International Organisation for Standardization (ISO), International Electrotechnical Comission (IEC) "ISO/IEC 27001:2022 ISO/IEC 27002 ISO/IEC 27701 DSGVO CCPA" Akkreditierte Zertifizierungsstellen, *(Internationale Akkreditierungsstellen) Datenschutzmanagementsysteme (PIMS) für die gesamte Organisation oder spezifische Bereiche Finanz- und Versicherungswesen, Gesundheit, Handel und Dienstleistungen, IT und Telekommunikation International Dieses Zertifikat wird branchenspezifisch manchmal zusätzlich zur ISO 27001 Zertifizierung gefordert. Erweiterung von ISO/IEC 27001 und ISO/IEC 27002 mit Fokus auf Datenschutzmanagement nach DSGVO und anderen Datenschutzgesetzen. Zertifizierungsverfahren Zertifikat 3 Jahre Re-Zertifizierungsaudit nach drei Jahren "Vor-Audit (Optional): Überprüfung des bestehenden ISMS auf Datenschutzkonformität. Phase 1 (Dokumentenprüfung): Kontrolle der PIMS-Dokumentation, z. B. Verzeichnis der Verarbeitungstätigkeiten. Phase 2 (Umsetzungsprüfung): Vor-Ort-Bewertung der Datenschutzmaßnahmen und Prozesse. Auditbericht: Detaillierte Ergebnisse und Empfehlungen. Zertifikatsausstellung: Nach erfolgreichem Auditbericht." "PIMS-Erweiterung: Implementierung eines Datenschutz-Informationsmanagementsystems (PIMS) basierend auf ISO/IEC 27701. Datenschutzbewertung: Analyse und Bewertung von Datenschutzrisiken. Dokumentation: Erstellung von Datenschutzrichtlinien, Datenflussanalysen und anderen relevanten Dokumenten. Sensibilisierung: Sensibilisierung der Mitarbeiter für Datenschutzanforderungen. Interne Prüfung: Interne Audits zur Sicherstellung der Einhaltung der PIMS-Anforderungen." "Hoch Umfasst die Erweiterung der ISMS-Dokumentation, Verzeichnis von Verarbeitungstätigkeiten, Einwilligungserklärungen, Betroffenenrechte und Nachweise zur Einhaltung von Vorgaben." "Jährliches Überwachungsaudit / interne Revision. Kontinuierliche Verbesserung des ISMS. Nachweise über die Wirksamkeit des (PIMS). Aktualisierung des VVT und relevanter Dokumente. Prüfung auf neue regulatorische Anforderungen." Typischerweise zwischen 10.000 und 30.000€, (zusätzlich zur ISO 27001-Zertifizierung) Bundesamt für Sicherheit in der Informationstechnik (BSI) "B3S (Branchenspezifische Sicherheitsstandards) IT-Grundschutz (BSI-Standards 200-X) ISO/IEC 27001:2022" BSI, Vom BSI zugelassene Prüfstellen Kritische Infrastrukturen und damit zusammenhängende Informationssysteme und Prozesse KRITIS (sektorspezifisch), Energie und Versorgung, Gesundheit, IT und Telekommunikation Deutschland Umsetzung eines geeigneten Sicherheitsstandards und die anschließenden Prüfung nach $8a nach BSIG sind gesetzlich vorgeschrieben. Gesetzlich vorgeschriebene Prüfung von Sicherheitsmaßnahmen für Betreiber kritischer Infrastrukturen (KRITIS). GesetzlichesPrüfverfahren Prüfbericht 2 Jahre Prüfung muss alle zwei Jahre wiederholt werden. "Dokumentenprüfung: Analyse der Nachweise zur Erfüllung der BSIG-Anforderungen. Vor-Ort-Prüfung: Kontrolle der tatsächlichen Sicherheitsmaßnahmen und -prozesse. Prüfbericht: Erstellung eines Prüfberichts zur Vorlage beim BSI. " "Anpassung des ISMS: Implementierung eines ISMS, das die Anforderungen des BSIG erfüllt. Risikomanagement: Durchführung einer Risikoanalyse für kritische Infrastrukturen (KRITIS). Dokumentation: Erstellung der Nachweise für IT-Sicherheitsmaßnahmen gemäß §8a BSIG. Sensibilisierung: Schulungen für Mitarbeiter zu KRITIS-spezifischen Sicherheitsanforderungen. Interne Prüfung: Durchführung einer Simulation der Prüfung zur Identifikation von Schwachstellen." "Hoch Umfasst Umsetzungsmanßnahmen, Risikoanalysen, Schutzkonzepte, Auditberichte, Meldungen und Dokumentation von Sicherheitsvorfällen." "Nachweise über die fortlaufende Erfüllung der Sicherheitsanforderungen. Dokumentation neuer Maßnahmen oder Veränderungen in der Infrastruktur. Aktualisierte Risikoanalysen und Prüfberichte." Typischerweise zwischen 15.000 und 50.000€ Zwischen 250 und 1.000 (Deutschland) ENX Association (European Network Exchange Association), Verband der Automobilindustrie (VDA) "ISO/IEC 27001:2022 VDA-ISA (Information Security Assessment) ISO/IEC 270XX " ENX Association akkreditierte Prüfstellen "Informationssicherheit speziell für die Automobilindustrie, insb. Kommunikationsaustausch. Es wird zwischen Assessmentlevel 1-3 unterschieden, je nach Kritikalität der Informationen als Self-Assessment oder externes Assessment" Automobilindustrie EU, International Branchenübliches Label im Automobilsektor, dass für die meisten Zulieferer verpflichtend ist. Branchenspezifisches Assessment für die Automobilindustrie, basierend auf ISO/IEC 27001 und ergänzt durch branchenspezifische Anforderungen. SelfAssessment, ExternesAssessment Label 3 Jahre Neues Assessment und Ausstellung eines neuen TISAX-Labels nach drei Jahren. "Selbstbewertung: Interne Überprüfung gemäß VDA-ISA. (AL 1-3) Vollständigkeits- und Plausibilitätsprüfung: der Selbstbewertung (AL 2-3) Vor-Ort-Überprüfung (AL 2-3) Vollständige Fernprüfung (AL 2,5) Assessment der Wirksamkeit und des Reifegrades des ISMS (AL 3) Assessmentbericht: Ergebnisse und mögliche Maßnahmen zur Verbesserung. TISAX-Label: Ausstellung des Labels nach erfolgreicher Prüfung." "Vorbereitung ISMS: Aufbau oder Erweiterung des ISMS basierend auf VDA-ISA. Risikomanagement: Identifikation und Bewertung der Risiken entlang der Lieferkette. Dokumentation: Erstellung der geforderten Nachweise und Dokumentationen gemäß TISAX-Katalog. Sensibilisierung: Schulungen der Mitarbeiter zu den Anforderungen von TISAX. Interne Prüfung: Simulation eines Assessments zur Identifikation und Behebung von Schwachstellen." "Mittel Umfasst die ISMS-Dokumentation gem. VDA-ISA, branchenspezifische Anforderungen, Sicherheitskontrollen, Nachweise zu Lieferkettenrisiken und Informationssicherheitsbewertungen." "Prüfung der Sicherheitsmaßnahmen und Aktualisierung bei neuen Risiken. Dokumentation über durchgeführte interne Assessments." Typischerweise zwischen 10.000 und 25.000€ Zwischen 2.500 und 5.000 (international) PCI Security Standards Council (PCI SSC) "ISO/IEC 27001:2022 NIST Cybersecurity Framework PCI DSS" Zugelassene Qualified Security Assessors (QSAs) "IT-Systeme und Prozesse von Organisationen, die Karteninhaberdaten speichern, verarbeiten oder übertragen. Je nach Kritikalität der Prozesse und Informationen werden vier Assessment- bzw. Auditlevel angeboten." Finanz- und Versicherungswesen, Handel und Dienstleistungen International Branchenübliches Testat im Finanzsektor, dass für die meisten Verarbeiter von Kreditkarteninformationen verpflichtend ist. Sicherheitsstandard zur Gewährleistung des Schutzes von Kreditkarteninformationen bei Speicherung, Übertragung und Verarbeitung. SelfAssessment, Audit Testat/Attestierung 1 Jahr Erneuter jährlicher Nachweis durch Self-Assessment (SAQ) oder externes Audit. "Selbstbewertung: Unternehmen führen ein Self-Assessment (SAQ) durch Lvl 1 (Optional für Lvl 2-4) Qualified Security Assessor (QSA) Engagement (Verpflichtend für Lvl 1) Dokumentenprüfung: Kontrolle der dokumentierten Sicherheitsmaßnahmen und Prozesse. Technische Prüfung: Tests der technischen Maßnahmen, wie Firewalls, Verschlüsselung und Protokollierung (verpflichtend für Lvl 1 und größere Organisationen). Fernprüfung (Optional für Level 2–3) Auditbericht: Erstellung des Report on Compliance (RoC) durch einen Qualified Security Assessor (QSA). Compliance-Attestierung: Ausstellung der Attestierung nach erfolgreicher Prüfung." "Netzwerküberprüfung: Identifikation und Segmentierung der Netzwerke, die Kartendaten verarbeiten. Risikomanagement: Bewertung der Risiken im Umgang mit Karteninhaberdaten. Technische Maßnahmen: Implementierung von Maßnahmen wie Verschlüsselung, Zugangskontrollen und Protokollierung. Sensibilisierung: Schulung der Mitarbeiter zum sicheren Umgang mit Kartendaten. Compliance-Check: Durchführung eines Self-Assessments und/oder eines internen Audits." "Hoch Umfasst Netzwerksicherheit, Zugriffskontrollen, Verschlüsselung, Protokollierung, Sicherheitsüberprüfungen und detaillierte Nachweise über die Kartendatenspeicherung und -verarbeitung." "Nachweise über regelmäßige Tests der Sicherheitsmaßnahmen (z. B. Penetrationstests). Aktualisierung der Dokumentation zur Netzwerksicherheit und Zugriffskontrolle." Typischerweise zwischen 10.000 und 50.000€ Bundesamt für Sicherheit in der Informationstechnik (BSI) "European Cybersecurity Act IT-Grundschutz Kompendium ISO/IEC 17788:2014 (IT - Cloud Computing - Overview) ISO/IEC 27001:2017 (ISMS) ISO/IEC 27017:2015 (ISMS - Cloud Computing) ISAE 3402" BSI, Vom BSI zugelassene Prüfstellen Sicherheitsanforderungen für Cloud-Dienste, typischerweise für Anbieter von Cloud-Lösungen für die gesamte Cloudumgebung oder spezifische Dienstleistungen Cloud-Anbieter Deutschland, Teilweise EU Optionales Testat zur Erhöhung der Sicherheit in von Cloud-Anbietern. Der C5 (Cloud Computing Compliance Criteria Catalogue) stellt Anforderungen an Sicherheit, Datenschutz und Compliance für Cloud-Anbieter, um die Vertrauenswürdigkeit ihrer Services zu erhöhen. Audit Testat/Attestierung 1 Jahr Jährliche Überprüfung der Einhaltung der C5-Kriterien "Dokumentenprüfung: Überprüfung der Sicherheitsrichtlinien und Nachweise. Technische Prüfung: Kontrolle der Umsetzung der Sicherheitsmaßnahmen in der Cloud. Auditbericht: Erstellung eines Berichts über die Einhaltung der C5-Anforderungen. Testatausstellung: Ausstellung der Attestierung nach erfolgreicher Prüfung." "Anpassung der Cloud-Prozesse: Einführung von Sicherheitskontrollen für Cloud-Dienste gemäß C5. Risikomanagement: Bewertung von Risiken im Cloud-Bereich und Erstellung eines Risikobehandlungsplans. Dokumentation: Erstellung von Sicherheitsrichtlinien und Nachweisen für die Cloud-Umgebung. Sensibilisierung: Schulung der Mitarbeiter zu Cloud-spezifischen Sicherheitsanforderungen. Testlauf: Simulation eines Audits, um die Konformität mit C5 sicherzustellen." "Hoch Umfasst Implementierung der CS Anforderungen, Sicherheitsrichtlinien, Sicherheitsmaßnahmen und detaillierte Berichte zu Cloud-Betriebsmodellen." "Nachweise über die Wirksamkeit der Sicherheitsmaßnahmen in der Cloud. Aktualisierung der Dokumentation bei Änderungen in der Cloud-Umgebung." Typischerweise zwischen 15.000 und 50.000€

Allgemeine Informationen				Zielgruppe			Prüfspezifika						Umsetzung
Herausgeber	Relevante Normen und Gesetze	Prüfinstanzen	Geltungsbereich / Anwendungsbereich	Zielanwender/-branchen	Anerkennungsraum	Umsetzungsempfehlung / Verbindlichkeit	Beschreibung	Prüfverfahren	Ergebnis	Gültigkeit	Rezertifizierung/erneuter Nachweis	Prüfschema	Vorbereitung	Dokumentations- und Implementierungsaufwand	Aufrechterhaltung	Auditkosten	Anzahl der Umsetzungen
Bundesamt für Sicherheit in der Informationstechnik (BSI)	BSI-Standard 200-X IT-Grundschutz Kompendium ISO/IEC 27001:2022 ISO/IEC 270XX	BSI, Vom BSI zugelassene Prüfstellen	Managementsystem für Informationssicherheit (ISMS) für einen ausgewählten Teilbereich oder die gesamte Organisation. Neben der Zertifizierung nach Kern- oder Standardabsicherung wird auch ein Testat zum Nachweis der Basisabsicherung abgeboten.	Öffentliche Verwaltung, KRITIS	Deutschland, Teilweise EU	Empfohlen in der öffentlichen Verwaltung. Kann geeignet sein, um Compliance-Vorgaben insb. im KRITIS-Sektor zu erfüllen.	Kombination der internationalen Norm ISO/IEC 27001 mit den spezifischen Sicherheitsanforderungen des BSI Grundschutzes.	Zertifizierungsverfahren	Zertifikat, Testat/Attestierung	3 Jahre	Re-Zertifizierungsaudit nach drei Jahren	Vor-Audit (Optional): Erste Überprüfung der Konformität und Identifikation von Lücken. Phase 1 Dokumentenprüfung: Überprüfung der ISMS-Dokumentation und IT-Grundschutz-Modelle. Phase 2 Umsetzungsprüfung: Vor-Ort-Audit zur Kontrolle der Umsetzung der Maßnahmen. Auditbericht: Erstellung eines Berichts mit Ergebnissen und ggf. Korrekturmaßnahmen. Zertifikatsausstellung: Nach erfolgreichem Abschluss des Audits.	Ausbau ISMS: Implementierung eines ISMS basierend auf der Grundschutzmethodik des BSI. Risikoanalyse: Durchführung einer Schutzbedarfsfeststellung und Modellierung gemäß IT-Grundschutz. Dokumentation: Erstellung und Pflege der notwendigen Richtlinien, Prozesse und Verfahrensdokumentationen. Sensibilisierung: Sensibilisierung und Schulung der Mitarbeiter in Bezug auf IT-Grundschutz-Methodik. Interne Prüfung: Vorbereitung auf das externe Audit durch interne Audits und Gap-Analysen.	Sehr hoch Umfasst umfangreiche ISMS-Dokumentationen, Sicherheitsprozesse, Schutzbedarfsfeststellung, Risikoanalysen, Sicherheitskonzepte, Maßnahmenumsetzung, interne Audits, Managementbewertungen, Schulungen und umfassende IS-Richtlinien.	Jährliche Überwachungsaudits, kontinuierliche Verbesserung des ISMS, alle 3 Jahre ein Rezertifizierungsaudit.	Zwischen 100 und 250 (Deutschland)	Typischerweise zwischen 20.000 und 50.000€	Zwischen 100 und 250 (Deutschland)
VdS Schadenverhütung GmbH (Vertrauen durch Sicherheit)	VdS 10000 (ISMS für KMU) VdS 10002 (Zertifizierung von Managementsystemen) VdS 100XX ISO/IEC 27001:2022	VdS, VdS-akkreditierte Auditoren	Managementsystem für Informationsicherheit (ISMS) für einen ausgewählten Teilbereich oder die gesamte Organisation	Alle (KMU)	Deutschland	Einsteigerfreundliche Zertifizierung für KMU, die ihre Informationssicherheit erhöhen möchten.	Praxisnaher Standard für KMU mit Fokus auf grundlegende Maßnahmen zur Absicherung von Unternehmens-IT.	Zertifizierungsverfahren	Zertifikat	3 Jahre	Re-Zertifizierungsaudit nach drei Jahren	Selbstbewertung (Optional): Interne Prüfung der Sicherheitsmaßnahmen. Phase 1 (Dokumentenprüfung): Kontrolle der dokumentierten Risikoanalysen und Sicherheitsrichtlinien. Phase 2 (Umsetzungsprüfung): Bewertung der tatsächlichen Umsetzung der Sicherheitsmaßnahmen Vor-Ort. Auditbericht: Zusammenfassung der Ergebnisse und eventueller Nachbesserungen. Zertifikatsausstellung: Nach erfolgreichem Auditbericht.	Ausbau ISMS: Entwicklung eines leichtgewichtigen ISMS, speziell für KMU. Risikoanalyse: Identifikation und Bewertung von Risiken im Unternehmen. Dokumentation: Erarbeitung und Pflege einer übersichtlichen und praxisnahen Dokumentation. Sensibilisierung: Schulungen und Awareness-Maßnahmen für Mitarbeiter zu den grundlegenden Sicherheitsanforderungen. Interne Prüfung: Durchführung eines internen Checks zur Bewertung der Maßnahmen.	MittelUmfasst kompakte und praxisorientierte ISMS-Dokumentation, Sicherheitsprozesse, Risikoanalysen und Maßnahmenpläne.	Jährliches Überwachungsaudit / interne Revision. Kontinuierliche Verbesserung des ISMS. Prüfung der Effektivität der implementierten Maßnahmen.	Typischerweise zwischen 5.000 und 15.000€	Zwischen 100 und 250 (Deutschland)
International Organisation for Standardization (ISO), International Electrotechnical Comission (IEC)	ISO/IEC 27001:2022 ISO/IEC 270XX	Akkreditierte Zertifizierungsstellen, *(Internationale Akkreditierungsstellen)	Managementsystem für Informationsicherheit (ISMS) für einen ausgewählten Teilbereich oder die gesamte Organisation	Alle, IT und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Automobilindustrie, KRITIS	International	Der DeFacto Standard in der Informationssicherheit. Ist oft eine Voraussetzung in öffentlichen Ausschreibungen.	International anerkannte Norm für die Implementierung, den Betrieb und die kontinuierliche Verbesserung eines ISMS.	Zertifizierungsverfahren	Zertifikat	3 Jahre	Re-Zertifizierungsaudit nach drei Jahren	Vor-Audit (Optional): Bewertung des ISMS und Identifikation von Schwachstellen. Phase 1 (Dokumentenprüfung): Überprüfung der ISMS-Dokumentation, Risikoanalysen und Maßnahmenpläne. Phase 2 (Umsetzungsprüfung): Vor-Ort-Audit zur Kontrolle der implementierten Maßnahmen. Auditbericht: Zusammenfassung der Ergebnisse und Empfehlung zur Zertifikatsvergabe. Zertifikatsausstellung: Nach erfolgreichem Auditbericht."	Ausbau ISMS: Aufbau eines international anerkannten ISMS gemäß ISO/IEC 27001. Risikoanalyse: Identifikation und Bewertung von Risiken und Entwicklung eines Risikobehandlungsplans. Dokumentation: Erstellung von Richtlinien, Prozessen und Nachweisen für die Informationssicherheit. Sensibilisierung: Sensibilisierung der Mitarbeiter für die Anforderungen der ISO/IEC 27001. Interne Prüfung: Regelmäßige interne Audits zur Vorbereitung auf die externe Zertifizierung."	Hoch Umfasst ISMS-Dokumentationen, Sicherheitsprozesse, Risikoanalysen, Risikobehandlungspläne, Maßnahmenumsetzungen, interne Audits, Managementbewertungen und umfassende IS-Richtlinien."	Jährliches Überwachungsaudit / interne Revision. Kontinuierliche Verbesserung des ISMS. Prüfung auf neue Bedrohungen und geänderte Rahmenbedingungen." Typischerweise zwischen 15.000 und 40.000€	Zwischen 1.000 und 2.000 (Deutschland) Zwischen 15.000 und 50.000 (EU) Über 50.000 (International)
International Organisation for Standardization (ISO), International Electrotechnical Comission (IEC)	ISO/IEC 27001:2022 ISO/IEC 27017 ISO/IEC 270XX"	Akkreditierte Zertifizierungsstellen, *(Internationale Akkreditierungsstellen)	Cloud-Dienste und -Prozesse, einschließlich Anbieter- und Kundenschnittstellen	Alle, Gesundheit, Finanz- und Versicherungswesen	International	Dieses Zertifikat wird branchenspezifisch manchmal zusätzlich zur ISO 27001 Zertifizierung gefordert.	Ergänzung zu ISO/IEC 27001 mit spezifischen Richtlinien und Maßnahmen für Anbieter und Kunden von Cloud-Diensten.	Zertifizierungsverfahren	Zertifikat	3 Jahre	Re-Zertifizierungsaudit nach drei Jahren	Phase 1 (Dokumentenprüfung): Überprüfung der Cloud-spezifischen Richtlinien und Nachweise. Phase 2 (Umsetzungsprüfung): Kontrolle der Umsetzung der Cloud-Sicherheitsmaßnahmen. Auditbericht: Erstellung eines Berichts mit Prüfungsergebnissen. Zertifikatsausstellung: Nach erfolgreichem Auditbericht.	Erweiterung des ISMS: Ergänzung des bestehenden ISMS um spezifische Sicherheitsmaßnahmen für Cloud-Dienste. Risikomanagement: Identifikation und Management von Cloud-spezifischen Risiken. Cloud-Dokumentation: Erstellung von Dokumentationen, die die Cloud-spezifischen Anforderungen und Kontrollen beschreiben. Dienstleisterbewertung: Prüfung und Bewertung von Cloud-Anbietern im Hinblick auf Sicherheitsanforderungen. Interne Prüfung: Durchführung eines Cloud-spezifischen Sicherheitsaudits.	Mittel Umfasst Ergänzungen der ISMS-Dokumentation, sicherhe Cloud-Architekturen, Vertragsanforderungen und geteilte Verantwortlichkeiten.	Jährliches Überwachungsaudit / interne Revision. Kontinuierliche Verbesserung des ISMS. Überprüfung von SLAs und geteilten Verantwortlichkeiten mit Cloud-Anbietern.	Typischerweise zwischen 5.000 und 15.000€, (zusätzlich zur ISO 27001-Zertifizierung)
International Organisation for Standardization (ISO), International Electrotechnical Comission (IEC)	ISO/IEC 27001:2022 ISO/IEC 27002 ISO/IEC 27017"	Akkreditierte Zertifizierungsstellen, *(Internationale Akkreditierungsstellen) Cloud-Dienste und Anbieter, die personenbezogene Daten verarbeiten Finanz- und Versicherungswesen, Gesundheit, Handel und Dienstleistungen, IT und Telekommunikation International Dieses Zertifikat wird branchenspezifisch manchmal zusätzlich zur ISO 27001 Zertifizierung gefordert. Ergänzung zu ISO/IEC 27001 mit spezifischen Anforderungen für den Schutz personenbezogener Daten in der Cloud. Zertifizierungsverfahren Zertifikat 3 Jahre Re-Zertifizierungsaudit nach drei Jahren "Phase 1 (Dokumentenprüfung): Kontrolle der Datenschutzrichtlinien und Nachweise. Phase 2 (Umsetzungsprüfung): Bewertung der Umsetzung von Datenschutzmaßnahmen. Auditbericht: Zusammenfassung der Ergebnisse. Zertifikatsausstellung: Nach erfolgreichem Auditbericht." "Erweiterung des ISMS: Anpassung des ISMS auf Datenschutzanforderungen für personenbezogene Daten in der Cloud. Risikomanagement: Bewertung der Risiken im Umgang mit personenbezogenen Daten in Cloud-Umgebungen. Datenschutzrichtlinien: Entwicklung von Richtlinien und Verfahren für den Schutz personenbezogener Daten. Sensibilisierung: Schulung der Mitarbeiter zu Datenschutz und Cloud-spezifischen Anforderungen. Interne Prüfung: Überprüfung der Cloud-Lösungen auf Datenschutzkonformität." "Mittel Umfasst Datenschutzrichtlinien für personenbezogene Daten, Datenschutzmaßnahmen, Rechte der Betroffenen, Verschlüsselung und Verfahren bei Datenschutzverletzungen." "Jährliches Überwachungsaudit / interne Revision. Kontinuierliche Verbesserung des ISMS. Aktualisierung der Richtlinien und Verfahren bei Änderungen der Cloud-Nutzung." Typischerweise zwischen 5.000 und 15.000€, (zusätzlich zur ISO 27001-Zertifizierung)