Information Security und NIS 2
Vertrauen in die Digitale Zukunft: Informationssicherheit für Ihren Unternehmenserfolg
Dabei sind wir von der Definition des Scopes über die Identifikation und Bewertung von Assets bis hin zur konkreten Ableitung und Umsetzung von Maßnahmen der Partner an Ihrer Seite. Wir schaffen Transparenz hinsichtlich bestehender Risiken für die Informationssicherheit und entwickeln risikobasiert Lösungen, um Ihre Geschäftsprozesse optimal zu schützen.
Vertrauen in die Digitale Zukunft: Informationssicherheit für Ihren Unternehmenserfolg
Dabei sind wir von der Definition des Scopes über die Identifikation und Bewertung von Assets bis hin zur konkreten Ableitung und Umsetzung von Maßnahmen der Partner an Ihrer Seite. Wir schaffen Transparenz hinsichtlich bestehender Risiken für die Informationssicherheit und entwickeln risikobasiert Lösungen, um Ihre Geschäftsprozesse optimal zu schützen.
Vertrauen in die Digitale Zukunft: Informationssicherheit für Ihren Unternehmenserfolg
Dabei sind wir von der Definition des Scopes über die Identifikation und Bewertung von Assets bis hin zur konkreten Ableitung und Umsetzung von Maßnahmen der Partner an Ihrer Seite. Wir schaffen Transparenz hinsichtlich bestehender Risiken für die Informationssicherheit und entwickeln risikobasiert Lösungen, um Ihre Geschäftsprozesse optimal zu schützen.
Ihr Weg zu einer ganzheitlichen Sicherheitsstrategie
Unsere strukturierte und bewährte Methode zur Einführung und Weiterentwicklung Ihres Informationssicherheits-Managementsystems schafft Transparenz hinsichtlich Ihrer kritischen Geschäftsprozesse. Mit unserem prozessualen und technischen Know-how schaffen wir mit Ihnen die Strukturen, um Schwachstellen auf verschiedenen Ebenen zeitnah zu identifizieren und risikobasiert und gezielt zu beseitigen.
Wir unterstützen Sie beim Aufbau und bei der Weiterentwicklung Ihres Informationssicherheits-Managementsystems (ISMS). Dabei begleiten wir Sie auch bei der Vorbereitung von Zertifizierungen und bei der Auswahl und Implementierung geeigneter ISMS-Werkzeuge.
Im Rahmen des IT Risk Managements identifizieren und bewerten wir von Bedrohungen und Schwachstellen, basierend auf den anerkannten Standards ISO 31000 und ISO 27005.
Unsere technischen Security Consultants unterstützen Sie bei der Konzeption und Implementierung von Sicherheitsarchitek-turen, dem Härten von Umgebungen, der Nachverfolgung und Behebung von Findings aus Pentests und Audits sowie bei der systematischen Adressierung der Sicherheits- und Compliance-Anforderungen in Projekten.
Wir unterstützen Sie bei der Etablierung effektiver Steuerungsinstrumente in den Bereichen Posture-, Patch- und Vulnerability-Management sowie beim Aufbau und bei der Weiterentwicklung eines SOC.
Wir unterstützen Sie bei der Konzeption Ihres Business Continuity Managements (BCM) und bei der Prüfung seiner Funktionsfähigkeit, bei der Bewertung von Sicherheitsniveaus sowie bei der Planung von Wiederanlaufplänen.
Dem Faktor Mensch kommt beim Thema Informationssicherheit eine große Bedeutung zu. Mit Awareness-Maßnahmen und Security-Trainings unterstützen wir Sie dabei, Mitarbeiter zu sensibilisieren und für die Herausforderungen und Bedrohungen von heute fit zu bekommen.
Neuerungen durch EU-Richtlinien mit gravierenden Konsequenzen – NIS 2
Bei NIS 2 handelt es sich um eine EU-Richtlinie, die Mindestanforderungen an die Cybersicherheit in Organisationen definiert. Das Ziel der Richtlinie ist die Erhöhung der Cybersicherheit in (besonders) wichtigen Einrichtungen. Das nationale Gesetz muss spätestens ab Oktober 2024 in Kraft treten. Der Kreis der im Bereich Cybersicherheit regulierten Unternehmen wird durch NIS 2 stark ausgeweitet. Betroffene Einrichtungen müssen organisationsweit Maßnahmen umsetzen und mit Sanktionen von bis zu 2 Prozent des Jahresumsatzes rechnen, bei nicht Einhaltung.
Neuerungen durch EU-Richtlinien mit gravierenden Konsequenzen – NIS 2
Bei NIS 2 handelt es sich um eine EU-Richtlinie, die Mindestanforderungen an die Cybersicherheit in Organisationen definiert. Das Ziel der Richtlinie ist die Erhöhung der Cybersicherheit in (besonders) wichtigen Einrichtungen. Das nationale Gesetz muss spätestens ab Oktober 2024 in Kraft treten. Der Kreis der im Bereich Cybersicherheit regulierten Unternehmen wird durch NIS 2 stark ausgeweitet. Betroffene Einrichtungen müssen organisationsweit Maßnahmen umsetzen und mit Sanktionen von bis zu 2 Prozent des Jahresumsatzes rechnen, bei nicht Einhaltung.
Neuerungen durch EU-Richtlinien mit gravierenden Konsequenzen – NIS 2
Bei NIS 2 handelt es sich um eine EU-Richtlinie, die Mindestanforderungen an die Cybersicherheit in Organisationen definiert. Das Ziel der Richtlinie ist die Erhöhung der Cybersicherheit in (besonders) wichtigen Einrichtungen. Das nationale Gesetz muss spätestens ab Oktober 2024 in Kraft treten. Der Kreis der im Bereich Cybersicherheit regulierten Unternehmen wird durch NIS 2 stark ausgeweitet. Betroffene Einrichtungen müssen organisationsweit Maßnahmen umsetzen und mit Sanktionen von bis zu 2 Prozent des Jahresumsatzes rechnen, bei nicht Einhaltung.
Zeitliche Einordnung
Timeline für Beschlüsse, Fristen und Nachweise
Betroffene Unternehmen
Großunternehmen und mittlere Unternehmen
Welche Einrichtungen betroffen sind, lässt sich am Überschreiten von Mindestschwellwerten feststellen. Dazu werden die Faktoren Unternehmensgröße und das Tätigkeitsfeld der Einrichtung kombiniert.
Faktoren für die Größe einer Einrichtung:
- Mitarbeiter: mind. 50
- Jahresumsatz: mind. 10 Mio. Euro
- Bilanzsumme: mind. 10 Mio. Euro
Betroffene Tätigkeitsfelder
Im deutschen NIS 2 Umsetzungsgesetz definiert:
Energie, Verkehr und Transport, Wasser, Gesundheit, Finanzwesen, Versicherungswesen, IT und Telekommunikation, Weltraum, Logistik, Abfallbewirtschaftung, Lebensmittel, Chemie, Verarbeitendes Gewerbe, Digitale Dienste, Forschung
Ab Erreichen der Mindestschwellwerte gelten die folgenden Cluster:
Durch die Kombination der Unternehmensgröße und des Tätigkeitsfelds kann in besonders wichtige und wichtige Einrichtungen unterschieden werden.
Unabhängig von der Klassifizierung, müssen betroffene Unternehmen neben Registrierungs- und Meldepflichten vor allem fachliche Anforderungen umsetzen. Anforderungen müssen mindestens die folgenden zehn Themenfelder umfassen:
1. Konzepte zur Risikoanalyse
2. Bewältigung von Sicherheitsvorfällen
3. Aufrechterhaltung des Betriebs (inkl. Backup-Management und Wiederherstellung)
4. Sicherheit in der Lieferkette
5. Sicherheit bei Erwerb, Entwicklung und Wartung
6. Konzepte zur Bewertung der getroffenen Maßnahmen
7. Maßnahmen zur Schulung und Cyberhygiene
8. Konzepte zur Kryptografie
9. Zugriffskontrolle und Personalsicherheit
10. Multi-Faktor Authentifizierung, gesicherte Kommunikation sowie Notfallkommunikation
Die umzusetzenden Maßnahmen sollen dem Stand der Technik entsprechen und angemessen zum Risiko sein. Ausdrücklich wird auf die Nutzung internationaler und europäischer Standards verwiesen.
Durch die Kombination der Unternehmensgröße und des Tätigkeitsfelds kann in besonders wichtige und wichtige Einrichtungen unterschieden werden.
Unabhängig von der Klassifizierung, müssen betroffene Unternehmen neben Registrierungs- und Meldepflichten vor allem fachliche Anforderungen umsetzen. Anforderungen müssen mindestens die folgenden zehn Themenfelder umfassen:
1. Konzepte zur Risikoanalyse
2. Bewältigung von Sicherheitsvorfällen
3. Aufrechterhaltung des Betriebs (inkl. Backup-Management und Wiederherstellung)
4. Sicherheit in der Lieferkette
5. Sicherheit bei Erwerb, Entwicklung und Wartung
6. Konzepte zur Bewertung der getroffenen Maßnahmen
7. Maßnahmen zur Schulung und Cyberhygiene
8. Konzepte zur Kryptografie
9. Zugriffskontrolle und Personalsicherheit
10. Multi-Faktor Authentifizierung, gesicherte Kommunikation sowie Notfallkommunikation
Die umzusetzenden Maßnahmen sollen dem Stand der Technik entsprechen und angemessen zum Risiko sein. Ausdrücklich wird auf die Nutzung internationaler und europäischer Standards verwiesen.
Durch die Kombination der Unternehmensgröße und des Tätigkeitsfelds kann in besonders wichtige und wichtige Einrichtungen unterschieden werden.
Unabhängig von der Klassifizierung, müssen betroffene Unternehmen neben Registrierungs- und Meldepflichten vor allem fachliche Anforderungen umsetzen. Anforderungen müssen mindestens die folgenden zehn Themenfelder umfassen:
1. Konzepte zur Risikoanalyse
2. Bewältigung von Sicherheitsvorfällen
3. Aufrechterhaltung des Betriebs (inkl. Backup-Management und Wiederherstellung)
4. Sicherheit in der Lieferkette
5. Sicherheit bei Erwerb, Entwicklung und Wartung
6. Konzepte zur Bewertung der getroffenen Maßnahmen
7. Maßnahmen zur Schulung und Cyberhygiene
8. Konzepte zur Kryptografie
9. Zugriffskontrolle und Personalsicherheit
10. Multi-Faktor Authentifizierung, gesicherte Kommunikation sowie Notfallkommunikation
Die umzusetzenden Maßnahmen sollen dem Stand der Technik entsprechen und angemessen zum Risiko sein. Ausdrücklich wird auf die Nutzung internationaler und europäischer Standards verwiesen.
Mit bridgingIT NIS 2-Readiness herstellen
Mit bridgingIT NIS 2-Readiness herstellen
Mit bridgingIT NIS 2-Readiness herstellen
1. Ermittlung der Betroffenheit
Im Rahmen eines Assessment Centers unterstützen wir bei Ihrer Selbsteinschätzung, ob und in welchem Ausmaß Ihr Unternehmen oder Ihre Einrichtung von NIS 2 betroffen ist. Dafür haben wir ein pragmatisches und lösungsorientiertes Framework entwickelt, durch das wir zügig zu einer Bewertung kommen.
2. Identifizierung von Anpassungsbedarfen
Nachdem das Ausmaß der Betroffenheit ermittelt wurde, analysieren wir, welche Maßnahmen Sie bereits umgesetzt haben. Dadurch identifizieren wir punktgenau die Stellen, an denen weiterer Handlungsbedarf besteht.
3. Definition und Umsetzung von Maßnahmen
Wir leiten strukturiert Maßnahmen ab, um identifizierte Lücken zu schließen und unterstützen Sie bei der Umsetzung. Hierbei orientieren wir uns an gängigen Good Practices und integrieren diese passgenau in Ihre bestehenden Strukturen.
„Für NIS 2 definierte Maßnahmen müssen technisch umgesetzt, koordiniert und langfristig gesteuert werden. Um eine nachhaltige Verankerung von NIS 2 zu erreichen, muss auf gängige Best Practices der sicheren Architektur und Governance zurückgegriffen werden. In diesen Themen unterstützt die bridgingIT seit vielen Jahren Kunden verschiedener Branchen. Unsere Referenzen umfassen: Die Umsetzung neuer Gesetze (bspw. DSGVO), den Betrieb und die Weiterentwicklung eines ISMS, sowie spezifische IT-Security Projektberatung.“
Leistungsbeispiele
Etablierung eines ISMS im Maschinenbau-Umfeld
Unterstützung bei der effizienten Implementierung eines ISMS. Dazu wurden u.a. entsprechende Richtlinien erstellt und GAP-Assessmemts durchgeführt.
Auditvorbereitung im KRITIS-Umfeld
Unterstützung der Vorbereitungen auf die Zertifizierung des ISMS (nach ISO27001) eines Betreibers einer „kritischen Infrastruktur“ im Sektor Energie.
Umsetzung der DSGVO in einem internationalen Konzern
Aufstellung einer konzernweiten Datenschutzorganisation nach vorhergehender Analyse und Risikobewertung von Verarbeitungsaktivitäten.
Operative Security-Beratung
Prüfung von Sicherheitskonzeptionen gegen aktuell geltende Policies und Standards, sowie die Identifikation von Abweichungen und die Behandlung derer.
Leistungsbeispiele
Etablierung eines ISMS im Maschinenbau-Umfeld
Unterstützung bei der effizienten Implementierung eines ISMS. Dazu wurden u.a. entsprechende Richtlinien erstellt und GAP-Assessmemts durchgeführt.
Auditvorbereitung im KRITIS-Umfeld
Unterstützung der Vorbereitungen auf die Zertifizierung des ISMS (nach ISO27001) eines Betreibers einer „kritischen Infrastruktur“ im Sektor Energie.
Umsetzung der DSGVO in einem internationalen Konzern
Aufstellung einer konzernweiten Datenschutzorganisation nach vorhergehender Analyse und Risikobewertung von Verarbeitungsaktivitäten.
Operative Security-Beratung
Prüfung von Sicherheitskonzeptionen gegen aktuell geltende Policies und Standards, sowie die Identifikation von Abweichungen und die Behandlung derer.
Leistungsbeispiele
Etablierung eines ISMS im Maschinenbau-Umfeld
Unterstützung bei der effizienten Implementierung eines ISMS. Dazu wurden u.a. entsprechende Richtlinien erstellt und GAP-Assessmemts durchgeführt.
Auditvorbereitung im KRITIS-Umfeld
Unterstützung der Vorbereitungen auf die Zertifizierung des ISMS (nach ISO27001) eines Betreibers einer „kritischen Infrastruktur“ im Sektor Energie.
Umsetzung der DSGVO in einem internationalen Konzern
Aufstellung einer konzernweiten Datenschutzorganisation nach vorhergehender Analyse und Risikobewertung von Verarbeitungsaktivitäten.
Operative Security-Beratung
Prüfung von Sicherheitskonzeptionen gegen aktuell geltende Policies und Standards, sowie die Identifikation von Abweichungen und die Behandlung derer.
Wir freuen uns darauf, Sie bei Ihren Information Security und NIS 2 Projekten zu unterstützen. Kontaktieren Sie unseren Experten Felix Pille!