — ohne manuelle Aufbereitung, jederzeit aktuell und exportierbar.

Register

IDV- & Dienstleister-Register

Individuelle Datenverarbeitungen und IKT-Drittanbieter vollständig erfasst, versioniert und exportierbar — DORA-Anforderung Art. 28 direkt erfüllt.

DORA Art. 28 BSI IT-Grundschutz
Auswertungen

Schutzbedarf, Gaps & SPoF

Schutzbedarfsauswertungen, Gap-Analysen und Single Points of Failure werden direkt aus dem Informationsverbund abgeleitet — aggregiert, gefiltert, exportierbar.

BSI IT-Grundschutz NIS2 Art. 21
Reports

Management- & Prüfungsberichte

Revisionshistorie, Umsetzungsstände, Risikolage und Maßnahmenfortschritt als strukturierter Report für Management, Revision und externe Prüfung.

DORA Art. 6–10 ISO 27001 VAIT / BAIT
gpp_good

Offiziell BSI-lizenziert

Lizenzierte Nutzung des IT-Grundschutz-Kompendiums — autorisiert durch das BSI

update

Kompendium stets aktuell

Neue Bausteine ohne Verzögerung — keine Compliance-Lücken durch veraltetes Regelwerk

location_on

Daten in Deutschland

Serverstandort Deutschland — kein Drittland-Transfer, DSGVO-konform

Sprechen Sie mit einem Spezialisten.

Schildern Sie uns Ihre Situation — wir beraten Sie individuell und zeigen Ihnen, wie grcproxy Ihre konkreten Anforderungen abdeckt. Kostenlos und unverbindlich.

Demo anfragen

Implementierungspartner