NISG 2026 in Kraft — Registrierung wesentlicher & wichtiger Einrichtungen bis 31. 12. 2026 Betroffen? →

ISMS · GRC · OT — für KRITIS & Industrie im DACH-Raum

Compliance
operativ machen.

Normly verbindet ISO 27001, NIS2, DSGVO, DORA, RKEG und den EU AI Act in einer Plattform — mit Methodik-Tiefe bis in die OT. Strukturiert aufbauen in Wochen statt Monaten. Und danach: wirklich betreiben, nicht nur bestehen.

07
Standards & Gesetze
90
KI-Funktionen, EU-gehostet
93
Annex-A-Controls (ISO 27001)
60+
Fachmodule, ein System

Entwickelt aus der Praxis des Sicherheitsmanagements kritischer Infrastruktur · Pilotbetrieb bei einem österreichischen Energieerzeuger (KRITIS)

01

Warum ISMS-Projekte scheitern

Befund aus der Praxis — nicht aus dem Lehrbuch.

Excel-Silos

Risikoregister hier, Maßnahmenliste dort, SoA in Version 7_final_NEU. Nichts ist verknüpft, nichts ist aktuell, niemand traut den Zahlen.

→ Normly: Ein Datenmodell. Risiko, Asset, Maßnahme und Control referenzieren einander — ändert sich eines, rechnet das System nach.

Compliance als Einmalprojekt

Zum Audit wird aufgeräumt, danach veraltet alles wieder. Das Zertifikat hängt an der Wand, das ISMS lebt nicht.

→ Normly: Fristen-Engine, Wiedervorlagen, Wirksamkeitsprüfungen und PDCA-Workflows halten das System im Betrieb aktuell.

OT bleibt außen vor

Das IT-Tool kennt keine Leittechnik. Safety-Anforderungen kollidieren mit Security-Maßnahmen — und niemand sieht den Konflikt, bevor er teuer wird.

→ Normly: OT ist kein Add-on, sondern eigene Methodik: IEC 62443-Zonen, SL-Gaps, Safety-Security-Konfliktanalyse.

02

Ein System statt zwölf Insellösungen

60+ Fachmodule, ein Datenmodell, vernetzte Workflows.

Risikomanagement

Identifizieren, bewerten, behandeln — inklusive Restrisiko-Rechnung, Kaskaden und 4-Augen-Risikoakzeptanz. Quantitativ, wenn Sie es brauchen: FAIR-Monte-Carlo und LOPA eingebaut.

ISO 27005FAIRLOPA · IEC 61511

Assets & Schutzbedarf

IT, OT und physische Assets mit Schutzbedarf über Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität — Vererbung entlang der Abhängigkeiten automatisch.

CIA+AVererbung

Controls & SoA

Alle 93 Annex-A-Controls der ISO/IEC 27001:2022, Statement of Applicability auf Knopfdruck — als PDF, DOCX oder XLSX.

ISO 27001:2022SoA-Export

Maßnahmen & Wirksamkeit

Kanban, Verantwortlichkeiten, Abhängigkeiten — und Wirksamkeitsverifikation nach NISG §32, nicht nur „erledigt“-Häkchen.

NISG §32 lit. fPDCA

Audit-Management

Mehrjahres-Auditprogramm, Konzern-Modus, externes Auditor-Portal mit protokolliertem Zugriff. KI extrahiert Findings aus hochgeladenen Prüfberichten.

ISO 19011Auditor-Portal

Business Continuity

BIA mit RTO/RPO/MTPD, Notfallpläne, Übungen und Krisenorganisation — verknüpft mit Ihren kritischen Services statt daneben dokumentiert.

ISO 22301BSI 200-4

DSGVO-Suite

Verarbeitungsverzeichnis, DSFA, Betroffenenrechte mit Fristen-Engine, Datenpannen-Workflow (72 h) — integriert mit dem ISMS.

Art. 30 · 35Art. 33 · 72 h

Lieferkette

Lieferanten bewerten, Zertifikate prüfen, Self-Service-Fragebögen versenden — NIS2-konforme Lieferketten-Dokumentation.

NIS2 Art. 21(2)(d)

Threat Intelligence

Bedrohungslage automatisch beobachten, KI bewertet Relevanz für Ihre Branche und Assets — inklusive MITRE-ATT&CK-Zuordnung.

MITRE ATT&CKCVE

Außerdem: Whistleblowing (HSchG), EU-AI-Act-Register mit FRIA, DORA-Cockpit, Schulungen & Awareness, Dokumentenlenkung, Management-Review, Kennzahlen.

03

Echte Ansichten.
Keine Renderings.

Screenshots aus der laufenden Plattform — mit fiktiven Demo-Daten.

Normly Risikomatrix 5×5 mit Monte-Carlo-Simulation: 10.000 Szenarien, erwarteter Jahresverlust, Worst Case bei 95 % Konfidenz, empfohlenes Security-Budget nach Gordon-Loeb und erwarteter ROI
Risiken quantifiziert statt gefühlt: 5×5-Matrix, Value-at-Risk-Simulation mit 10.000 Szenarien, Security-Budget-Empfehlung und ROI — direkt im Risikoregister.
Normly Dashboard mit Compliance-Kompass über ISO 27001, NIS2, DSGVO, AI Act und DORA sowie GF-Haftungs-Score
Der Compliance-Kompass zeigt alle Normen auf einen Blick — inklusive GF-Haftungs-Score für die Leitungsebene.
Normly OT-Modul: Asset-Risikobewertung mit Hollerer-Score, SIL-Level, Security-Level Ist/Soll, PERA-Ebene und erkannte Safety-Security-Konflikte
OT-Assets mit SIL, Security-Level Ist/Soll und Hollerer-Score — darunter automatisch erkannte Safety-Security-Konflikte.
04

OT ist hier kein Etikett.
Es ist Ingenieursmethodik.

Der Unterschied, den kein Mainstream-GRC-Tool bietet.

Wer Leittechnik betreibt, weiß: IT-Security-Logik lässt sich nicht einfach auf OT übertragen. Ein Patch, der die Safety-Zertifizierung bricht, ist keine Maßnahme — er ist ein neues Risiko. Normly implementiert deshalb echte OT-Risikomethodik, keine umetikettierten IT-Checklisten.

  • Risikomodell nach Hollerer (TU Wien, 2025) — publizierte OT-Risikoforschung mit Branchenprofilen, im Tool berechenbar statt im Beraterkopf.
  • IEC 62443 Zonen & Conduits — Netzsegmentierung modellieren, Security-Level-Gaps (SL-T vs. SL-A) automatisch erkennen.
  • Safety trifft Security — 23 dokumentierte Konfliktmuster zwischen Safety-Anforderungen und Security-Maßnahmen, SIL-Bewertung nach IEC 62061.
  • Quantitativ, wo es zählt — FAIR-Monte-Carlo-Simulation (10.000 Iterationen, Verlustverteilung) und LOPA-Schutzschichtanalyse nach IEC 61511. Getestete Rechen-Engines, keine Schätz-Folien.
05

KI als Assistent.
Nicht als Entscheider.

90 KI-Funktionen — jede davon EU-gehostet und protokolliert.

Normly nutzt KI dort, wo sie echte Arbeit abnimmt: Audit-Berichte auswerten, Risiken vorbewerten, Richtlinien entwerfen, Verarbeitungsverzeichnisse aus Bestandsdaten generieren. Die Compliance-Logik selbst bleibt deterministisch und regelbasiert — Ihr Score halluziniert nicht.

  • EU-Datenresidenz, im Code erzwungen. KI-Verarbeitung ausschließlich in der EU-Region (Frankfurt). Ein Nicht-EU-Anbieter ist technisch nicht konfigurierbar — das ist Architektur, keine Einstellung.
  • Dreistufige PII-Schwärzung. Personenbezogene Daten werden vor jedem KI-Aufruf automatisch erkannt und pseudonymisiert — per Mustererkennung, Datenbank-Kontext und NER-Analyse.
  • Gekennzeichnet und begründet. KI-Ergebnisse sind als Vorschlag markiert, liefern ihre Begründung mit und sind auf menschliche Prüfung ausgelegt. Ihre Daten werden nicht für Modell-Training verwendet.
  • Revisionssicher protokolliert. Jede KI-Interaktion landet im Audit-Log: wer, wann, welche Funktion, welches Ergebnis. Kontingente und Kostenkontrolle inklusive.
06

Einmal umsetzen.
Mehrfach nachweisen.

Cross-Framework-Mapping auf Klausel-Ebene.

ISO/IEC 27001:2022Informationssicherheit NIS2 · NISG 2026AT-Umsetzung + DE DSGVODatenschutz DORAFinanzsektor-Resilienz RKEGResilienz kritischer Einrichtungen CyberTrustAustria-Label EU AI ActKI-Regulierung

Sie setzen um:

Zugriffssteuerung & Berechtigungsmanagement

ISO/IEC 27001 · A.5.15 / A.5.18 NIS2 · Art. 21 (2)(i) NISG 2026 · §32 (Zugriffskontrolle) DSGVO · Art. 32 (1)(b) DORA · Art. 9

AT Österreich-Tiefe, die generische Tools nicht haben

NISG 2026

19 Sektoren mit Schwellwerten, Mindestmaßnahmen-Cockpit nach §32 (zehn Bereiche), Erheblichkeitsprüfung nach §35, Meldekette 24 h / 72 h / 1 Monat, Selbstdeklaration nach §33 mit manipulationssicherem Nachweis.

RKEG

Resilienzplan nach §15 mit allen sechs Aspekten und Fristenlogik zum Bescheid, Überprüfungen nach §16, Sektor-Abhängigkeiten.

CyberTrust Austria

Anforderungskatalog des österreichischen Labels direkt als Assessment abgebildet — inklusive Reifegrad-Bewertung.

07

Der Weg zum gelebten ISMS

Ehrliche Zeitangaben. Keine „audit-ready in 10 Minuten“-Märchen.

  1. Schritt 1

    Einrichten

    Geführtes Onboarding: Organisation, Scope, Sicherheitsziele, Risikoappetit. Das Grundgerüst steht in unter einer Stunde — inklusive KI-Vorschlägen für Ihre Sicherheitsziele.

    < 1 Stunde
  2. Schritt 2

    Aufbauen

    Assets, Prozesse, Risiken, Maßnahmen — strukturiert erfassen, von der Plattform geführt und von KI beschleunigt. Der Aufwand hängt ehrlicherweise von Ihrer Organisationsgröße ab; wir begleiten den Start.

    Wochen, nicht Monate
  3. Schritt 3

    Betreiben & nachweisen

    Fristen, Wiedervorlagen, Wirksamkeitsprüfungen laufen im System. Audit-Nachweise — SoA, Risikobericht, Selbstdeklaration — exportieren Sie auf Knopfdruck, revisionssicher protokolliert.

    Dauerbetrieb
08

Für wen Normly gebaut ist

Drei Rollen, ein System.

CISO / ISB

Sie führen das ISMS

Struktur statt Zettelwirtschaft: vernetzte Register, automatische Wiedervorlagen, KI für die Fleißarbeit. Gebaut von jemandem, der den Job selbst macht — man merkt es an jedem Workflow.

Geschäftsführung

Sie tragen die Verantwortung

NIS2 macht Leitungsorgane persönlich verantwortlich. Normly liefert den Überblick in Minuten: Reifegrade, Ampeln, offene Risiken — und die Schulungsnachweise nach Art. 20 gleich mit.

KRITIS & Industrie

Sie betreiben OT

Energie, Wasser, Produktion, Verkehr: Wo Leittechnik läuft, reicht IT-Compliance nicht. Zonen, Security-Level, Safety-Konflikte — Normly spricht die Sprache Ihrer Anlagen.

09

Transparente Preise

Keine „Preis auf Anfrage“-Spielchen. Einführungspreise für Frühkunden.

Starter

199 €/Monat

  • Bis 5 Benutzer
  • Vollständige ISMS-Plattform
  • KI-Basiskontingent
  • E-Mail-Support
Demo anfragen

Professional Empfohlen

399 €/Monat

  • Bis 15 Benutzer
  • Vollständige ISMS-Plattform
  • Erweitertes KI-Kontingent
  • Priorisierter Support
  • Onboarding-Begleitung
Demo anfragen

Business

749 €/Monat

  • Bis 40 Benutzer
  • Konzern / Multi-Company
  • SSO (Entra ID)
  • OT-Modul im Vollausbau
  • Priorisierter Support
Demo anfragen

Enterprise

Individuell

  • Unbegrenzte Benutzer
  • SLA & dedizierte Betreuung
  • Individuelle Anforderungen
  • Auditor- & Partnerzugänge
Gespräch vereinbaren

Alle Preise zzgl. USt. · monatlich kündbar · Einführungspreise, Stand Juli 2026

10

Gebaut von jemandem,
der den Ernstfall kennt

Practitioner-Software. Kein Beratungsprodukt.

Normly entstand nicht im Elfenbeinturm einer Beratung, sondern aus dem operativen Sicherheitsmanagement kritischer Infrastruktur — mit Background bei einer österreichischen Sicherheitsbehörde und fundierter IT-Security-Ausbildung. Jedes Feature existiert, weil es im Alltag gebraucht wird. Keine Checkbox-Listen für Berater, sondern Werkzeuge für Menschen, die Sicherheit tatsächlich verantworten.

Sicherheitsmanagement KRITIS Österreichische Sicherheitsbehörde IT-Security-Ausbildung OT-Forschungsnähe TU Wien

Sicherheitsarchitektur — belegbar, nicht behauptet

  • Mandantentrennung auf Datenbankebene. PostgreSQL Row-Level-Security mit über 380 Policies — die Datenbank selbst verweigert fremde Daten, nicht nur der Anwendungscode.
  • Revisionssichere Protokolle. Hash-verkettete Audit-Trails (WORM): nachträgliche Manipulation ist erkennbar, auch direkt auf der Datenbank.
  • Verschlüsselung pro Mandant. AES-256-GCM mit je Kunde abgeleiteten Schlüsseln; Crypto-Shredding setzt das Recht auf Löschung (Art. 17 DSGVO) kryptografisch durch.
  • EU-Hosting. Plattform und Datenbank bei europäischen Anbietern in der EU, TLS in-transit, MFA für alle privilegierten Zugänge.
11

Häufige Fragen

Direkt beantwortet.

Wann muss mein Unternehmen NIS2 in Österreich umsetzen?

Österreich setzt NIS2 mit dem NISG 2026 um. Wesentliche und wichtige Einrichtungen müssen sich beim BMI registrieren (Frist: 31. 12. 2026) und die Mindestmaßnahmen nach §32 nachweisbar umsetzen. Normly bildet die Sektoren-Zuordnung mit Schwellwerten, den §32-Maßnahmenkatalog, die Erheblichkeitsprüfung nach §35 samt Meldekette und die Selbstdeklaration nach §33 direkt ab. Ob Sie betroffen sind, klären wir gern in 15 Minuten.

Was unterscheidet Normly von verinice, Excel oder einem Berater?

Drei Dinge. Erstens: Normly ist ein Betriebs-Tool — Fristen, Wirksamkeitsprüfungen und Workflows laufen weiter, wenn das Projekt vorbei ist. Zweitens: echte OT-Methodik (IEC 62443, Safety-Security-Konflikte, quantitative Verfahren), die weder Excel noch klassische ISMS-Tools abbilden. Drittens: moderne Bedienung ohne Beraterzwang — Sie brauchen kein Customizing-Projekt, um anzufangen.

Wo liegen unsere Daten — und was ist mit der KI?

Hosting und Datenbank liegen bei europäischen Anbietern in der EU, mit Mandantentrennung auf Datenbankebene und Verschlüsselung at-rest und in-transit. Die KI-Verarbeitung läuft ausschließlich in der EU-Region (Frankfurt); ein Nicht-EU-Anbieter ist im Code nicht konfigurierbar. Personenbezogene Daten werden vor jedem KI-Aufruf automatisch geschwärzt, und Ihre Daten werden nicht für Modell-Training verwendet.

Wie schnell sind wir wirklich startklar?

Ehrliche Antwort: Das Grundgerüst (Organisation, Scope, Ziele) steht in unter einer Stunde. Ein belastbares Risikoregister mit erfassten Assets und Prozessen braucht — je nach Organisationsgröße — einige Wochen strukturierter Arbeit. Die Plattform führt Sie dabei, die KI beschleunigt die Fleißarbeit, und im Onboarding begleiten wir Sie persönlich. Wer Ihnen „audit-ready in Tagen“ verspricht, verkauft Ihnen ein Häkchen-Tool.

Können wir Bestandsdaten aus Excel oder Alt-Tools übernehmen?

Im Onboarding übernehmen wir Ihre Bestandsdaten gemeinsam und strukturiert — so landet kein Datenmüll im neuen System. Ein Self-Service-Import (CSV/Excel) steht auf unserer Roadmap weit oben; sprechen Sie uns darauf an, wenn das für Sie entscheidend ist.

Müssen wir die KI-Funktionen nutzen?

Nein. Jede KI-Funktion ist optional und einzeln nutzbar; die Compliance-Logik (Scores, Fristen, Reifegrade) ist vollständig deterministisch und funktioniert ohne KI. Wenn Sie KI nutzen, gilt: EU-Region, PII-Schwärzung, Kennzeichnung, Audit-Log, Kontingente.

Unterstützt Normly die ISO-27001-Zertifizierung?

Ja — Normly strukturiert Ihr ISMS entlang der ISO/IEC 27001:2022 (Klauseln 4–10 und alle 93 Annex-A-Controls) und erzeugt die Nachweise, die Auditoren sehen wollen: SoA, Risikobericht, Management-Review, Maßnahmenverfolgung, Audit-Trail. Zertifiziert werden Sie durch eine akkreditierte Zertifizierungsstelle; Normly liefert die belastbare Grundlage dafür.

12

Sehen Sie Normly an Ihrem Fall

45 Minuten, Ihr Szenario, ehrliche Antworten — auch dazu, was Normly (noch) nicht kann.

Antwort innerhalb von 24 Stunden. Ihre Angaben werden ausschließlich zur Bearbeitung der Anfrage verwendet.

Lieber direkt? office@normly.at