Warum ein Audit? Die regulatorische Landschaft wird komplexter.
Schweizer Unternehmen stehen vor einem wachsenden Geflecht an nationalen und internationalen Vorschriften. Ohne strukturierte Prüfprozesse riskieren Sie empfindliche Bussen, Reputationsschäden und operative Schwachstellen.
Risiken frühzeitig erkennen
Schwachstellen in IT, Prozessen und Compliance werden aufgedeckt, bevor sie zu kostspieligen Incidents werden. Proaktives Handeln spart bis zu 60% der Folgekosten.
Regulatorische Compliance sichern
nDSG, FINMA, OR 728 und internationale Normen wie ISO 27001 verlangen strukturierte Nachweise. Wir sorgen dafür, dass Sie bei jeder Prüfung bestehen.
Effizienzsteigerung und Kostensenkung
Energie-, Qualitäts- und Prozessaudits decken Optimierungspotenzial auf, das zu messbaren Einsparungen führt. Unsere Kunden sparen im Schnitt 15–25% operativer Kosten.
Vertrauen bei Kunden und Investoren
Zertifizierungen und unabhängige Prüfberichte stärken das Vertrauen bei Geschäftspartnern, Banken und Behörden. Ein Wettbewerbsvorteil, der messbar ist.
Kennzahlen, die handeln lassen.
NIST Cybersecurity Framework – Unser strukturierter Ansatz
Das NIST Cybersecurity Framework (CSF 2.0) des US National Institute of Standards and Technology gilt als globaler Goldstandard für Cybersicherheit. Wir nutzen es als Grundlage für strukturierte IT-Sicherheitsaudits – angepasst an Schweizer Recht und Branchenstandards.
🎯 NIST CSF Reifegradmodell: Wo steht Ihr Unternehmen?
Das NIST Framework definiert vier Reifestufen (Tiers). Unser Audit ermittelt Ihre aktuelle Stufe und zeigt den Weg zur nächsten Ebene.
Unsere Audit-Dienstleistungen im Überblick
Von IT-Sicherheit bis Finanzrevision – wir decken alle wesentlichen Prüfbereiche ab, die Schweizer Unternehmen heute benötigen.
Relevante Normen, Standards und Gesetze
Ein Überblick über die wichtigsten regulatorischen Anforderungen, mit denen wir Sie in Einklang bringen.
| Norm / Gesetz | Bereich | Zielgruppe | Audit-Typ | Charakter |
|---|---|---|---|---|
| NIST CSF 2.0 Cybersecurity Framework | IT-Sicherheit, Cyber-Risikomanagement | Alle Branchen, kritische Infrastrukturen | IT-Sicherheitsaudit | Best Practice |
| nDSG Neues Datenschutzgesetz CH | Datenschutz, Personendaten | Alle Unternehmen mit CH-Kundendaten | Datenschutz-Audit | Obligatorisch |
| ISO/IEC 27001:2022 Informationssicherheits-Managementsystem (ISMS) | IT-Sicherheit, ISMS | IT-Unternehmen, kritische Infrastrukturen | IT-Sicherheitsaudit | Normativ |
| ISO 9001:2015 Qualitätsmanagementsystem | Qualitätsmanagement | Industrie, Dienstleistung, Handel | Qualitätsaudit | Normativ |
| ISO 14001:2015 Umweltmanagementsystem | Umweltmanagement | Industrie, Produktion, Logistik | Umweltaudit | Normativ |
| ISO 45001:2018 Arbeits- und Gesundheitsschutzmanagementsystem | Arbeitssicherheit | Alle Branchen mit Sicherheitsrisiken | Sicherheitsaudit | Normativ |
| IKS Internes Kontrollsystem (OR Art. 728a) | Finanzkontrolle, Governance | Ordentlich revisionspflichtige AG/GmbH | Finanzrevision | Obligatorisch |
| FINMA-Rundschreiben Operationelle Risiken, Cyber-Risiken | Finanzbranche, Cyber-Risiken | Banken, Versicherungen, Fintechs | FINMA-Compliance-Audit | Obligatorisch |
| CIS Controls v8 Center for Internet Security | IT-Sicherheit, 18 Kontrollbereiche | Alle Unternehmen, KMU-geeignet | IT-Sicherheitsaudit | Best Practice |
So gehen wir vor – Schritt für Schritt
Unser strukturiertes 6-Phasen-Modell basiert auf dem NIST Cybersecurity Framework und bewährten Audit-Methodologien. So wissen Sie jederzeit, was als nächstes passiert.
Erstgespräch & Scope-Definition
KOSTENLOS
Im kostenlosen Erstgespräch analysieren wir gemeinsam Ihre aktuelle Situation, Ihr Risikoprofil und Ihre spezifischen Anforderungen. Wir definieren den Audit-Scope, die Ziele und die einzusetzenden Standards.
💻 Remote oder vor Ort
📌 NDA auf Wunsch
Dokumentenanalyse & Vorbereitung
Sie erhalten einen strukturierten Fragenkatalog und eine Checkliste der bereitzustellenden Dokumente. Unser Team analysiert Ihre Richtlinien, Prozessdokumentationen, bestehende Risikoanalysen und Systemdokumentationen vor dem eigentlichen Audit.
🕑 1-2 Wochen Vorlaufzeit
🔒 Verschlüsselter Datentransfer
Durchführung des Audits (Feldarbeit)
Unsere zertifizierten Auditoren führen die eigentliche Prüfung durch: Interviews mit Schlüsselpersonen, technische Tests, Prozessbeobachtungen und Systemprüfungen. Für IT-Audits nutzen wir branchenführende Tools (Nessus, OpenVAS, Qualys) kombiniert mit manuellen Tests.
🔧 Technische Tests
📄 Prozessbeobachtung
Analyse, Bewertung & Risikokategorisierung
Alle Befunde werden systematisch analysiert, nach Kritikalität (Kritisch, Hoch, Mittel, Niedrig) priorisiert und mit konkreten Handlungsempfehlungen verknüpft. Wir nutzen anerkannte Bewertungsmethoden wie CVSS für IT-Schwachstellen.
HOCH
MITTEL
NIEDRIG
Auditbericht & Managementpräsentation
Sie erhalten einen umfassenden Auditbericht mit Executive Summary, detaillierten Befunden, Nachweisen, Risikobewertung und priorisierten Empfehlungen. Auf Wunsch präsentieren wir die Ergebnisse direkt dem Management oder Verwaltungsrat.
🏆 Zertifikat auf Wunsch
👥 Management-Briefing
Umsetzungsbegleitung & Re-Audit
OPTIONAL
Wir begleiten Sie bei der Umsetzung der Empfehlungen, überprüfen den Fortschritt in regelmässigen Check-ins und führen nach Abschluss ein Bestimmungs-Audit (Re-Audit) durch, um die erfolgreiche Umsetzung zu bestätigen.
✅ Fortschritts-Tracking
📝 Re-Audit-Zertifikat
Massgeschneidert für Ihre Branche
Jede Branche hat ihre spezifischen regulatorischen Anforderungen. Wir kennen die branchenspezifischen Risiken und Compliance-Anforderungen.
Finanzsektor
FINMA, FIDLEG, GwG, BCBS 239, Operational Risk
Gesundheitswesen
nDSG besonders sensible Daten, KVG, Patientendaten-Schutz
Kritische Infrastruktur
KRITIS, NIS2-Äquivalente, ICS/SCADA-Sicherheit
Technologie & IT
ISO 27001, SOC 2, Cloud-Security, DevSecOps
Industrie & Produktion
ISO 9001, 14001, 45001, OT-Sicherheit, Industrie 4.0
Handel & E-Commerce
PCI DSS, nDSG, Verbraucherdatenschutz, Supply Chain
Ihre Fragen, unsere Antworten
❓ Wie lange dauert ein typisches IT-Sicherheitsaudit?
Ein IT-Sicherheitsaudit für ein KMU dauert je nach Scope zwischen 3 und 10 Arbeitstagen. Ein vollständiges NIST CSF-Assessment für mittelgroße Unternehmen umfasst typischerweise 5–8 Tage Feldarbeit plus 2–3 Tage für Analyse und Berichterstellung.
❓ Ist unser Unternehmen wirklich nDSG-pflichtig?
Das nDSG gilt für alle natürlichen und juristischen Personen in der Schweiz, die Personendaten bearbeiten – also praktisch für jedes Unternehmen. Besondere Pflichten gelten bei der Bearbeitung besonders schützenswerter Daten oder bei Datenweitergabe ins Ausland. In unserem kostenlosen Erstgespräch klären wir Ihre spezifische Situation.
❓ Was ist der Unterschied zwischen NIST CSF und ISO 27001?
ISO 27001 ist ein zertifizierbarer Standard mit konkreten Anforderungen an ein Informationssicherheits-Managementsystem. Das NIST CSF ist ein flexibler Rahmen (Framework), der Richtlinien und Best Practices für das Risikomanagement gibt, aber nicht direkt zertifiziert wird. Viele Unternehmen nutzen NIST CSF als Grundlage und implementieren dann ISO 27001 für die formale Zertifizierung. Wir kombinieren beide Ansätze optimal.
❓ Wie viel kostet ein Audit?
Die Kosten hängen vom Scope, der Unternehmensgröße und dem Audit-Typ ab. Ein Datenschutz-Quick-Check für KMU startet ab CHF 2.500. Umfassende IT-Sicherheitsaudits nach NIST/ISO 27001 beginnen bei CHF 8.000. Wir erstellen nach dem Erstgespräch ein transparentes Festpreisangebot ohne versteckte Kosten.
❓ Welche Dokumente brauchen wir für den Start?
Für den Start benötigen wir noch gar nichts – das Erstgespräch ist informell. Nach Auftragserteilung erhalten Sie eine detaillierte Checkliste. Typischerweise benötigen wir: Netzwerkdiagramme, Sicherheitsrichtlinien, Organigramm, Liste der IT-Systeme/Assets, bestehende Auditberichte und Risikoanalysen. Fehlende Dokumente erarbeiten wir gemeinsam mit Ihnen.
Bereit für Ihren Audit?
Lassen Sie uns sprechen.
Vereinbaren Sie noch heute Ihr kostenloses 60-minütiges Erstgespräch. Kein Verkaufsdruck, nur echte Expertise und ein konkreter Fahrplan für Ihre Compliance.