Werte schützen, Risiken minimieren

Ihr Partner für Datenschutz und Informationssicherheit

Einen Schritt weiter gehen

BCCO GmbH

Der digitale Wandel treibt die Wirtschaft an. Die wachsende Menge an Daten stellt Unternehmen aber auch vor Herausforderungen.

Nur wer den Schutz von Informationen ernst nimmt, kann sich erfolgreich entwickeln.

Mit Expertenwissen und jahrzehntelanger Erfahrung begleitet die BCCO GmbH Unternehmen bei Datenschutz und Informationssicherheit.

Die Leitlinien: Optimierungspotenzial erkennen, Risiken reduzieren, Wettbewerbsvorteile schaffen.

Kein Unternehmen gleicht dem anderen, deshalb gibt es bei uns keine Standard-Lösungen. Wir analysieren Ihre spezifischen Risiken und entwickeln pragmatische, wirtschaftliche und sichere Konzepte – für den Erfolg Ihres Unternehmens.

Martin Bickel, geschäftsführender Gesellschafter BCCO GmbH

Einen Schritt weiter gehen

Über die BCCO GmbH

Das Sachverständigenbüro plant und berät seit 1987 Unternehmen aus ganz Deutschland. Vom Standort Regensburg aus betreuen wir Kunden aus unterschiedlichen Branchen bei Datenschutz und Informationssicherheit.

Dabei bieten wir Ihnen die ganze Bandbreite an Leistungen: Schwachstellenanalyse, Risikoermittlung, Beratung und Ausarbeitung von Handlungsempfehlungen.

Auf Wunsch bereiten wir Ihr Unternehmen auf IT-Zertifizierungen vor oder begleiten Sie als externe Datenschutzbeauftragte oder Beauftragte für Informationssicherheit.

Je nach Projekt arbeiten wir mit einem Netzwerk aus Ingenieuren, Technikern oder Juristen zusammen.

Leistungen der BCCO GmbH

Informationssicherheit

Wer die Risiken kennt, kann angemessen darauf reagieren. Je nach Auftrag, beraten wir Sie, entwickeln passende Konzepte und helfen bei der Implementierung neuer Strukturen.

Dabei behalten wir immer die Wirtschaftlichkeit im Blick. Auf Wunsch bereiten wir Ihr Unternehmen auf ein Audit vor oder übernehmen das Mandat des Informationssicherheitsbeauftragten. Das Ziel: angemessene Sicherheit.

Das bieten wir Ihnen

Informationssicherheit ist ein Prozess der stetigen Verbesserung. Starten Sie jetzt, und profitieren Sie von unserem Fachwissen. Ob einmalige Beratung oder längerfristige Begleitung: Mit unserer Erfahrung als externe TÜV-Auditoren und Informationssicherheitsbeauftragte bieten wir Ihnen genau die Dienstleistungen, die Sie brauchen.

  • Wir erstellen Sicherheitskonzepte für das gesamte Unternehmen oder einzelne Bereiche und strukturieren Prozesse und Verhaltensweisen.
  • Wir analysieren Ihre Risiken, erfassen und beurteilen die Sicherheitsmaßnahmen. Anschließend erhalten Sie Handlungsempfehlungen zum Aufbau einer angemessenen Informationssicherheit.
  • Wir sensibilisieren Ihre Mitarbeiter für besondere Risiken.
  • Wir erfassen Ihre individuellen Risiken durch eine Schwachstellenprüfung (Scan). Sie erhalten ein neutrales Bild des Pflegezustands Ihrer IT-Systeme und Handlungsempfehlungen für kurzfristige Verbesserungen sowie mittelfristige Planungen.
  • Wir bereiten Sie auf Zertifizierungen vor, wie beispielsweise nach ISO 27001 – von der Planung eines Informationssicherheitsmanagementsystems (ISMS) über interne Audits bis hin zum Management von Verbesserungen. Damit weisen Sie die Wirksamkeit Ihres Informationssicherheitsmanagements nach und steigern das Vertrauen Ihrer Kunden.
  • Wir unterstützen Sie bei der Umstellung einer bestehenden Zertifizierung nach ISO 27001 auf die neue Version ISO 27001:2022
  • Wir übernehmen auf Wunsch das Mandat des Informationssicherheitsbeauftragten.

Datenschutz

Der Schutz personenbezogener Daten gilt oft als lästige Pflicht. Gleichzeitig fallen Verstöße nicht immer auf. Hier kann der Blick von außen helfen. Wer sich dem Thema Datenschutz stellt, minimiert Haftungsrisiken und schafft Vertrauen.

Wir beraten bei der Umsetzung nationaler oder internationaler Datenschutzbestimmungen. Je nach Auftrag analysieren wir Prozesse, optimieren gemeinsam oder übernehmen die Rolle des externen Datenschutzbeauftragten.

Das bieten wir Ihnen

Wir helfen Ihnen, Sicherheitslücken beim Datenschutz zu schließen. So sichern Sie Ihr Unternehmen ab und stärken das Vertrauen Ihrer Kunden. Profitieren Sie von punktueller oder langfristiger Unterstützung Ihrer Projekte durch unsere Experten – auch bei komplexen Fragestellungen.

  • Wir übernehmen für Sie das Mandat als externer Datenschutzbeauftragter. Damit erfüllen Sie Ihre gesetzliche Verpflichtung und profitieren von einer umfassenden und neutralen Beratung.
  • Wir entwickeln Datenschutz-Schulungskonzepte und unterstützen bei Bedarf neu bestellte Datenschutzbeauftragte.
  • Wir entwickeln für Sie eine interne Datenschutzorganisation und begleiten Sie bei deren Aufbau.
  • Wir unterstützen Ihren Datenschutzbeauftragten bei der Durchführung von internen Kontrollen oder begleiten das Unternehmen bei der gesetzlich vorgeschriebenen Überprüfung von Dienstleistern im Rahmen der Auftragsdatenverarbeitung.

Industrie 4.0: Industrial IT, ICS, OT, IOT

Industrielle Systeme und Steuerungssysteme werden zunehmend vernetzt. Verbunden mit IT-Systemen bilden sie unternehmenskritische Prozesse ab.

Doch wie können die Informationen und Prozesse angemessen geschützt werden?

Häufig sind die Sicherheitsstandards gering und Betriebszeiten lang. Hier sind spezielle Sicherheitskonzepte notwendig, um Ihre Werte zu sichern.

Das bieten wir Ihnen

Schützen Sie Ihren Maschinenpark und Ihre Produktionsumgebung. Wir helfen Ihnen, industrielle Systeme und Steuerungssysteme (Industrial Control System / ICS) abzusichern und sinnvoll einzubinden.

  • Wir analysieren Risiken, decken Schwachstellen auf und erarbeiten Konzepte für die Sicherheit der Industrie IT.
  • Konzepte für Industrie 4.0 und IIoT (Industrielles Internet of Things) und Schließen von Sicherheitslücken.
  • Sinnvolles Einbinden von OT (Operational Technology) in die IT-Systeme und Integration in ihr Sicherheitskonzept.
  • Sicherung der Netzwerke von Produktions- und Steuerungssystemen bis zur Mensch-Maschine- Schnittstelle.
  • Evaluierung von Systemen, die bisher nicht in die Sicherheitsstrategie eingebunden waren.

Normen, Zertifizierungen, Konformität

Mit einer Zertifizierung investieren Sie in die Zukunft Ihres Unternehmens. Zeigen Sie damit beispielsweise, dass Ihre IT-Sicherheit kontinuierlich den höchsten Standards entspricht. So können Sie neue Kunden gewinnen oder sich an Ausschreibungen beteiligen. Kurz: Zertifizierungen geben Ihren Kunden Sicherheit und zeigen Ihre Kompetenz.

NIS-2

Die EU-Richtlinie NIS-2 zielt darauf ab, für ganz Europa mehr Cybersicherheit zu bringen. Die Ausweitung des Geltungsbereichs auf viele Unternehmen, deren Fokus bislang nicht unbedingt Themen wie Cybersicherheit, Cyberhygiene oder Business Continuity waren, führt derzeit allerdings eher zu Verunsicherung.

Wir helfen Ihnen dabei, die Anforderungen herauszufiltern, die Ihr Unternehmen tatsächlich betreffen. Darauf aufbauend erarbeiten wir gemeinsam die notwendigen Schritte zur Umsetzung – hier haben wir immer auch ein Auge auf die Verhältnismäßigkeit der Maßnahmen und die positiven Effekte, die sich mit Verbesserungen im Sicherheitsbereich erzielen lassen. 

Als erfahrene Auditoren bereiten wir Ihr Unternehmen auf folgende Zertifizierungen vor:

ISO/IEC 27001 – Informationssicherheit

Die Norm ISO 27001 definiert alle Anforderungen für die Einführung, den Betrieb, die Überwachung und die ständige Verbesserung eines Informationssicherheitsmanagementsystems (ISMS). Damit zeigt die international anerkannte Norm, dass die Datensicherheit in Ihrem Unternehmen hohen Standards entspricht. Bei IT-Dienstleistungen gilt die Norm als wichtiger Standard, der im B2B-Bereich gefordert wird. Gleichzeitig ist die Zertifizierung häufig eine Voraussetzung für die Beteiligung an Ausschreibungen. Eine Zertifizierung nach ISO 27001 lohnt sich auch, da es sich um eine Basisnorm für zahlreiche branchenspezifische Normen handelt. Die Zertifizierung erfolgt über akkreditierte Zertifizierungsstellen und besteht aus einer Erst- oder Rezertifizierung im ersten Jahr und zwei Überwachungsaudits in den folgenden zwei Jahren.

TISAX – Trusted Information Security Assessment Exchange

Seit 2017 definiert diese Norm den von der deutschen Automobilindustrie geforderten Branchenstandard für Informationssicherheit. Seither verlangen viele Hersteller und Zulieferer von Ihren Geschäftspartnern eine TISAX-Zertifizierung. Die grundlegenden Anforderungen wurden von der Norm ISO 27001 abgeleitet. Hinzu kommen branchenspezifische Themen wie beispielsweise der Prototypenschutz.

ISO 27001 EnWG IT-Sicherheitskatalog §11 Abs.1a/b – IT Sicherheit für Netzbetreiber und Erzeuger

Eine Zertifizierung nach dem IT-Sicherheitskatalog der Bundesnetzagentur ist seit 2018 für Strom- und Gasnetzbetreiber Pflicht. Die Inhalte der Zertifizierung beruhen auf den wichtigsten Standards für Informationssicherheit wie ISO/IEC 27001 und ISO/IEC 27019 (spezifische Erweiterungen für Energienetze). Die Zertifizierung erfolgt über akkreditierte Zertifizierungsstellen im 3-Jahres-Zyklus.

KRITIS – Kritische Infrastrukturen

Versorgungs-Dienstleistungen, deren Ausfälle erhebliche Engpässe für die Bevölkerung hervorrufen, gelten als kritische Infrastruktur (KRITIS). Deren Betreiber müssen nachweisen, dass Ihre IT-Sicherheit aktuellen Standards entspricht. Welche Unternehmen unter diese Regelung fallen, hat der Gesetzgeber über die Branchenzuordnung und Schwellwerte definiert. Der Nachweis erfolgt alle zwei Jahre durch eine Prüfung nach §8a BSI-Gesetz. Gut zu wissen: Im April 2021 wurde das neue IT-Sicherheitsgesetz 2.0 verabschiedet, das die Anforderungen an die Betreiber erhöht. Wir informieren Sie bei Bedarf genau über die Auswirkung der Novelle für Ihr Unternehmen.

NIS-2 – verpflichtende Informationssicherheit für betroffene Unternehmen

Von der Prüfung des Geltungsbereichs über eine angemessene Implementierung eines Systems zur Erfüllung der Pflichten für Ihr Unternehmen bis hin zum laufenden Betrieb bieten wir Ihnen die Begleitung, die Sie benötigen. Wir unterstützen Sie bei der Einordnung in den Geltungsbereich der nationalen und internationalen Vorschriften und der Festlegung des spezifischen Anwendungsbereichs

  • Wir erstellen eine GAP-Analyse.
  • Wir nutzen unsere Erfahrung im Aufbau von Informationssicherheitsmanagementsystemen, um einen regelungskonformen Rahmen zu schaffen, der auf bewährten Prinzipien aufbaut und unterstützen Sie bei der Implementierung.
  • Unser Konzept basiert auf Standardmodulen der ISO27001, somit sind viele Voraussetzungen für eine mögliche spätere Zertifizierung nach ISO27001 bereits erfüllt.
  • Wir klären den Schulungsbedarf Ihrer Mitarbeiter und erstellen ein passendes Schulungskonzept
  • Wir übernehmen auf Wunsch das Mandat des Informationssicherheitsbeauftragten.

Übrigens – falls Ihr Unternehmen nicht direkt in den Geltungsbereich fällt: Die Forderung an betroffene Unternehmen, auf ein entsprechend hohes Schutzniveau in ihrer Lieferkette zu achten, kann dazu führen, dass von Ihren (potentiellen) Kunden gleichgerichtete Bedingungen an Sie herangetragen werden. Auch in diesem Fall können wir ein Konzept für Sie erstellen, wie Sie Forderungen dieser Art erfüllen können.

ISO/IEC 27701 – Datenschutz

Bei der ISO 27701 handelt es sich nicht um eine eigenständige Norm, sondern um eine Erweiterung der ISO 27001 und ISO 27002 um Datenschutzaspekte. Sie bietet Leitlinien für den Schutz der Privatsphäre und zum Umgang mit personenbezogenen Daten. Eine Zertifizierung lohnt sich besonders für Anbieter von Cloud-Diensten oder Auftragsverarbeiter.  Kern der Zertifizierung bleibt das Informationssicherheitsmanagementsystem (ISMS). Wichtig hierbei: Die Zertifizierung stellt aktuell keine Datenschutzzertifizierung gemäß Artikel 42 der DSGVO dar.

ISO/IEC 9001 – Qualitätsmanagement

Die ISO 9001 ist eine international anerkannte Norm, die Anforderungen an ein effektives Qualitätsmanagementsystem (QMS) festlegt. Sie wird von der Internationalen Organisation für Normung (ISO) veröffentlicht und kann von Organisationen jeder Größe und Branche angewendet werden. Die aktuelle Version der Norm ist ISO 9001:2015.

Hier sind die wesentlichen Aspekte der ISO 9001:

  1. Kundenzufriedenheit: Die Norm legt großen Wert darauf, die Bedürfnisse und Erwartungen der Kunden zu verstehen und zu erfüllen, um die Kundenzufriedenheit zu steigern.

  2. Prozessorientierter Ansatz: ISO 9001 fördert einen prozessorientierten Ansatz, bei dem alle Aktivitäten und Ressourcen, die zur Erreichung der Qualitätsziele beitragen, als zusammenhängende Prozesse betrachtet werden.

  3. Führung und Engagement der obersten Leitung: Die oberste Leitung muss ein starkes Engagement für das Qualitätsmanagementsystem zeigen und eine Kultur der kontinuierlichen Verbesserung fördern.

  4. Risikobasierter Ansatz: Die Norm fordert, dass Risiken und Chancen identifiziert und behandelt werden, um sicherzustellen, dass das QMS wirksam ist und die gewünschten Ergebnisse erzielt werden.

  5. Dokumentation und Aufzeichnungen: Eine angemessene Dokumentation ist erforderlich, um die Einhaltung der Norm nachzuweisen und die Konsistenz und Transparenz von Prozessen zu gewährleisten.

  6. Ressourcenmanagement: Die Norm betont die Bedeutung von Ressourcenmanagement, einschließlich der Bereitstellung geeigneter Infrastruktur, Arbeitsumgebung und Schulung der Mitarbeiter.

  7. Produktrealisierung: Dieser Abschnitt der Norm behandelt die Planung und Entwicklung von Produkten und Dienstleistungen, um sicherzustellen, dass sie die festgelegten Anforderungen erfüllen.

  8. Messung, Analyse und Verbesserung: ISO 9001 fordert die regelmäßige Überwachung und Messung der Prozesse, um die Leistung zu bewerten und kontinuierliche Verbesserungen zu fördern.

Die Implementierung eines nach ISO 9001 zertifizierten QMS kann Organisationen dabei helfen, ihre Betriebsabläufe zu optimieren, Risiken zu minimieren, die Kundenzufriedenheit zu erhöhen und ihre Marktposition zu stärken. Die Zertifizierung erfolgt durch externe Zertifizierungsstellen, die die Einhaltung der Norm überprüfen und bestätigen.

Hinweisgeberschutz nach HinSchG

Mit dem HinweisgeberSchutzGesetz (HinSchG) hat der Gesetzgeber die Pflicht zu Einführung und Betrieb einer internen Meldestelle für Unternehmen ab 50 Beschäftigten vorgegeben. Dabei sind die gesetzlichen Anforderungen, besonders an die Vertraulichkeit und die Unabhängigkeit sowie Fachkunde von Meldestellenbeauftragten (§ 15 Unabhängige Tätigkeit; notwendige Fachkunde) zu beachten.

Wir beraten Sie bei der Umsetzung, Änderung und dem Betrieb der internen Meldestelle, den wir auf Wunsch auch übernehmen.

Das bieten wir Ihnen:

  • Wir erklären die tatsächlichen Pflichten, Optionen und Risiken von Verstößen
  • Wir bieten Informationen zu Themen, wie der Beweislastumkehr bei behaupteten Repressalien
  • Wir stellen Templates zur verpflichtenden Information der Beschäftigten bereit
  • Wir übernehmen auf Wunsch das Mandat des Meldestellenbeauftragten und betreiben die interne Meldestelle für Ihr Unternehmen
3 Schritte

Wie wir arbeiten

01

Ist Analyse

Lassen Sie uns gemeinsam auf Basis Ihres individuellen Bedarfs, die Anforderung definieren. Wir analysieren neutral und objektiv um Ihnen Sicherheit für Ihre weiteren Entscheidungen zu geben.

02

Konzeption

Wir entwickeln auf Basis Ihrer Anforderungen und Ihrer Risikobereitschaft das angemessene Konzept, daß auch die Wirtschaftlichkeit als entscheidenden Faktor berücksichtigt.

03

Umsetzung

Wir finden gemeinsam einen individuellen Weg zur Umsetzung, abgestimmt mit Ihren personellen Möglichkeiten und Besonderheit, die sich durch betriebliche und auch externe Umstände ergeben können.

Lernen Sie uns persönlich kennen!

Erhalten Sie individuell und unverbindlich Auskunft.

Kontakt
Wir sind für Sie da!

Unser Hauptsitz ist in Regensburg aber wir sind in ganz Bayern, wie zum Beispiel in Weiden, Cham, Ingolstadt, Landshut und auch Deggendorf für Sie unterwegs.

BCCO GmbH
Hermann-Köhl-Straße 14
93049 Regensburg