Ich sehe das etwas kritischer. Viele Beratungsfirmen verkaufen einem dann gleich ganze „Sicherheitsstrategien“ mit ISMS, Audits, Zertifikaten usw., was für kleine Betriebe viel zu viel, also völlig überdimensioniert ist.
Wenn du keine eigene IT-Abteilung hast, reicht oft schon: saubere Rechteverwaltung, regelmäßig updaten, vernünftige Backups (offline!) und Mitarbeiterschulungen.
Wichtig ist, dass du Verantwortlichkeiten klar regelst. Beratung kann helfen – aber nur, wenn sie praxisnah bleibt.