Evidenz für das Risikoregister, bevor der Vorfall eintritt.
CISOs brauchen für Risikoregister, Drittanbieter-Bewertung und Vorstandsreporting eine externe, unabhängig nachvollziehbare Evidenzlage — nicht erst nach einem Incident, sondern fortlaufend. CERTavia liefert genau diese Evidenz: deterministisch, kryptografisch signiert, in 90 bis 120 Sekunden.
Infrastruktur-Lücken sind Risikoregister-Einträge
Eine unvollständige DNS-Konfiguration, fehlende KI-Governance-Deklarationen oder inkonsistente Crawler-Direktiven sind keine rein technischen Fußnoten — sie sind Risikopositionen, die in Risikoregister, Drittanbieter-Bewertung und NIS2-Dokumentation gehören. CISOs benötigen eine Methode, diese Lücken systematisch, wiederholbar und ohne manuellen Auditaufwand zu erfassen.
CERTavia liefert genau diese Methode: ein deterministisches Prüfverfahren über 80+ Parameter in 6 Clustern, mit binärem Ergebnis — SOVP-CERTIFIED oder SOVP-FAILED — und kryptografischer Signatur als Nachweisanker.
Wo der Nachweis konkret eingesetzt wird
Risikoregister-Evidenz
Jeder Scan dokumentiert den Infrastrukturzustand zu einem Zeitpunkt — geeignet als objektiver, externer Beleg für Risikoregister-Einträge zu Infrastruktur- und Lieferketten-Risiken, statt auf Selbstauskunft der IT zu vertrauen.
Drittanbieter- und Vendor-Risiko
Für Vendor-Risikobewertungen lässt sich die externe Infrastruktur von Lieferanten und Dienstleistern unabhängig prüfen — ohne deren Mitwirkung erforderlich, da ausschließlich öffentlich beobachtbare Parameter geprüft werden.
Vorstandsreporting
Der PDF Audit Report mit Executive Summary und Cluster-Bewertung ist direkt für das Reporting an Vorstand und Aufsichtsrat verwendbar — ein belastbares Dokument statt einer internen Selbsteinschätzung.
Incident-Readiness und Beweissicherung
Re-Scans im Annual-Subscription-Zyklus erzeugen eine fortlaufende, kryptografisch signierte Nachweiskette des Infrastrukturzustands — eine Evidenzspur, die bereits vor einem Sicherheitsvorfall existiert, statt erst danach rekonstruiert zu werden.
Risikomanagementmaßnahmen technisch belegen
Art. 21 NIS2 verlangt von Betreibern wesentlicher und wichtiger Einrichtungen technische und organisatorische Risikomanagementmaßnahmen — unter anderem zu Netz- und Informationssicherheit, Lieferkettensicherheit und Krisenmanagement. CERTavia liefert den infrastrukturellen Baustein für den Nachweis dieser Maßnahmen: einen deterministischen, signierten Befund der technischen Infrastruktur-Integrität.
Die regulatorischen Schnittmengen zwischen NIS2, DORA und dem EU AI Act sind im Detail auf der Regulatorik-Seite beschrieben.
80+ Parameter, gelesen als Risikolage
Dieselben deterministischen Parameter, die IT-Leiter als Implementierungsdetails betrachten, lassen sich aus CISO-Perspektive als Risikoindikatoren lesen.
DNS und kryptografische Grundintegrität
DNSSEC, CAA-Records, TLS-Zertifikatskette, HTTP-Sicherheitsheader, SPF und DKIM. Lücken hier sind klassische Angriffsflächen — Spoofing, Zertifikatsmissbrauch, fehlende Transport-Sicherheit.
KI-Zugangskonfiguration
Inkonsistenzen zwischen deklarierter und tatsächlicher Crawler- und WAF-Konfiguration sind ein Risiko für unkontrollierten Datenabfluss an KI-Systeme — ein Vektor, der in klassischen Pentests selten erfasst wird.
Maschinenlesbare Identität
Fehlende oder inkonsistente Authorship- und Entitätsdeklarationen erhöhen das Risiko von Identitätsverwechslung und Markenmissbrauch gegenüber automatisierten Systemen.
KI-Governance-Deklaration
AI Policy URL, Deepfake-Disclaimer, AI-Training-Opt-Out-Status und Kontaktstelle für KI-Anfragen. Lücken hier sind Reputations- und Compliance-Risiken mit direktem Bezug zu Art. 15 und Art. 50 EU AI Act.
Hinweis zur Parameterbasis: CERTavia unterscheidet zwischen regulatorisch verankerten Parametern (EU AI Act Art. 15, DORA, NIS2) und SOVP-Governance-Parametern. Der Report weist beide Kategorien separat aus — mit Bezug auf den jeweiligen regulatorischen Kontext.
Preise für CISOs
Vollständiger JSON- und PDF-Output, Sovereign Vault ohne automatisches Ablaufdatum, maschinenlesbare Verifikations-URL, API-Output. Geeignet als Risikoregister-Beleg und für Drittanbieter-Bewertungen.
Quartalsweise Re-Scans, Jahres-Nachweis, Änderungsbenachrichtigung, bis 25 Domains. Geeignet für laufendes Risiko-Monitoring über das eigene Portfolio und kritische Drittanbieter.
Unbegrenzte Domains, monatliche Re-Scans, SLA 99,9 %, kombiniertes DORA und AI Act Reporting, vollständiger API-Zugang. Geeignet für portfolioweites Risiko-Monitoring mit SIEM-Integration.
Weiterführende Seiten
Risikomanagementmaßnahmen nach Art. 21 NIS2 und der infrastrukturelle Nachweis-Ansatz.
Für IT-Leiter und CTOs →Die technische Implementierungsperspektive auf dieselben Prüfparameter.
Wie CERTavia funktioniert →Prüfprozess, Validierungsverfahren und technische Deliverables erklärt.
Angebote und Preise →Pro, Annual Subscription und Enterprise im Überblick.
Referenzen →Verifizierte Scan-Ergebnisse aus der Praxis — kryptografisch signiert und über den Sovereign Vault prüfbar.
Regulatorische Entwicklungen im Blick
Das Compliance-Barometer liefert alle zwei Wochen aktuelle Auslegungen zu Art. 15, NIS2 und DORA — relevant auch für die Risikomanagement-Perspektive von CISOs.
Risikoregister-Eintrag in 90 Sekunden
Der Quick Scan liefert das Layer-0-Ergebnis Ihrer Domain in 90 bis 120 Sekunden. Kostenfrei, mit sofort verfügbarem JSON-Output im Full Scan.
CERTavia analysiert technische Infrastruktursignale. Das Ergebnis ist ein maschinenlesbarer Befund, kein Rechtsgutachten und keine Zertifizierung im Sinne der EU AI Act Konformitätsbewertung nach Artikel 43. Für rechtsverbindliche Compliance-Bewertungen wenden Sie sich an eine zugelassene Konformitätsbewertungsstelle.