GRC als Service — ohne dass du dafür eine Abteilung aufbauen musst.
ISO 27001, NIS2, DORA, CRA und EU AI Act treffen dich gleichzeitig. VamiSec übernimmt das gesamte GRC-Tagesgeschäft als externer GRC-Stack — KI-gestützt, deutschsprachig, auditfähig ab dem ersten Tag.
GRC selbst aufbauen kostet 18 Monate, sechsstellige Budgets — und macht trotzdem nicht ruhig.
Compliance ist kein Projekt, sondern ein Dauerzustand. Die meisten GRC-Programme scheitern nicht am Audit, sondern an der Pflege danach.
Fünf Frameworks parallel
ISO 27001, NIS2, DORA, CRA, EU AI Act, DSGVO — alle mit eigenen Controls, Auditzyklen und teils widersprüchlichen Anforderungen.
Eine Person, drei Rollen
ISB, DSB und KI-Beauftragter sind oft dieselbe Person — ohne Zeit, ohne Tools, ohne Audit-Backup.
Excel & SharePoint reichen nicht
Risikoregister in Excel, Policies in Word, Maßnahmen in Tickets — nichts spricht miteinander, die Audit-Spur fehlt.
Re-Audit alle 12 Monate
Jährlich derselbe Marathon. Und jeder Lieferanten-Questionnaire bleibt zwei Wochen liegen.
Genau die Module, die du brauchst — nicht mehr, nicht weniger.
Jeder Baustein ist eigenständig buchbar und kombiniert KI-gestützte Plattform (VamiGRC) mit menschlicher Expertise (vCISO, DSB, KI-Beauftragter).
vCISO / GRC Officer on Demand
Erfahrener GRC-Officer als externer ISB/CISO. Steering-Committees, Audit-Begleitung und Vorstandsreporting in einer Hand.
Lead Auditor ISO 27001 & 42001Continuous Compliance Monitoring
VamiGRC überwacht 24/7 Controls, Policies und Risiken. Drift wird sofort erkannt und priorisiert.
OSCAL · ISO · NIS2 · DORAAudit- & Zertifizierungs-Readiness
Begleitung durch Stage-1-, Stage-2- und Surveillance-Audits. Wir kuratieren Evidenzen und sitzen mit am Auditortisch.
ISO 27001 · 27701 · 42001 · TISAXRisk- & Vendor-Management
Risikoregister, Risikoanalysen nach ISO 31000 und Lieferantenbewertung auf einer einzigen Datenbasis.
ISO 31000 · BSI 200-3 · NIS2 Art.21Policy- & Document-Lifecycle
Lebende Dokumentation: Policies werden generiert, reviewt, freigegeben und automatisch im Audit ausgespielt.
OSCAL · GenAI-assistiertIncident & BCM Response
24/7-SOC-Anbindung, Incident-Runbooks, BCM-Tests. NIS2-Reportingfristen werden eingehalten.
NIS2 24/72h · BSI 200-4DSB & Datenschutz-Office
Externe DSB-Funktion für DSGVO. Verarbeitungsverzeichnisse, DSFAs und Betroffenenanfragen — operationalisiert.
DSGVO · BDSG · TDDDGKI-Beauftragter (EU AI Act)
AI-Officer-Funktion für High-Risk-AI-Systeme. ISO 42001 ISMS, Conformity Assessments, Model Cards.
EU AI Act · ISO 42001 · NIST AI RMFDrei Phasen, ein klarer Pfad.
Diagnose (2–4 Wochen)
Gap-Analyse aller relevanten Frameworks, Reifegrad-Bewertung, dokumentierte Roadmap mit Prioritäten und realistischen Aufwänden.
Setup (8–16 Wochen)
VamiGRC-Plattform deployt, Policies aufgesetzt, Risiken erfasst, Maßnahmen geplant. Erstes Stage-1-Readiness-Assessment.
Betrieb (laufend)
Monatliche Steering-Committees, kontinuierliches Monitoring, Audit-Vorbereitung, Vorfallsmanagement, jährliches Re-Audit-Coaching.
Drei Einstiege, an deinen Reifegrad angepasst.
Du kannst jederzeit upgraden — die Bausteine bleiben dieselben, nur Tiefe und Frequenz ändern sich.
Starter
Für KMU mit 1–2 Frameworks
- 1 Framework (z.B. ISO 27001 oder NIS2)
- VamiGRC-Plattform inklusive
- Quartalsweise Steering-Calls
- Audit-Begleitung Stage-1 & 2
- Reaktive Vorfallsunterstützung
Professional
Mehrere Frameworks, dedizierter vCISO
- Bis zu 3 Frameworks parallel
- Dedizierter vCISO mit 8h/Woche
- Monatliche Reviews & Reporting
- Aktives Vendor- und Risikomgmt
- 24/7 Incident-Hotline
- Externe DSB inklusive
Enterprise
Konzern, multi-entity, hohe Audit-Frequenz
- Alle Frameworks + High-Risk-AI
- vCISO + KI-Beauftragter + DSB
- Wöchentliche Steering
- On-Prem oder EU-Sovereign-Cloud
- SOC-Anbindung optional
- Dedizierter Customer Success Lead
Was du wahrscheinlich gerade denkst.
Brauchen wir trotzdem noch einen internen ISB?
Nein. Der vCISO erfüllt die ISB-Funktion regulatorisch vollständig (ISO 27001, NIS2, BSI). Wir empfehlen eine interne Schnittstelle (Compliance-Beauftragte/r mit ~4h/Woche) für das Tagesgeschäft — das genügt.
Wie schnell sind wir audit-ready für Stage-1?
Realistisch 12–16 Wochen ab Setup-Start, vorausgesetzt das Top-Management committet sich zu Steering-Calls und Evidenzlieferung. Wir hatten Kunden in 9 Wochen — das war "all-in".
Was passiert bei einem Vorfall um 2 Uhr nachts?
Professional und Enterprise haben eine 24/7-Hotline. NIS2-Frühwarnung (24h) und Vollmeldung (72h) werden vom On-call-CISO koordiniert. Im Starter-Paket reaktiv am nächsten Werktag.
Sind unsere Daten in der VamiGRC-Plattform sicher?
Hosting in einem deutschen AWS-Frankfurt-Datencenter, ISO 27001 und BSI-C5-Type-2-zertifiziert. Verschlüsselung at-rest und in-transit, SSO via SAML/OIDC, vollständige Auditlogs. Optional EU-Sovereign-Cloud auf Anfrage.
Können wir später wieder selbst übernehmen?
Ja. Alle Policies, Risiken und Maßnahmen sind OSCAL-exportierbar. Wir machen explizite Knowledge-Handover-Phasen, wenn intern aufgebaut wird. Kein Vendor-Lock-In.
Macht ihr auch Pentests oder TLPT?
Pentests ja (Web, API, IoT, KI-Systeme). DORA-TLPT in Kooperation mit zertifizierten Red-Teams. Beide Leistungen sind nicht im GRCaaS-Grundpaket, aber sauber andockbar.
Lass uns 30 Minuten reden.
Keine Verkaufspräsentation — eine ehrliche Einschätzung deines Reifegrads und ob GRCaaS für dich passt.
Schützen Sie Ihr Unternehmen jetzt!
Kontaktieren Sie uns für eine individuelle Beratung und Sicherheitslösung, die auf Ihre Anforderungen abgestimmt ist.
Valeri Milke, CEO von VamiSec
"Nur wenn alle Instrumente gut aufeinander abgestimmt sind, wird Ihre Organisation sicher und compliant."