Wann gilt NIS2 bzw. ab wann müssen Unternehmen die Anforderungen umsetzen?

Das deutsche NIS-2-Umsetzungsgesetz soll voraussichtlich Ende 2025 in Kraft treten.Sobald das Gesetz das Bundeskabinett passiert und verkündet wird, ist es verbindlich gültig. Übergangsfristen sind nach aktuellem Stand nicht vorgesehen. Unternehmen sollten sich daher spätestens im Jahr 2025 aktiv vorbereiten, insbesondere in den Bereichen: Informationssicherheitsmanagement (ISMS) Risikomanagement Meldepflichten Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt Unternehmen mit einem Leitfaden, der konkrete Maßnahmen zur Verbesserung der Cybersicherheit und zur nationalen Umsetzung der NIS2-Richtlinie beschreibt.

Welche Betriebs-/Sicherheitsoptionen gelten?

EU-SaaS oder On-Prem, verschlüsselte Speicherung, RBAC, SSO/MFA, revisionssichere Protokolle und API-Zugänge für Alarmierung/CM.

Welche Dashboards sind üblich?

Status je Plan/Szenario, Kritikalität nach Standort/Prozess, Übungsfortschritt, RTO/RPO-Zielerreichung sowie übergreifende Ampeln.

Unterstützt GRASP Lieferketten-Abhängigkeiten?

Ja – Dienstleister, Standorte, Systeme und Schnittstellen werden in der BIA berücksichtigt; Ausfälle und Alternativen sind dokumentiert.

Wie verknüpft sich BCM mit ISMS/NIS2?

Risiken, Maßnahmen und kritische Abhängigkeiten sind durchgängig verbunden; Incidents lassen sich direkt in BCM-Szenarien überführen.

Wie werden Übungen/Tests dokumentiert?

Planung, Durchführung, Befunde, Maßnahmen und Re-Tests mit Nachverfolgung. Reporting zeigt Übungsabdeckung und Wirksamkeit.

Können wir Krisen- und Notfallpläne abbilden?

Ja – Planbibliothek mit Rollen, Checklisten, Kommunikationswegen, Eskalationen und Kontaktlisten; Reviews sichern Aktualität.

Wie funktioniert die BIA in GRASP?

Erhebung von Prozessen, Ressourcen, Abhängigkeiten sowie RTO/RPO und Auswirkungen; Ergebnisse priorisieren Maßnahmen und Wiederanlaufreihenfolgen.

Welche Standards adressiert das BCM-Modul?

BCM entlang ISO 22301 – mit Business-Impact-Analyse, Kontinuitäts-/Wiederanlaufplänen, Übungen/Tests und Verbesserungszyklen.

Welche Betriebs- und Sicherheitsoptionen gibt es?

Wahlweise EU-SaaS oder On-Prem; SSO/MFA, fein granulare Rollen, Verschlüsselung in Transit/at Rest und optionale SIEM-Anbindung.

Welche Standardberichte liefert GRASP?

Lagebericht, Management-Summary, Maßnahmenplan, Audit-Checklisten, Prüfpfade/Änderungshistorien sowie Export in PDF/CSV.

Wie funktioniert die Risikoanalyse nach 200-3?

Definition von Schadensszenarien, Eintrittswahrscheinlichkeit und Schadensausmaß; Ableitung von Maßnahmen und Bewertung der Residualrisiken. Berichte zeigen Prioritäten.

Wie läuft die Schutzbedarfsfeststellung?

Bewertung von Vertraulichkeit, Integrität und Verfügbarkeit je Objekt; Schutzklassen sind klar zuweisbar und änderbar. Ergebnisse fließen direkt in Maßnahmen-Priorisierung.

Gibt es Importe (Excel/GSTOOL/verinice)?

Ja – gängige Importpfade mit QS-Prüfungen helfen beim Wechsel. Dubletten werden erkannt, Zuordnungen geprüft.

Wie bildet GRASP Verbünde, Zielobjekte und Modellierung ab?

Hierarchische Strukturen, Verbund-/Netzsicht, Zielobjekte mit Attributen/Beziehungen und Wiederverwendungsbausteine. Massenbearbeitung erleichtert Updates.

Wie arbeitet GRASP mit dem IT-Grundschutz-Kompendium?

Bausteine und Anforderungen sind versioniert. Änderungen zwischen Editionen sind markiert; Umsetzungsstände lassen sich vergleichen.

Unterstützt GRASP die BSI-Standards 200-1/200-2/200-3?

Ja. Das Modul führt durch Vorgehensweisen nach 200-1/-2 und die Risikoanalyse nach 200-3 – inklusive Verbund-/Modellierungsfunktionen.

Welche Betriebsmodelle gelten hier?

EU-SaaS oder On-Prem mit identischen Security-Kontrollen. Optionen für dedizierte Mandanten, IP Allow Lists und Protokollexporte ans SIEM.

Welche Reports sind „aufsichtsfest“?

Management-Report, Maßnahmen-Status, Incident-Chronik, Risiko-Heatmap und Exportpakete für Prüfungen – mit Zeitstempeln und Änderungsverlauf.

Wie verhält sich NIS2 zu ISO 27001 in GRASP?

Sie können beide Sichten parallel nutzen. Mappings erleichtern die Wiederverwendung von Controls und Evidenzen, um Doppelarbeit zu vermeiden.

Unterstützt GRASP Third-Party bzw. Supply-Chain-Risiken?

Lieferanten-Register, Bewertungskriterien, Fragebögen und Maßnahmennachverfolgung sind enthalten. Risiken werden dem Gesamtprofil zugerechnet.

Bekommen wir ein zentrales Risikobild?

Ja. Risiko, Maßnahmen und Reifegraddaten fließen in Dashboards zusammen; Sie sehen Top-Risiken, kritische Abhängigkeiten und Trends.

Wie adressiert GRASP Melde- und Reaktionspflichten?

Vordefinierte Workflows für Incidents (Erstmeldung, Zwischenstand, Abschlussbericht), Eskalationen, Verantwortlichkeiten und Evidenzen – inklusive Export der Berichtsunterlagen.

Deckt das Modul unterschiedliche Sektoren ab?

Ja. Steuerung erfolgt über Profile/Vorlagen, die sich an sektorspezifische Anforderungen anpassen lassen (z. B. KRITIS-nahe Anforderungen, Lieferkettenrisiken, Meldewege).

Wie hilft GRASP bei NIS2-Compliance?

Das Modul führt durch Gap-Analysen zu NIS2-Pflichten, Maßnahmensteuerung, Risiko & Business-Impact-Bezügen und Berichtspflichten – mit Nachweisführung für Aufsichten.

Welche Betriebs- und Sicherheitsoptionen gibt es?

Wahlweise EU-SaaS oder On-Prem. SSO/MFA, Rollen-/Rechtekonzept, Audit-Logs, Verschlüsselung in Transit/at Rest sowie gesonderte Datenräume für Mandanten.

Wie lange dauert die Einführung typischerweise?

Für Piloten rechnen viele Kunden mit 6–10 Wochen (Scope, Datenmodell, Risikoansatz, erste SoA). Der Rollout hängt von Größe, Integrationen und Governance ab.

Wie unterstützt GRASP Audits und Zertifizierungen?

Auditprogramme, Stichproben, Feststellungen (Findings) mit Maßnahmen, Re-Tests sowie Export von Audit-Dossiers. Dashboards zeigen Reifegrad und Abweichungen; Nachweise/Evidenzen sind versioniert.

Gibt es Vorlagen und Best Practices?

Ja – z. B. Leitlinie zur Informationssicherheit, Risikokriterien, SoA-Vorlage, Maßnahmenplan, Audit-Checklisten und Management-Review-Template; alles anpassbar.

Wie funktioniert die Risikoanalyse?

Sie definieren Werte/Assets, Bedrohungen, Schwachstellen und Maßnahmen. Bewertungsraster sind konfigurierbar (Impact/Likelihood, qualitative oder semi-quantitative Skalen); Residualrisiken werden nach Maßnahmen fortgeschrieben.

Wie bildet GRASP Annex A (2022) und die SoA ab?

Alle Controls sind versioniert hinterlegt. Sie wählen anwendbare Controls, dokumentieren Begründungen, Umsetzungsstand, Verantwortliche und Evidenzen; die SoA entsteht automatisch und ist exportierbar.

Wofür ist das ISO-27001-Modul in GRASP gedacht?

Es unterstützt den vollständigen ISMS-Lebenszyklus nach ISO/IEC 27001:2022 – von Kontext & Scope über Risikoanalyse, SoA und Maßnahmensteuerung bis zu internen Audits und Management-Reviews.

Häufige Fragen

Wie geht GRASP mit günstigeren Angeboten von Wettbewerbern um?

Wir stehen für langfristigen Mehrwert und transparente Preisgestaltung. Eine Übersicht unserer Preise finden Sie jederzeit auf unserer Preisseite. Für Enterprise-Kunden erstellen wir individuelle Angebote – abgestimmt auf Ihre Anforderungen und Rahmenbedingungen. Welches Lizenzpaket Ihre Anforderungen am besten abdeckt, können wir gerne gemeinsam prüfen.

Bietet GRASP KI-Features?

GRASP verfügt bereits über integrierte KI-Funktionen wie die Fotoanalyse: Hochgeladene Bilder werden in Sekunden auf auditrelevante Risiken geprüft, die Ergebnisse automatisch dokumentiert und daraus konkrete, revisionssichere Maßnahmenpläne abgeleitet. Als Hersteller treibt DextraData GRC Technologies die KI-Entwicklung und -Forschung rund um GRASP kontinuierlich voran.

In welchen Regionen speichert GRASP Daten?

Standardmäßig erfolgt das Hosting über Azure Deutschland. Ebenfalls möglich ist ein Hosting über die STACKIT.

Welche Schnittstellen und Integrationen bietet GRASP?

GRASP integriert sich auf drei Wegen in Ihre Systemlandschaft: über fertige Integrationen (z. B. Slack, Microsoft Teams, Jira, ServiceNow, Freshservice, Okta, AWS, Azure Monitor, Google Cloud, SharePoint), über No-Code/Low-Code mit n8n oder Zapier sowie über eine REST-API mit bidirektionalem Sync, signierten Webhooks sowie Audit- und Fehler-Logs.

Bietet GRASP konfigurierbare Berichte für interne und externe Audits?

Ja, GRASP bietet ein umfassendes und auditkonformes Berichtswesen. Alle Berichte sind strukturiert aufgebaut und können in verschiedenen Formaten exportiert werden – darunter PDF und CSV – um eine flexible Weiterverarbeitung und Dokumentation zu ermöglichen.

Bietet GRASP die Möglichkeit zur Schutzbedarfsanalyse gemäß BSI?

Ja, mit GRASP lassen sich Schutzbedarfsanalysen vollständig abbilden. Die Schutzbedarfsfeststellung in GRASP bietet eine normkonforme Lösung zur Ermittlung und Verwaltung des Schutzbedarfs Ihrer Informationen und Assets – vollständig kompatibel zu den Anforderungen aus BSI 200-2. Die Bewertung erfolgt differenziert nach den drei zentralen Schutzzielen: Vertraulichkeit, Verfügbarkeit und Integrität. GRASP leitet den Gesamtschutzbedarf automatisch nach dem Maximalprinzip ab und macht so den höchsten Schutzbedarf sichtbar. Die Vererbung von Prozessen auf abhängige Assets bildet Risiken konsistent über die Wertschöpfungskette ab und lässt sich bei Bedarf per Verteilungs- oder Kumulationsprinzip individuell anpassen

Können Aufgaben in GRASP zugewiesen, priorisiert und mit Fristen versehen werden?

Ja, Aufgaben können in GRASP rollenbasiert delegiert, priorisiert und mit Fristen versehen werden. Das System unterstützt eine effiziente Aufgabenverteilung durch automatische E-Mail-Erinnerungen – für maximale Transparenz und Nachverfolgbarkeit.

Ist ein revisionssicheres Änderungs- und Aktivitätenprotokoll vorhanden?

Ja, GRASP dokumentiert alle Änderungen mit Zeitstempel, Nutzerkennung und Änderungsinhalt. Ein vollständiges Änderungs- und Audit-Log ist Bestandteil des Systems.

Verfügt das Tool über ein differenziertes Rollen- und Berechtigungskonzept?

Ja, GRASP bietet ein feingranulares Rechte- und Rollensystem. Nutzerrollen wie Bearbeiter, Prüfer oder Administratoren lassen sich projektbezogen zuweisen. Der Zugriff kann je Projekt einzeln gesteuert werden.

Wie gewährleisten Sie die Stabilität und Skalierbarkeit von GRASP?

GRASP basiert auf moderner Cloud-Technologie und wird kontinuierlich überwacht und weiterentwickelt.

Ist GRASP sicher und durch Dritte prüfbar?

Ja, auf Wunsch ermöglichen wir unabhängige Sicherheits-Assessments – einmalig oder in regelmäßigen Intervallen. GRASP ist nach ISO 27001 zertifiziert. Individuelle Prüfungen können in Absprache durchgeführt werden.

Wie aufwendig ist die Einführung von GRASP in unserem Unternehmen?

Die Implementierung von GRASP erfolgt strukturiert, effizient und praxisnah. Wir begleiten Sie mit erfahrener Projektleitung, technischer Beratung und einem klar definierten Onboarding-Prozess (KI-unterstützt). Darüber hinaus bietet GRASP einen integrierten Onboarding-Assistenten, hilfreiche Vorlagen und Checklisten, die den Einstieg zusätzlich erleichtern.

Wie ist das Preismodell von GRASP aufgebaut?

Das Preismodell von GRASP ist modular aufgebaut: Unternehmen buchen einzelne Module oder eine Kombination. Pro Modul stehen in der Regel zwei Pakete zur Auswahl – Professional (für kleinere bis mittelgroße Teams, inklusive 1 User) und Enterprise (für große bzw. abteilungsübergreifende Teams, Preis auf Anfrage). Die Laufzeit kann typischerweise auf 1 Jahr oder 3 Jahre gewählt werden. Sie erhalten auf unserer Preisseite die volle Übersicht.

Wie kommunizieren Sie im Notfall, z. B. bei Sicherheitsvorfällen in GRASP?

Im Falle eines Sicherheitsvorfalls folgt DextraData einem strukturierten Incident-Response-Prozess. Wir informieren betroffene Kunden umgehend über die relevanten Kommunikationskanäle, liefern transparente Informationen zum Vorfall, zu möglichen Auswirkungen und zu eingeleiteten Gegenmaßnahmen. Die Kommunikation erfolgt nachvollziehbar, DSGVO-konform und auf Wunsch auch abgestimmt mit den jeweiligen Informationssicherheitsverantwortlichen auf Kundenseite.

Wie unterstützt GRASP unsere Herausforderungen im Bereich Governance, Risk und Compliance?

GRASP unterstützt bei Transparenz, Struktur und Nachvollziehbarkeit in komplexen GRC-Prozessen. Durch die zentrale Erfassung, Bewertung und Überwachung von Risiken bietet GRASP eine fundierte Entscheidungsgrundlage für Audits, Management-Reviews und strategische Steuerung. Das integrierte Maßnahmen- und Verantwortlichkeitsmanagement ermöglicht eine eindeutige Zuweisung, lückenlose Nachverfolgung und revisionssichere Dokumentation aller compliance-relevanten Aufgaben.

Wie geht GRASP mit Wettbewerbsvergleichen um, z. B. bei günstigeren Angeboten?

Wir setzen auf langfristigen Mehrwert und transparente Preisgestaltung. Sie können unsere Preise auf unserer Preisübersicht einsehen. Wenn Sie ein Enterprise-Unternehmen sind, bestimmen wir Ihren Preis individuell mit Ihnen gemeinsam. Falls nötig, prüfen wir später auch gemeinsam die Optimierungsmöglichkeiten Ihres GRASP Pakets.

Skaliert GRASP mit unserem Unternehmen, z. B. bei Wachstum oder organisatorischen Veränderungen?

Ja, GRASP ist skalierbar und flexibel anpassbar. Die Lösung ist so konzipiert, dass sie sich mühelos an wachsende Unternehmensstrukturen, internationale Standorte oder Integrationsszenarien im Zuge von Übernahmen anpassen lässt. Mit wachsender Unternehmensgröße können beispielsweise weitere Scopes definiert werden.

Für welche Branchen ist GRASP besonders geeignet?

GRASP ist branchenunabhängig und für Unternehmen jeder Größe geeignet. Unsere Software wurde so entwickelt, dass sie flexibel in unterschiedlichsten Branchen und Organisationsformen eingesetzt werden kann – vom mittelständischen Unternehmen bis hin zum internationalen Konzern. Wir verfolgen bewusst keine Einschränkung auf bestimmte Branchen oder Unternehmensgrößen, denn wir sind überzeugt: Effektives Compliance-Management ist für jedes Unternehmen essenziell. Dank der hohen Skalierbarkeit und Anpassungsfähigkeit von GRASP lassen sich individuelle Anforderungen und Strukturen präzise abbilden – unabhängig von Komplexität oder Umfang.

Wie finde ich heraus, ob GRASP zu unserem Unternehmen passt?

GRASP ist modular aufgebaut, flexibel einsetzbar und wächst mit Ihrem Unternehmen. Sie können GRASP jederzeit mittels einer kostenlosen 30-tägigen Testversion ausprobieren. Wenn Sie in dieser Testphase Hilfe benötigen, können Sie sich jederzeit bei uns melden. Wir zeigen Ihnen gerne, wie GRASP Ihre individuellen Anwendungsfälle unterstützt – inklusive passender Beispiele aus Ihrer Branche.

Was passiert mit meinen Daten nach Ablauf der Testphase?

Wenn Sie Ihr Testkonto nicht aktiv verlängern, sich nicht melden oder GRASP nicht kaufen, werden Ihre Daten für eine definierte Aufbewahrungsfrist gespeichert. Danach werden sie automatisch und unwiderruflich gelöscht.

Kann ich die Trial-Version in eine Vollversion umwandeln, ohne Datenverlust?

Ja, die Trial-Version kann nahtlos in eine Vollversion überführt werden. Alle während der Testphase eingegebenen Daten bleiben dabei vollständig erhalten und stehen Ihnen ohne Einschränkungen weiterhin zur Verfügung.

Welche personenbezogenen Daten werden im Tool verarbeitet oder benötigt?

Die Verantwortung für Inhalte innerhalb der Software liegt beim Kunden. Zur Nutzung des Systems ist eine Registrierung erforderlich. Dabei müssen Nutzer einen Namen (dies kann auch ein Pseudonym sein) sowie eine gültige E-Mail-Adresse angeben. Weitere personenbezogene Daten sind für die Nutzung nicht erforderlich.

In welcher Region werden die Daten gespeichert und verarbeitet (Hosting in Deutschland, innerhalb der EU oder in einem Drittland)?

Standardmäßig erfolgt das Hosting über Azure Europe (auf Wunsch ist auch Azure Deutschland möglich).

Welche Support-Partner (Drittdienstleister, Entwicklungspartner) gibt es und/oder werden Cloud Services an Drittanbieter weitervergeben?

Unsere Kunden sind unsere „Entwicklungspartner“. Ansonsten wird alles direkt bei DextraData (inhouse) entwickelt. Die Cloud-Services werden nicht an Drittanbieter weitergegeben.

Ist die Software skalierbar und passt sie sich dem Wachstum meines Unternehmens an?

Ja, unsere GRC-Software wurde mit Blick auf Skalierbarkeit entwickelt, sodass sie mit Ihrem Unternehmen wachsen kann. Sie können bei zunehmendem Bedarf weitere Module oder Nutzerlizenzen hinzufügen.

Ist Single Sign-On (SSO) möglich?

Ja, GRASP unterstützt Single Sign-On (SSO). SSO ist im SaaS-Standard enthalten. Aktuell unterstützen wir SSO über Microsoft, LinkedIn und GitHub. Hierfür entstehen keine zusätzlichen Kosten.

Können Berichte und Dashboards individuell angepasst werden?

Zusätzlich zu unseren Standardberichten und Dashboards bieten wir die Möglichkeit individueller Anpassungen. Je nach gewähltem Leistungspaket können diese Individualisierungen als optionales Add-on hinzugebucht werden.

Bietet GRASP die Möglichkeit Berichte zu erstellen? Können diese exportiert werden?

Ja, Nutzer können aus einer Reihe standardisierter Berichte wählen oder individuelle, maßgeschneiderte Berichte nutzen. Berichte können in verschiedenen Formaten exportiert werden, einschließlich PDF, Excel und Word, um unterschiedlichen Analyse- und Präsentationsbedürfnissen gerecht zu werden.

Bietet die Software ein Rechte- und Rollenmodell?

Die Software verfügt über ein umfassendes Zugriffskontrollsystem, das es Administratoren ermöglicht, detaillierte Berechtigungen für jeden Nutzer oder Nutzergruppe zu definieren. Dadurch können sie genau festlegen, auf welche Daten und Funktionen zugegriffen werden kann.

Wie sicher sind die in der Software gespeicherten Daten?

Produktsicherheit hat bei DextraData höchste Priorität. Unsere Softwarelösungen setzen konsequent auf moderne Sicherheitsstandards zum Schutz sensibler Daten.

Entspricht die Software den geltenden Datenschutzgesetzen (z.B. DSGVO)?

GRASP wurde von Grund auf so konzipiert, dass es den Anforderungen aktueller Datenschutzgesetze entspricht. U. a. entsprechend Artikel 32 der DSGVO setzen wir geeignete technische und organisatorische Maßnahmen um, um die Sicherheit bei der Verarbeitung personenbezogener Daten zu gewährleisten.

Wie fördert GRASP die interne Kommunikation und Zusammenarbeit?

Unsere Software fördert die teamübergreifende Zusammenarbeit im GRC-Universum. Sie ermöglicht die gemeinsame Bearbeitung von Risiken, den Echtzeit-Austausch relevanter Informationen sowie die kollaborative Durchführung von Risikobewertungen und Maßnahmenplanungen. Dadurch wird nicht nur die Effizienz gesteigert, sondern auch eine unternehmensweite Kultur der Risikobewusstheit und Zusammenarbeit gestärkt.

Ist die Software für Unternehmen jeder Größe und Branche geeignet?

GRASP wird von Organisationen unterschiedlichster Größe und Branchen eingesetzt. Die Module für Informationssicherheitsmanagement (ISM) (ISO27001, IT-Grundschutz nach BSI, NIS2), Datenschutzmanagement (DSM), Business Continuity Management (BCM), Internal Audit (IA) und Qualitätsmanagement (QM) können flexibel als eigenständige Anwendungen genutzt oder nahtlos zu einem integrierten Managementsystem kombiniert werden. Gerne stellen wir Ihnen auf Anfrage passende Referenzen zur Verfügung.

Was passiert mit meinem Zugang wenn ich ihn nicht regelmäßig nutze?

Während der 30-tägigen kostenlosen Testphase bleibt Ihr Zugang uneingeschränkt aktiv. Sollte nach Ablauf der Testphase kann GRASP erworben werden. Eine Verlängerung der Testphase ist auf Anfrage möglich.