Integrierte Managementsysteme · Informationssicherheit · ESG · KI‑Governance · Automotive

Regulatorik muss Ihr Geschäft schützen, nicht bremsen.

Von der Anforderungsvielfalt zum integrierten Steuerungsmodell — damit Informationssicherheit, Lieferkette, Nachhaltigkeit und Qualität auf dieselben Prozesse treffen, nicht auf Parallelwelten. Dr. Bernhard Krömer verbindet 30 Jahre industrielle Praxis mit 16 aktuellen Qualifikationen und Zertifizierungen. Jedes Mandat wird persönlich geführt — von der Einordnung bis zur belastbaren Umsetzung. Für Geschäftsführungen, die Haftungsrisiken steuern wollen, statt Doppelstrukturen zu managen.

30+

Jahre Industrie- und Beratungspraxis, davon 25 in verantwortlichen Positionen.

16

Qualifikationen und Zertifizierungen von DGQ/EOQ, TÜV, VDA QMC und VOREST AG — von Qualität und Informationssicherheit über Datenschutz und Automotive bis Nachhaltigkeit und KI.

1

Ansprechpartner jedes Mandat wird persönlich von Dr. Krömer geführt und verantwortet.

Warum jetzt?

NIS‑2, EU AI Act, CSRD — und ein Steuerungsrahmen, der sie zusammenführt.

NIS‑2 ist geltendes Recht. Der EU AI Act greift für Hochrisiko‑KI ab August 2026. Die Omnibus‑Richtlinie (EU) 2026/470 zur CSRD ist ab 18. März 2026 in Kraft. Wer diese Anforderungen isoliert abarbeitet, verdoppelt Aufwand und Schnittstellen.

Akut

NIS‑2 / BSIG

Erstregistrierungsfenster beim BSI abgelaufen. Ca. 29.000 Einrichtungen betroffen. Geschäftsführungspflichten nach § 38 BSIG (Umsetzung, Überwachung, Schulung).

März 2026

Omnibus‑Richtlinie (CSRD)

Richtlinie (EU) 2026/470, in Kraft ab 18. März 2026. Direkte CSRD‑Berichtspflicht künftig erst ab 1.000 Beschäftigten und über 450 Mio. € Nettoumsatz (kumulativ). ESG‑Datenanforderungen aus der Lieferkette bleiben wirksam.

August 2026

EU AI Act, Hochrisiko

Ab 2. August 2026 Pflichten für Hochrisiko‑KI‑Systeme (mit Ausnahmen/Staffelung). ISO 42001 bietet einen geeigneten Managementsystem‑Rahmen.

Laufend

IMS als Steuerungsrahmen

Ein integriertes Managementsystem führt diese Anforderungen in einer Prozesslandschaft zusammen — weniger Parallelaufwand, klarere Verantwortlichkeiten, nachvollziehbare Risikominimierung.

Handlungsbedarf

NIS‑2 ist geltendes Recht.

Geschäftsführungen tragen nach § 38 BSIG persönliche Pflichten bei Umsetzung, Überwachung und Schulung. Das Erstregistrierungsfenster beim BSI ist abgelaufen — Risikomanagement, Meldeprozesse und Nachweisführung müssen operativ stehen.

Integriertes Managementsystem

Ein System. Eine Nachweislogik. Klare Verantwortlichkeiten.

Ein integriertes Managementsystem bündelt Qualität, Umwelt, Arbeitsschutz, Informationssicherheit, Datenschutz, ESG und KI‑Governance in einer gemeinsamen Prozesslandschaft. Neue Anforderungen werden eingeordnet, nicht angebaut.

Prioritäten statt Parallelwelten

Jede neue Anforderung wird in dieselbe Prozesslandschaft integriert, nicht daneben aufgebaut.

Prioritäten statt Parallelwelten

Jede neue Anforderung wird in dieselbe Prozesslandschaft integriert, nicht daneben aufgebaut.

Prioritäten statt Parallelwelten

Jede neue Anforderung wird in dieselbe Prozesslandschaft integriert, nicht daneben aufgebaut.

ISO 9001

ISO 14001

ISO 45001

ISO 27001

IATF 16949

TISAX®

ISO 42001 (KI)

DSGVO

CSRD/ESG

Leistungscluster

Sechs Cluster — nach Steuerungsbedarf, nicht nach Normenliste.

Jeder Einstieg führt in dasselbe integrierte Steuerungsmodell. Der Unterschied liegt im Auslöser.

Integrierte Managementsysteme

Qualität, Umwelt, Arbeitsschutz, Informationssicherheit, Datenschutz, Nachhaltigkeit und KI‑Governance in einem System — eine Steuerungslogik, klare Verantwortlichkeiten, durchgängige Nachweise und nachvollziehbare Risikominimierung.

ISMS, NIS‑2 & Datenschutz

ISO 27001, NIS‑2 (BSIG), DSGVO — operative Strukturen mit klaren Verantwortlichkeiten und belastbaren Nachweisen gegenüber BSI, Kunden und Versicherern.

Automotive & IATF

IATF 16949, VDA 6.3, TISAX®, Automotive Core Tools. Lieferfähigkeit gegenüber OEM und Tier‑1 belastbar absichern, Kundenaudits bestehen, Vertragsverlängerungen sichern.

Prozesse & Organisation

Die Lücke zwischen Handbuch und Shopfloor operativ schließen — damit Prozesse im Betrieb funktionieren, Strukturen zur Unternehmensgröße passen und Kundenanforderungen standhalten.

ESG & Nachhaltigkeit

CSRD/ESRS nach Omnibus (EU) 2026/470 — belastbare ESG-Nachweise und Reporting-Strukturen, auch bei indirekter Betroffenheit über Lieferketten.

KI‑Governance

EU AI Act (Hochrisiko‑Pflichten ab August 2026), ISO 42001 — von der Risikobewertung bis zum KI‑Managementsystem mit dokumentierten Entscheidungswegen, klaren Verantwortlichkeiten und nachvollziehbaren Freigabeprozessen.

Verantwortung im Mandat

Jedes Mandat wird persönlich von Dr. Bernhard Krömer geführt.

Jedes Mandat wird persönlich von Dr. Bernhard Krömer geführt — von der Einordnung bis zur belastbaren Umsetzung. Kein Junior‑Team, keine Unterbeauftragung. Für interdisziplinäres Spezialwissen (Recht, IT‑Tiefe) kooperiert Dr. Krömer mit bewährten Fachexperten aus seinem Netzwerk.

Promotion (PhD)

Wissenschaftliche Grundlage für den systematischen Aufbau und die Integration von Managementsystemen.

16 Qualifikationen

Lead Auditor ISO 9001, Auditor ISO 14001 / 45001 / 27001 / IATF 16949 / VDA 6.3 (DGQ/EOQ, VDA QMC, VOREST AG), DSB (TÜV), ISO 42001 (TÜV), ESG (DGQ), ISB TISAX® (DGQ).

Fachkreisarbeit

Ehrenamtliches Engagement in der DGQ aktueller Fachbeitrag als Mitautor.

Praxisbeispiel

Vom Einzelsystem zum integrierten Steuerungsmodell.

IMS-Aufbau · Fertigungsunternehmen

Integriertes Managementsystem für ein Fertigungsunternehmen

Ausgangslage: Fertigungsunternehmen, ca. 400 Mitarbeiter, ISO 9001 vorhanden — zusätzlich ISO 14001, 45001, DSGVO und Nachhaltigkeit zu integrieren.

Ergebnis: Ein integriertes Managementsystem mit einer gemeinsamen Prozesslandschaft, durchgängiger Nachweisführung und klaren Verantwortlichkeiten. Prüfaufwand um 30 % reduziert.

Alle 6 Praxisbeispiele auf der Leistungsseite

FAQ

Häufige Fragen vor dem Erstgespräch

Rechnet sich ein integriertes Managementsystem?

In den meisten Fällen: ja und zwar messbar. Weniger Doppelarbeit, reduzierter Prüfaufwand, klarere Verantwortlichkeiten und weniger Schnittstellen zwischen Systemen. In bisherigen Mandaten lag die Reduktion des Prüfaufwands bei durchschnittlich 30 %. Entscheidend ist, dass das IMS nicht als theoretisches Modell aufgesetzt wird, sondern in der betrieblichen Realität funktioniert.

Brauchen wir zuerst eine Zertifizierung, bevor wir über Governance sprechen?

Nein — in vielen Fällen ist es sogar sinnvoller, zuerst die Steuerungslogik aufzubauen und dann zu zertifizieren. Governance vor Zertifizierung bedeutet: klare Verantwortlichkeiten, durchgängige Prozesse und belastbare Nachweise als Fundament. Die Zertifizierung wird dann zum Ergebnis eines funktionierenden Systems, nicht zum Auslöser eines Parallelprojekts.

Fällt die CSRD-Berichtspflicht für uns weg?

Die Omnibus-Richtlinie (EU) 2026/470 hebt die Schwelle für die direkte CSRD-Berichtspflicht an: künftig erst ab 1.000 Beschäftigten und über 450 Mio. € Nettoumsatz (kumulativ). Für viele mittelständische Unternehmen entfällt damit die direkte Pflicht. Die ESG-Datenanforderungen aus der Lieferkette bleiben jedoch wirksam — Kunden, Banken und Versicherer verlangen weiterhin belastbare Nachhaltigkeitsdaten.

Aufbau und Zertifizierung — können Sie beides?

Ja — Aufbau, Weiterentwicklung und Zertifizierungsvorbereitung aus einer Hand. Die Zertifizierung selbst führt eine unabhängige, akkreditierte Zertifizierungsstelle durch (Trennung nach ISO/IEC 17021). Die Erfahrung aus über 30 Jahren zeigt: Wenn Aufbau und Vorbereitung sauber ineinandergreifen, verläuft die Zertifizierung in der Regel ohne kritische Abweichungen.

Übernehmen Sie operative Verantwortung (QMB, ISB etc.)?

Ja — als externer Beauftragter (QMB, UMB, ISB, DSB, Nachhaltigkeitsbeauftragter) oder im Interim-Management. Die Rolle wird mit direkter Berichtslinie an die Geschäftsführung wahrgenommen, nicht als nachgelagertes Briefing. Ziel ist immer die Übergabe an eine interne Besetzung, sobald diese verfügbar und qualifiziert ist.

Wie lange dauert ein typisches Mandat?

Das hängt von Ausgangslage und Ziel ab. Eine Gap-Analyse dauert in der Regel 2–4 Wochen. Der vollständige IMS-Aufbau mit Zertifizierungsvorbereitung liegt typischerweise bei 4–9 Monaten — abhängig von Umfang und internen Ressourcen. Der konkrete Zeitrahmen wird im Kickoff abgestimmt.

Warum sollten wir nicht einfach eine große Beratung beauftragen?

Große Beratungen arbeiten mit wechselnden Teams, gestuften Seniorität-Levels und projektbasierter Rotation. Das bedeutet: Ihr Ansprechpartner im Erstgespräch ist selten derjenige, der das Mandat operativ führt. Bei Dr. Krömer ist der Senior-Berater gleichzeitig der operative Ansprechpartner — durchgängig, ohne Teamwechsel, ohne Übergabeverluste. Gerade bei auditkritischen Themen ist diese Kontinuität ein entscheidender Vorteil.

Ausgangslage klären. Prioritäten setzen. Nächsten Schritt festlegen.

Ein vertrauliches Erstgespräch dauert ca. 30 Minuten. Keine Verkaufspräsentation — eine fachliche Einordnung mit konkreter Empfehlung.

1.

Relevanz einordnen

Welche Anforderungen betreffen Ihr Unternehmen tatsächlich?

2.

Prioritäten klären

Was hat operative Dringlichkeit — mit Blick auf Haftung, Lieferfähigkeit und Nachweisdruck?

3.

Fahrplan abstimmen

Nächster Schritt mit Zeitrahmen und Verantwortung.

Bei dringendem Handlungsbedarf erreichen Sie Dr. Krömer direkt telefonisch.