.svg)
Policy-Dokumentation ist das Fundament jedes Compliance-Frameworks. Egal, ob du eine ISO 27001-Zertifizierung anstrebst oder die DSGVO-Compliance aufrechterhältst, dein Auditor wird früher oder später deine Policies sehen wollen. Und generische Templates aus dem Internet werden sie nicht akzeptieren.
Das Problem ist, dass das Schreiben dieser Policies Zeit kostet. Sehr viel Zeit. Die meisten Compliance-Teams verbringen Tage oder sogar Wochen damit, solche Policy-Dokumente zu erstellen, zu prüfen und final freizugeben. Sie starten mit generischen Vorlagen und investieren dann Stunden, um sie so anzupassen, dass sie die tatsächlichen Prozesse widerspiegeln. Und oft kopieren Teams Text aus ChatGPT und machen sich danach Sorgen, ob er wirklich die Anforderungen des Frameworks erfüllt. Sie aktualisieren eine Policy und vergessen dann drei andere, die auf dieselben Informationen verweisen.
Heute kündigen wir KAIA Policy Co-Pilot an, ein neues Feature innerhalb der Kertos-Plattform, das verändert, wie europäische Unternehmen Policy-Dokumentation angehen. Policy Co-Pilot nutzt deinen Unternehmenskontext, um vollständige, framework-konforme Policy-Entwürfe in wenigen Minuten zu erstellen, die du anschließend prüfen, bearbeiten und freigeben kannst. Das Ergebnis sind Dokumente, die deine tatsächlichen Praktiken widerspiegeln, Compliance-Anforderungen erfüllen und konsistent bleiben, während sich dein Unternehmen weiterentwickelt.
Warum Policy Writing bisher kaputt war
Wenn du schon einmal für Compliance-Dokumentation verantwortlich warst, kennst du den Schmerz. Du setzt dich hin, um eine Access Control Policy für ISO 27001 zu schreiben. Du suchst online nach Beispielen. Du findest eine Vorlage, die professionell aussieht, aber sie verweist auf Praktiken, die dein Unternehmen gar nicht nutzt. Sie erwähnt physische Zugangskontrollen für Serverräume, die du nicht hast, weil deine Infrastruktur komplett auf AWS läuft, oder sie beschreibt Approval-Workflows, die nicht zu euren echten Prozessen passen.
Also fängst du an zu bearbeiten. Du entfernst irrelevante Abschnitte und ergänzt Details zu euren tatsächlichen Systemen. Du gleicht das Ganze mit dem ISO 27001-Standard ab, um sicherzugehen, dass alle geforderten Elemente abgedeckt sind. Drei Stunden später hast du einen Entwurf. Aber du bist dir nicht sicher, ob er wirklich vollständig ist. Du schickst ihn an einen Consultant zur Prüfung, was weitere 500 € Kosten und zwei Wochen Verzögerung bedeutet.
Und jetzt multipliziere das mit den 15 bis 25 Policies, die eine typische ISO 27001-Implementierung benötigt. Pack dann noch DSGVO-Policies obendrauf. Rechne die Updates dazu, die jedes Mal nötig sind, wenn du deinen Tech Stack änderst, einen neuen Data Protection Officer einstellst oder deine Security-Praktiken anpasst. Die Stunden summieren sich schnell.
Genau deshalb enden so viele Unternehmen mit veralteten Policies, die den tatsächlichen Status quo nicht widerspiegeln. Sie kopieren generische Templates und haben nicht die Zeit, sie wirklich sauber zu customizen. Die Dokumentation driftet schnell weg von den echten Praktiken, weil das Aktualisieren von Policies als Low Priority gilt im Vergleich dazu, neue Product Features zu shippen. Und dann kommt plötzlich die Audit Season, und Teams versuchen hektisch, die Lücken zu schließen.
Wie Policy Co-Pilot das löst
KAIA Policy Co-Pilot verfolgt einen grundlegend anderen Ansatz. Statt mit generischen Templates zu starten, beginnt es mit einem vollständigen Bild deines Unternehmens. Das System analysiert deinen Unternehmenskontext, inklusive Größe, Branche, Tech Stack und zugewiesenen Rollen wie deinem DPO und CISO. Danach erstellt es Policy-Entwürfe, die wirklich widerspiegeln, wie dein Unternehmen arbeitet.
Wenn KAIA eine Access Control Policy für ein 50-Personen-SaaS-Unternehmen erstellt, das AWS, Okta und GitHub nutzt, verweist die Policy genau auf diese Systeme. Sie beschreibt Access-Workflows, die für Cloud-Infrastruktur sinnvoll sind. Sie enthält Review-Frequenzen und Approval-Prozesse, die zur Unternehmensgröße passen. Das Ergebnis ist eine solide Grundlage, die du verfeinern musst, statt ein Template, das du komplett neu aufbauen musst.
Der gesamte Prozess findet direkt innerhalb der Kertos-Plattform statt. Du gehst in den Bereich Policies, wählst dein Framework aus und entscheidest, welche Policies generiert werden sollen. KAIA erstellt vollständige Entwürfe in wenigen Minuten. Du prüfst sie im eingebetteten Editor, nimmst Anpassungen vor und setzt den Status auf Approved. Keine File-Downloads. Kein Hin und Her mit Entwürfen und Revisionen. Keine Versionsverwirrung. Kein Copy-Paste-Chaos.
Was das anders macht als generische Templates
Generische Templates gehen von einem generischen Unternehmen aus. Sie enthalten jedes mögliche Control-Element, weil sie nicht wissen, welche wirklich auf dich zutreffen. Sie nutzen vage Formulierungen, weil sie deine konkreten Tools und Prozesse nicht referenzieren können, und sie erfordern massives Customizing, weil sie nicht für deine Situation geschrieben wurden.
Policy Co-Pilot erstellt Dokumentation von Anfang an passend zu deinem Kontext. Je vollständiger dein Unternehmensprofil, desto präziser werden deine Policies. Wenn du angibst, dass du Google Workspace für E-Mail und Collaboration nutzt, wird deine Acceptable Use Policy Google Workspace referenzieren, statt abstrakt von „E-Mail-Systemen“ zu sprechen. Wenn du angibst, dass du ein Unternehmen im Finanzdienstleistungsbereich bist, werden deine Policies die zusätzlichen Anforderungen dieser Branche berücksichtigen.
Diese Kontextintelligenz gilt auch für Framework-Anforderungen. Jede Policy ist ihrem relevanten Framework zugeordnet, egal ob ISO 27001, DSGVO oder beides. Wenn eine Policy für mehrere Frameworks gilt, nutzt KAIA die ISO 27001-Version als Basis und ergänzt automatisch DSGVO-spezifische Klauseln. Dadurch bleibt deine Dokumentation synchron, und die Verwirrung, die durch getrennte Policy-Sets für unterschiedliche Zertifizierungen entsteht, wird eliminiert.
Du behältst die Kontrolle
Policy Co-Pilot generiert Entwürfe. Es trifft keine Entscheidungen für dich. Jede Policy, die erstellt wird, ist im eingebetteten Editor vollständig editierbar. Du kannst Formulierungen ändern, Abschnitte ergänzen, Elemente entfernen, die nicht relevant sind, und Verweise auf andere Dokumente hinzufügen. Alle Änderungen werden in der Version History getrackt, damit du jederzeit nachvollziehen kannst, was wann geändert wurde.
Jede Policy enthält Metadaten-Felder für Owner, Reviewer und das Datum der letzten Aktualisierung. Du weist einen einzelnen Owner zu, der für die Korrektheit der Policy verantwortlich ist, und einen Reviewer, der Änderungen vor der Freigabe validiert. Diese Struktur sorgt für klare Verantwortlichkeiten und schafft den Audit Trail, den Zertifizierer erwarten.
Wenn du Policies lieber manuell schreiben willst, kannst du Policy Co-Pilot unter Settings komplett deaktivieren. Das Feature ist da, um deine Arbeit zu beschleunigen, nicht um das Urteilsvermögen deines Teams zu ersetzen. Die finale Validierung sollte immer von jemandem erfolgen, der dein Business und deine Compliance-Anforderungen wirklich versteht.
Aktuell bleiben, wenn sich dein Unternehmen verändert
Policies sind keine statischen Dokumente. Sie müssen sich weiterentwickeln, wenn sich dein Unternehmen weiterentwickelt. Wenn du einen neuen Data Protection Officer einstellst, sollte deine DSGVO-Dokumentation diese Änderung widerspiegeln. Wenn du ein neues SaaS-Tool einführst, sollten deine Security-Policies regeln, wie dieses Tool gesteuert wird. Wenn du in einen neuen Markt expandierst, müssen sich deine Praktiken möglicherweise anpassen.
Genau hier bricht Policy Management in den meisten Unternehmen auseinander. Firmen ändern Systeme und Prozesse, vergessen aber, die Dokumentation zu aktualisieren. Monate später prüft ein Auditor die Policies und findet Beschreibungen von Tools, die längst nicht mehr genutzt werden, oder Verweise auf Mitarbeitende, die das Unternehmen vor Jahren verlassen haben.
Policy Co-Pilot löst das durch kontextbasierte Updates. Wenn du deinen Unternehmenskontext in Kertos änderst, egal ob du ein neues System hinzufügst, eine Schlüsselrolle wechselst oder deine Branchenklassifizierung aktualisierst, identifiziert KAIA die Policies, die davon betroffen sind. Es fordert dich auf, diese Policies zu überprüfen, und bietet an, sie neu zu generieren oder zu aktualisieren, damit alles konsistent bleibt. Du musst nie mehr raten, welche Dokumente Aufmerksamkeit brauchen.
Die technischen Details
KAIA generiert Policies mit expertentrainierten Prompts, die auf ISO 27001- und DSGVO-Anforderungen abgestimmt sind. Das System versteht die Control Objectives hinter jedem Framework und erstellt Dokumentation, die diese Ziele in deinem spezifischen Kontext abdeckt.
Das Setup ist unkompliziert. Geh in Settings, dann Company Context. Trage Details zu Unternehmensgröße, Branche, Tech Stack und relevanten Rollen ein. Weise deinen DPO für DSGVO und deinen CISO für ISO 27001 zu. Speichere die Änderungen. Danach gehst du zu Policies, wählst Create with KAIA, entscheidest dich für dein Framework und lässt das System deine Entwürfe generieren.
Die aktuelle Version unterstützt die Frameworks ISO 27001 und DSGVO. KAIA erstellt das zentrale Policy-Set, das für jede Zertifizierung benötigt wird, und gibt dir damit eine vollständige Baseline, mit der du arbeiten kannst. Während wir das Feature weiterentwickeln, werden wir die Framework-Abdeckung auf NIS2, DORA und den EU AI Act erweitern.
Was das für deine Compliance-Timeline bedeutet
Die Zeitersparnis ist enorm. Was früher Tage gedauert hat, dauert jetzt Minuten für die initiale Erstellung der Entwürfe. Was früher teure Consultant-Reviews gebraucht hat, kommt jetzt mit integrierten, compliant Baselines. Was früher ständige Aufmerksamkeit verlangt hat, um Dokumentation aktuell zu halten, passiert jetzt über automatisierte Prompts und Updates.
Für eine typische ISO 27001-Implementierung machen Policies etwa 20 bis 30 Stunden Arbeit aus. Mit Policy Co-Pilot sinkt das auf 3 bis 5 Stunden Review und Feinschliff. Die Zeit, die du sparst, fließt zurück in die Arbeit, die wirklich zählt: Controls implementieren, dein Team schulen und eine Security Culture aufbauen, die über Checkboxen hinausgeht.
Das passt in die übergeordnete Mission von Kertos, Compliance von einer Belastung in einen Wettbewerbsvorteil zu verwandeln. Wir haben bereits Tausenden europäischen Unternehmen geholfen, Zertifizierungen in Wochen statt in Monaten zu erreichen. Policy Co-Pilot ist ein weiterer Schritt in Richtung dieses Ziels, indem es Reibung aus einem der mühsamsten Teile der Compliance-Reise entfernt.
Getting Started
Policy Co-Pilot ist ab sofort für alle Kertos-Kunden verfügbar. Wenn du die Plattform bereits nutzt, vervollständige deinen Unternehmenskontext und starte noch heute mit der Policy-Generierung. Wenn du Kertos gerade für dein kommendes ISO 27001- oder DSGVO-Projekt evaluierst, vereinbare eine Demo, um Policy Co-Pilot in Aktion zu sehen.
Compliance-Dokumentation sollte nicht der Flaschenhals in deiner Zertifizierungs-Timeline sein. Mit KAIA Policy Co-Pilot ist sie es nicht.
