Meldepflichten und Supportpflichten greifen
Ab diesem Datum rücken Meldewege, PSIRT, Schwachstellenhandling und Security-Support in den Vordergrund. Für Hersteller sollte der Prozess deutlich vorher stehen.
Zum CRA-Update → Senior Consultant · IT & OT Security Cybersicherheit
Cybersicherheit
für Industrie
und Mittelstand
Cybersicherheit für Industrie und Mittelstand — Compliance nach NIS2, CRA, MVO und IEC 62443. Beratung, Gap-Analysen und Workshops im Raum Ulm, Augsburg, Günzburg und deutschlandweit.
Security Radar
Aktuelle Warnungen plus die regulatorischen Termine, die auf der Management-Seite wirklich Druck erzeugen.
Volle CRA-Anwendung
Spätestens dann müssen die übrigen CRA-Pflichten breit sitzen. Architektur, Entwicklungsprozess, Nachweise und Produktdokumentation brauchen Vorlauf.
CRA-Beratung ansehen →Nationale Umsetzung im Blick behalten
Für viele Unternehmen bleibt die deutsche Umsetzung der Taktgeber. Betroffenheit, Registrierung, Zuständigkeiten und Management-Verantwortung sollten trotzdem früh vorbereitet werden.
Betroffenheit prüfen →CyberRisikoCheck als schneller Einstieg
Wenn noch unklar ist, welche Baustellen zuerst anstehen, liefert der CyberRisikoCheck in kurzer Zeit ein belastbares Startbild.
Zum CyberRisikoCheck →Aktuell
Normen-Updates, Praxis-Guides und der wöchentliche Security Digest.
Die aktuellsten Beiträge für Management, IT, OT und Produktverantwortliche.
Normen & Regulierung
DIN EN 40000: Neuer CRA-Normenrahmen für Hersteller
Die Entwürfe der DIN EN 40000 zeigen, wie CRA-Umsetzung praktisch aussehen kann: Begriffe, Cyberresilienz, Risikomanagement, SBOM und Vulnerability Handling.
Normen & Regulierung
ENISA Playbook: Security by Design und Default für den Cyber Resilience Act
Das ENISA Playbook übersetzt Security by Design und Default in 22 konkrete Prinzipien mit Checklisten, Nachweisanforderungen und CRA-Mapping. Was Hersteller jetzt wissen müssen.
Normen & Regulierung
EN 18031: Cybersecurity-Konformitätsbewertung für Funkgeräte nach RED
EN 18031 verpflichtet Hersteller vernetzter Funkgeräte zur Cybersecurity-Konformität nach RED. Phasenmodell, Mechanismen und der Weg zum CRA.
Betroffenheit, Registrierung, Pflichten und Umsetzung für betroffene Unternehmen.
Produktpflichten, Maschinenverordnung und CRA-Roadmaps für Hersteller.
Normen & Regulierung
DIN EN 40000: Neuer CRA-Normenrahmen für Hersteller
Die Entwürfe der DIN EN 40000 zeigen, wie CRA-Umsetzung praktisch aussehen kann: Begriffe, Cyberresilienz, Risikomanagement, SBOM und Vulnerability Handling.
Normen & Regulierung
ENISA Playbook: Security by Design und Default für den Cyber Resilience Act
Das ENISA Playbook übersetzt Security by Design und Default in 22 konkrete Prinzipien mit Checklisten, Nachweisanforderungen und CRA-Mapping. Was Hersteller jetzt wissen müssen.
Normen & Regulierung
EN 18031: Cybersecurity-Konformitätsbewertung für Funkgeräte nach RED
EN 18031 verpflichtet Hersteller vernetzter Funkgeräte zur Cybersecurity-Konformität nach RED. Phasenmodell, Mechanismen und der Weg zum CRA.
Themen an der Schnittstelle von OT, Maschinen, CE und industrieller Cybersicherheit.
Normen & Regulierung
ENISA Playbook: Security by Design und Default für den Cyber Resilience Act
Das ENISA Playbook übersetzt Security by Design und Default in 22 konkrete Prinzipien mit Checklisten, Nachweisanforderungen und CRA-Mapping. Was Hersteller jetzt wissen müssen.
Praxis-Guide
MVO und CRA: Themenlandkarte für Maschinenbauer
Welche Themen liegen nur in der MVO, welche nur im CRA und was lässt sich gemeinsam angehen? Diese Themenlandkarte zeigt den Arbeitszuschnitt für Maschinenbauer.
Normen & Regulierung
CRA Update März 2026: Leitlinien, Standards und Förderung für Hersteller
CRA-Update für Hersteller und Maschinenbauer: Neue Leitlinien, Standardisierung und Förderung bis 29. März 2026. Was jetzt konkret zu tun ist.
Risikoklassifizierung und Pflichten für KI im Industrie- und Mittelstandskontext.
Schnell zur passenden Baustelle
Wählen Sie Ihre Perspektive und ich zeige den sinnvollsten Einstieg statt einer beliebigen Leistungsübersicht.
Betrieb, OT und Nachweise müssen zusammenpassen.
Wenn Produktions-, Versorgungs- oder standortkritische Prozesse betroffen sind, ordne ich OT-Security, NIS2-Pflichten und Management-Verantwortung gemeinsam ein.
- OT-Risiken, Segmentierung und Zonen-Conduit sauber strukturieren
- NIS2-Pflichten, Meldewege und Lieferkette belastbar vorbereiten
- Prioritäten für Werke, Standorte und kritische Prozesse festziehen
Wenn Sie zuerst den Reifegrad sehen wollen, ist der CyberRisikoCheck oft der pragmatische Einstieg.
Produkt, Entwicklung und Regulierung brauchen dieselbe Roadmap.
Bei vernetzten Produkten und Maschinen reicht eine reine IT-Brille nicht. Ich verbinde CRA, Maschinenverordnung, Secure Development und Nachweislogik zu einem umsetzbaren Fahrplan.
- SBOM, Vulnerability Handling und PSIRT greifbar machen
- Produktkonformität und Entwicklungsprozess zusammen denken
- Abstimmung zwischen Entwicklung, Produktmanagement und Management beschleunigen
Wenn zusätzlich KI-Funktionen im Produkt stecken, sollte der AI Act früh mitgedacht werden.
Sie brauchen schnelle Orientierung statt 80 Seiten Normtext.
Wenn Management, IT und Fachbereiche noch nicht sauber ausgerichtet sind, schaffe ich zuerst Klarheit über Pflichten, Risiken, Verantwortlichkeiten und die nächsten 90 Tage.
- Betroffenheit, Scope und Prioritäten zügig einordnen
- Management-taugliche Entscheidungsgrundlagen und Roadmaps aufbauen
- Executive-Briefings und Workshops auf die reale Lage zuschneiden
Für Teams ohne gemeinsame Ausgangslage ist ein Executive-Briefing oft der schnellste Hebel.
Sie brauchen einen belastbaren Startpunkt statt Aktionismus.
Wenn noch unklar ist, wo Governance, Technik und Organisation wirklich stehen, ist ein strukturierter Einstieg sinnvoller als isolierte Einzelmaßnahmen.
- Statusbild zu Technik, Organisation und Prozessen in kurzer Zeit
- Konkrete Maßnahmen statt abstrakter Reifegrad-Debatten
- Saubere Basis für Versicherung, Audit oder nächste Investition
Wenn danach ein ISMS oder NIS2-Pflichten relevant werden, ist die Anschlussroute bereits klar.
Oder direkt über typische Mandate einsteigen:
OT-Anlagen & KRITIS
Betreiber industrieller Anlagen und kritischer Infrastruktur — Risikoanalyse, IEC 62443, NIS2-Pflichten.
Mehr erfahren →Maschinenbauer & Hersteller
Hersteller vernetzter Produkte und Maschinen — Produktkonformität nach CRA, SBOM, Secure Development.
Mehr erfahren →Führungskräfte & Teams
Management und technische Teams — NIS2-Executive-Briefing, IEC 62443, CRA-Praxistag.
Mehr erfahren → BSI · DIN SPEC 27076
CyberRisikoCheck
Der anerkannte Standard für KMU. 27 Anforderungen. 1 Tag. Ein Plan.
- Statusbestimmung der IT-Sicherheit
- Konkrete Handlungsempfehlungen
- Erfüllt Anforderungen für Cyber-Versicherungen
- Durchführung durch zertifizierten IT-Sicherheits-Dienstleister
27 Anforderungen
1 Beratertag
Welches Thema greift typischerweise wann?
Die Matrix ersetzt keine Einzelfallprüfung, hilft aber schnell zu sehen, welches Regelwerk in Ihrer Ausgangslage meist zuerst Aufmerksamkeit verlangt.
hoch prüfen ergänzend
| Thema | Betreiber & OT | Maschinenbauer | KMU & IT | GF / CISO |
|---|---|---|---|---|
| NIS2 Governance, Risikomanagement, Meldewege und Nachweise. | hoch | prüfen | prüfen | hoch |
| CRA & MVO Für vernetzte Produkte, Maschinen und Produktorganisation. | prüfen | hoch | ergänzend | prüfen |
| IEC 62443 / OT Für Anlagen, Segmente, Zonen und industrielle Risiken. | hoch | prüfen | ergänzend | prüfen |
| ISO 27001 / ISMS Wenn Strukturen, Policies und ein belastbares System fehlen. | prüfen | prüfen | hoch | prüfen |
| CyberRisikoCheck Schneller Einstieg für kleinere Organisationen und Teams. | ergänzend | ergänzend | hoch | prüfen |
| EU AI Act Sobald KI-Funktionen, Hochrisiko-Kontexte oder regulatorische Produkte ins Spiel kommen. | ergänzend | prüfen | ergänzend | prüfen |
Leistungen
Compliance, Risikoanalyse und Workshops — aus einer Hand.
01
OT / IT Security
Risikoanalyse nach IEC 62443, Zonen-Conduit-Modell, NIS2-Pflichten für Betreiber kritischer Anlagen.
Mehr erfahren → 02NIS2-Compliance
Governance, Risikomanagement, Meldeprozesse und belastbare Nachweise für GF und CISO.
Mehr erfahren → 03CRA & Maschinenverordnung
SBOM, Secure Development Lifecycle, Produktkonformität — Roadmap für Maschinenbauer und Hersteller.
Mehr erfahren → 04ISO 27001 / ISMS
ISMS-Aufbau, Risikobeurteilung, BSI IT-Grundschutz-Umsetzung. Zertifizierungsvorbereitung.
Mehr erfahren → 05CyberRisikoCheck
BSI DIN SPEC 27076 — 27 Anforderungen, ein Beratertag, konkreter Maßnahmenplan für KMU.
Mehr erfahren → 06Workshops & Schulungen
NIS2-Executive-Briefing, IEC 62443 Workshop, CRA-Praxistag — für Führungskräfte und Teams.
Mehr erfahren → 07EU AI Act Beratung
Risikoklassifizierung, Gap-Analyse, Hochrisiko-KI in regulierten Produkten und nach Anhang III — für Industrie und Mittelstand.
Mehr erfahren →Was Sie am Ende konkret erhalten
Nicht nur eine Einordnung, sondern greifbare Arbeitsunterlagen für Management, Fachbereich und Umsetzung.
Betroffenheits- und Scope-Memo
Ich halte fest, was wirklich greift, was nicht greift und wo der eigentliche Prüfbedarf liegt.
Priorisierte Lückenliste
Nicht alles gleichzeitig, sondern eine belastbare Reihenfolge nach Risiko, Aufwand und Regulierung.
90-/180-Tage-Maßnahmenplan
Sie bekommen eine umsetzbare Abfolge statt einer losen Sammlung einzelner Aufgaben.
Entscheidungsvorlage für GF und Leitung
Verdichtet auf das, was Management wirklich freigeben, entscheiden oder eskalieren muss.
Pflichten-, Rollen- und Nachweismatrix
Wer macht was, bis wann und wie wird es später gegenüber Kunden, Auditoren oder Aufsicht belegt.
Workshop- und Umsetzungsunterlagen
Damit Ergebnisse nicht in Folien enden, sondern intern weitergetragen und benutzt werden können.
So läuft ein Projekt typischerweise ab
Klarer Ablauf statt offenem Beratungsversprechen. So entsteht aus der ersten Anfrage ein belastbares Ergebnis.
Erstgespräch & Einordnung
Ich kläre Zielbild, Zeitdruck, Scope und beteiligte Rollen, damit nicht am falschen Ende gestartet wird.
Betroffenheit & Gap-Analyse
Regelwerke, Pflichten und reale Lücken werden fachlich verdichtet statt nur grob gesammelt.
Roadmap & Prioritäten
Sie bekommen eine klare Reihenfolge für Management, Technik, Organisation und Nachweise.
Umsetzung & Nachweise
Workshops, Reviews und Unterlagen werden so aufgebaut, dass intern wirklich damit gearbeitet werden kann.
Kein Großkonzern.
Kein Junior-Berater.
Isa Topac — Inhaber TPC Security, Senior Consultant IT- & OT-Security. Als ehemaliger Head of Digital Transformation bei der VARTA AG (börsennotiert) weiß ich, wie Entscheidungen im Management wirklich getroffen werden. Ich berate direkt, ohne Overhead und ohne ausgelagertes Projektteam — vom ersten Gespräch bis zum umsetzbaren Ergebnis.
IT-Security-Auditor (TÜV Rheinland) Information Security Officer (TÜV Süd) BSI IT-Grundschutz-Praktiker CyberRisikoCheck (BSI) IT-Sicherheit in Produktionsanlagen (HsH)
Mehr über mich → 6+ Jahre IT-Leadership & Security
5 Zertifizierungen
(TÜV, BSI)
(TÜV, BSI)
1 direkter Ansprechpartner
Fragen vor dem Erstgespräch
Die häufigsten Rückfragen vor dem Einstieg beantworte ich lieber klar auf der Seite als erst nach drei Mails.
Wie läuft ein Erstgespräch ab?
Ich kläre im Erstgespräch zuerst Ausgangslage, Zielbild und Zeitdruck. Danach sage ich klar, ob eher Betroffenheitsprüfung, CyberRisikoCheck, Workshop oder ein fachlicher Deep Dive sinnvoll ist.
Arbeiten Sie nur strategisch oder auch operativ?
Beides. Ich ordne Pflichten und Risiken ein, übersetze sie in konkrete Maßnahmen und begleite bei Bedarf auch die operative Umsetzung mit Fachbereich, IT, OT oder Produktteam.
Ist die Beratung auch für kleinere Mittelständler sinnvoll?
Ja, gerade dort ist eine saubere Priorisierung wichtig. Nicht jedes Unternehmen braucht sofort ein großes Programm. Oft ist ein klarer Einstieg mit kurzer Analyse deutlich sinnvoller.
Remote oder vor Ort?
Beides ist möglich. Strategische Einordnung, Reviews und viele Workshops funktionieren remote gut. Für OT, Werke, Begehungen oder sensible Abstimmungen ist vor Ort oft sinnvoller.
Was ist der sinnvollste Einstieg, wenn intern noch Unklarheit herrscht?
Dann starte ich meist mit der Frage nach Betroffenheit, Scope und Reifegrad. Genau dafür sind die Betroffenheitsprüfung, ein Executive-Briefing oder der CyberRisikoCheck die richtigen ersten Hebel.
Bereit für den
nächsten Schritt?
Erstgespräch kostenlos. Antwort innerhalb von 24 Stunden.