Information Security und NIS 2

Information Security
Information Security
Information Security

Vertrauen in die Digitale Zukunft: Informationssicherheit für Ihren Unternehmenserfolg

In unserer digitalen Welt spielt die Sicherheit der IT-Infrastruktur für Ihr Unternehmen eine entscheidende Rolle. Wir wissen, dass IT-Sicherheit nicht nur ein optionales Extra ist, sondern eine grundlegende Säule für den Erfolg und die Kontinuität Ihres Unternehmens. Daher begleiten wir Sie auf dem Weg zu einer Strategie und einer effektiven und effizienten Umsetzung für Ihre Information Security.

Dabei sind wir von der Definition des Scopes über die Identifikation und Bewertung von Assets bis hin zur konkreten Ableitung und Umsetzung von Maßnahmen der Partner an Ihrer Seite. Wir schaffen Transparenz hinsichtlich bestehender Risiken für die Informationssicherheit und entwickeln risikobasiert Lösungen, um Ihre Geschäftsprozesse optimal zu schützen.

Vertrauen in die Digitale Zukunft: Informationssicherheit für Ihren Unternehmenserfolg

In unserer digitalen Welt spielt die Sicherheit der IT-Infrastruktur für Ihr Unternehmen eine entscheidende Rolle. Wir wissen, dass IT-Sicherheit nicht nur ein optionales Extra ist, sondern eine grundlegende Säule für den Erfolg und die Kontinuität Ihres Unternehmens. Daher begleiten wir Sie auf dem Weg zu einer Strategie und einer effektiven und effizienten Umsetzung für Ihre Information Security.

Dabei sind wir von der Definition des Scopes über die Identifikation und Bewertung von Assets bis hin zur konkreten Ableitung und Umsetzung von Maßnahmen der Partner an Ihrer Seite. Wir schaffen Transparenz hinsichtlich bestehender Risiken für die Informationssicherheit und entwickeln risikobasiert Lösungen, um Ihre Geschäftsprozesse optimal zu schützen.

Vertrauen in die Digitale Zukunft: Informationssicherheit für Ihren Unternehmenserfolg

In unserer digitalen Welt spielt die Sicherheit der IT-Infrastruktur für Ihr Unternehmen eine entscheidende Rolle. Wir wissen, dass IT-Sicherheit nicht nur ein optionales Extra ist, sondern eine grundlegende Säule für den Erfolg und die Kontinuität Ihres Unternehmens. Daher begleiten wir Sie auf dem Weg zu einer Strategie und einer effektiven und effizienten Umsetzung für Ihre Information Security.

Dabei sind wir von der Definition des Scopes über die Identifikation und Bewertung von Assets bis hin zur konkreten Ableitung und Umsetzung von Maßnahmen der Partner an Ihrer Seite. Wir schaffen Transparenz hinsichtlich bestehender Risiken für die Informationssicherheit und entwickeln risikobasiert Lösungen, um Ihre Geschäftsprozesse optimal zu schützen.

Ihr Weg zu einer ganzheit­lichen Sicherheits­strategie

 

Unsere strukturierte und bewährte Methode zur Einführung und Weiter­ent­wicklung Ihres Informations­sicherheits-Management­systems schafft Transparenz hinsichtlich Ihrer kritischen Geschäfts­prozesse. Mit unserem prozessualen und technischen Know-how schaffen wir mit Ihnen die Strukturen, um Schwach­stellen auf verschiedenen Ebenen zeitnah zu identifi­zieren und risiko­basiert und gezielt zu beseitigen.

Wir unterstützen Sie beim Aufbau und bei der Weiterentwicklung Ihres Informa­tions­sicherheits-Management­systems (ISMS). Dabei begleiten wir Sie auch bei der Vorbereitung von Zertifizierungen und bei der Auswahl und Implementierung geeigneter ISMS-Werkzeuge.

Im Rahmen des IT Risk Managements identifizieren und bewerten wir von Bedrohungen und Schwachstellen, basierend auf den anerkannten Standards ISO 31000 und ISO 27005.

Unsere technischen Security Consultants unterstützen Sie bei der Konzeption und Implementierung von Sicherheitsarchitek-turen, dem Härten von Umgebungen, der Nachverfolgung und Behebung von Findings aus Pentests und Audits sowie bei der systematischen Adressierung der Sicherheits- und Compliance-Anforderungen in Projekten.

Wir unterstützen Sie bei der Etablierung effektiver Steuerungsinstrumente in den Bereichen Posture-, Patch- und Vulnerability-Management sowie beim Aufbau und bei der Weiterentwicklung eines SOC.

Wir unterstützen Sie bei der Konzeption Ihres Business Continuity Managements (BCM) und bei der Prüfung seiner Funktionsfähigkeit, bei der Bewertung von Sicherheitsniveaus sowie bei der Planung von Wiederanlaufplänen.

Dem Faktor Mensch kommt beim Thema Informationssicherheit eine große Bedeutung zu. Mit Awareness-Maßnahmen und Security-Trainings unterstützen wir Sie dabei, Mitarbeiter zu sensibilisieren und für die Herausforderungen und Bedrohungen von heute fit zu bekommen.

 

 

 

 

 

 

 

 

 

Neuerungen durch EU-Richtlinien mit gravierenden Konsequenzen – NIS 2

Bei NIS 2 handelt es sich um eine EU-Richtlinie, die Mindestanforderungen an die Cybersicherheit in Organisationen definiert. Das Ziel der Richtlinie ist die Erhöhung der Cybersicherheit in (besonders) wichtigen Einrichtungen. Das nationale Gesetz muss spätestens ab Oktober 2024 in Kraft treten. Der Kreis der im Bereich Cybersicherheit regulierten Unternehmen wird durch NIS 2 stark ausgeweitet. Betroffene Einrichtungen müssen organisationsweit Maßnahmen umsetzen und mit Sanktionen von bis zu 2 Prozent des Jahresumsatzes rechnen, bei nicht Einhaltung.

Neuerungen durch EU-Richtlinien mit gravierenden Konsequenzen – NIS 2

Bei NIS 2 handelt es sich um eine EU-Richtlinie, die Mindestanforderungen an die Cybersicherheit in Organisationen definiert. Das Ziel der Richtlinie ist die Erhöhung der Cybersicherheit in (besonders) wichtigen Einrichtungen. Das nationale Gesetz muss spätestens ab Oktober 2024 in Kraft treten. Der Kreis der im Bereich Cybersicherheit regulierten Unternehmen wird durch NIS 2 stark ausgeweitet. Betroffene Einrichtungen müssen organisationsweit Maßnahmen umsetzen und mit Sanktionen von bis zu 2 Prozent des Jahresumsatzes rechnen, bei nicht Einhaltung.

Neuerungen durch EU-Richtlinien mit gravierenden Konsequenzen – NIS 2

Bei NIS 2 handelt es sich um eine EU-Richtlinie, die Mindestanforderungen an die Cybersicherheit in Organisationen definiert. Das Ziel der Richtlinie ist die Erhöhung der Cybersicherheit in (besonders) wichtigen Einrichtungen. Das nationale Gesetz muss spätestens ab Oktober 2024 in Kraft treten. Der Kreis der im Bereich Cybersicherheit regulierten Unternehmen wird durch NIS 2 stark ausgeweitet. Betroffene Einrichtungen müssen organisationsweit Maßnahmen umsetzen und mit Sanktionen von bis zu 2 Prozent des Jahresumsatzes rechnen, bei nicht Einhaltung.

Zeitliche Einordnung

Timeline für Beschlüsse, Fristen und Nachweise

Betroffene Unternehmen

 

Großunternehmen und mittlere Unternehmen

 

Welche Einrichtungen betroffen sind, lässt sich am Überschreiten von Mindest­schwell­werten feststellen. Dazu werden die Faktoren Unternehmensgröße und das Tätigkeitsfeld der Einrichtung kombiniert.

 

Faktoren für die Größe einer Einrichtung:

 

  • Mitarbeiter: mind. 50
  • Jahresumsatz: mind. 10 Mio. Euro
  • Bilanzsumme: mind. 10 Mio. Euro

Betroffene Tätigkeitsfelder

 

Im deutschen NIS 2 Umsetzungsgesetz definiert:

 

Energie, Verkehr und Transport, Wasser, Gesundheit, Finanzwesen, Versicherungs­wesen, IT und Telekommuni­kation, Weltraum, Logistik, Abfall­be­wirt­schaftung, Lebensmittel, Chemie, Verarbeitendes Gewerbe, Digitale Dienste, Forschung

Ab Erreichen der Mindestschwellwerte gelten die folgenden Cluster:

 

Durch die Kombination der Unternehmens­größe und des Tätigkeitsfelds kann in besonders wichtige und wichtige Einrichtungen unterschieden werden.

Unabhängig von der Klassifizierung, müssen betroffene Unternehmen neben Registrierungs- und Meldepflichten vor allem fachliche Anforderungen umsetzen. Anforderungen müssen mindestens die folgenden zehn Themenfelder umfassen:

1. Konzepte zur Risikoanalyse

2. Bewältigung von Sicherheitsvorfällen

3. Aufrechterhaltung des Betriebs (inkl. Backup-Management und Wiederherstellung)

4. Sicherheit in der Lieferkette

5. Sicherheit bei Erwerb, Entwicklung und Wartung

6. Konzepte zur Bewertung der getroffenen Maßnahmen

7. Maßnahmen zur Schulung und Cyberhygiene

8. Konzepte zur Kryptografie

9. Zugriffskontrolle und Personalsicherheit

10. Multi-Faktor Authentifizierung, gesicherte Kommunikation sowie Notfallkommunikation

Die umzusetzenden Maßnahmen sollen dem Stand der Technik entsprechen und angemessen zum Risiko sein. Ausdrücklich wird auf die Nutzung internationaler und europäischer Standards verwiesen.

Durch die Kombination der Unternehmens­größe und des Tätigkeitsfelds kann in besonders wichtige und wichtige Einrichtungen unterschieden werden.

Unabhängig von der Klassifizierung, müssen betroffene Unternehmen neben Registrierungs- und Meldepflichten vor allem fachliche Anforderungen umsetzen. Anforderungen müssen mindestens die folgenden zehn Themenfelder umfassen:

1. Konzepte zur Risikoanalyse

2. Bewältigung von Sicherheitsvorfällen

3. Aufrechterhaltung des Betriebs (inkl. Backup-Management und Wiederherstellung)

4. Sicherheit in der Lieferkette

5. Sicherheit bei Erwerb, Entwicklung und Wartung

6. Konzepte zur Bewertung der getroffenen Maßnahmen

7. Maßnahmen zur Schulung und Cyberhygiene

8. Konzepte zur Kryptografie

9. Zugriffskontrolle und Personalsicherheit

10. Multi-Faktor Authentifizierung, gesicherte Kommunikation sowie Notfallkommunikation

Die umzusetzenden Maßnahmen sollen dem Stand der Technik entsprechen und angemessen zum Risiko sein. Ausdrücklich wird auf die Nutzung internationaler und europäischer Standards verwiesen.

Durch die Kombination der Unternehmens­größe und des Tätigkeitsfelds kann in besonders wichtige und wichtige Einrichtungen unterschieden werden.

Unabhängig von der Klassifizierung, müssen betroffene Unternehmen neben Registrierungs- und Meldepflichten vor allem fachliche Anforderungen umsetzen. Anforderungen müssen mindestens die folgenden zehn Themenfelder umfassen:

1. Konzepte zur Risikoanalyse

2. Bewältigung von Sicherheitsvorfällen

3. Aufrechterhaltung des Betriebs (inkl. Backup-Management und Wiederherstellung)

4. Sicherheit in der Lieferkette

5. Sicherheit bei Erwerb, Entwicklung und Wartung

6. Konzepte zur Bewertung der getroffenen Maßnahmen

7. Maßnahmen zur Schulung und Cyberhygiene

8. Konzepte zur Kryptografie

9. Zugriffskontrolle und Personalsicherheit

10. Multi-Faktor Authentifizierung, gesicherte Kommunikation sowie Notfallkommunikation

Die umzusetzenden Maßnahmen sollen dem Stand der Technik entsprechen und angemessen zum Risiko sein. Ausdrücklich wird auf die Nutzung internationaler und europäischer Standards verwiesen.

Mit bridgingIT NIS 2-Readiness herstellen

Mit bridgingIT NIS 2-Readiness herstellen

Mit bridgingIT NIS 2-Readiness herstellen

1. Ermittlung der Betroffenheit

Im Rahmen eines Assessment Centers unterstützen wir bei Ihrer Selbstein­schät­zung, ob und in welchem Ausmaß Ihr Unternehmen oder Ihre Einrichtung von NIS 2 betroffen ist. Dafür haben wir ein pragmatisches und lösungsorientiertes Framework entwickelt, durch das wir zügig zu einer Bewertung kommen.

2. Identifizierung von Anpassungsbedarfen

Nachdem das Ausmaß der Betroffenheit ermittelt wurde, analysieren wir, welche Maßnahmen Sie bereits umgesetzt haben. Dadurch identifizieren wir punktgenau die Stellen, an denen weiterer Handlungs­bedarf besteht.

3. Definition und Umsetzung von Maßnahmen

Wir leiten strukturiert Maßnahmen ab, um identifizierte Lücken zu schließen und unterstützen Sie bei der Umsetzung. Hierbei orientieren wir uns an gängigen Good Practices und integrieren diese pass­genau in Ihre bestehenden Strukturen.

„Für NIS 2 definierte Maßnahmen müssen technisch umgesetzt, koordiniert und langfristig gesteuert werden. Um eine nachhaltige Verankerung von NIS 2 zu erreichen, muss auf gängige Best Practices der sicheren Architektur und Governance zurückgegriffen werden. In diesen Themen unterstützt die bridgingIT seit vielen Jahren Kunden verschiedener Branchen. Unsere Referenzen umfassen: Die Umsetzung neuer Gesetze (bspw. DSGVO), den Betrieb und die Weiterentwicklung eines ISMS, sowie spezifische IT-Security Projektberatung.“

Leistungsbeispiele

Etablierung eines ISMS im Maschinenbau-Umfeld

Unterstützung bei der effizienten Imple­men­tierung eines ISMS. Dazu wurden u.a. entsprech­ende Richt­linien erstellt und GAP-Assess­memts durchgeführt.

Auditvorbereitung im KRITIS-Umfeld

Unterstützung der Vorbereitungen auf die Zertifizierung des ISMS (nach ISO27001) eines Betreibers einer „kritischen Infra­struk­tur“ im Sektor Energie.

Umsetzung der DSGVO in einem internationalen Konzern

Aufstellung einer konzern­weiten Daten­schutz­orga­ni­sa­tion nach vorher­ge­hen­der Analyse und Risiko­be­wer­tung von Ver­ar­bei­tungs­akti­vi­täten.

Operative Security-Beratung

Prüfung von Sicherheitskonzeptionen gegen aktuell geltende Policies und Standards, sowie die Identifikation von Abweichungen und die Behandlung derer.

Leistungsbeispiele

Etablierung eines ISMS im Maschinenbau-Umfeld

Unterstützung bei der effizienten Imple­men­tierung eines ISMS. Dazu wurden u.a. entsprech­ende Richt­linien erstellt und GAP-Assess­memts durchgeführt.

Auditvorbereitung im KRITIS-Umfeld

Unterstützung der Vorbereitungen auf die Zertifizierung des ISMS (nach ISO27001) eines Betreibers einer „kritischen Infra­struk­tur“ im Sektor Energie.

Umsetzung der DSGVO in einem internationalen Konzern

Aufstellung einer konzern­weiten Daten­schutz­orga­ni­sa­tion nach vorher­ge­hen­der Analyse und Risiko­be­wer­tung von Ver­ar­bei­tungs­akti­vi­täten.

Operative Security-Beratung

Prüfung von Sicherheitskonzeptionen gegen aktuell geltende Policies und Standards, sowie die Identifikation von Abweichungen und die Behandlung derer.

Leistungsbeispiele

Etablierung eines ISMS im Maschinenbau-Umfeld

Unterstützung bei der effizienten Imple­men­tierung eines ISMS. Dazu wurden u.a. entsprech­ende Richt­linien erstellt und GAP-Assess­memts durchgeführt.

Auditvorbereitung im KRITIS-Umfeld

Unterstützung der Vorbereitungen auf die Zertifizierung des ISMS (nach ISO27001) eines Betreibers einer „kritischen Infra­struk­tur“ im Sektor Energie.

Umsetzung der DSGVO in einem internationalen Konzern

Aufstellung einer konzern­weiten Daten­schutz­orga­ni­sa­tion nach vorher­ge­hen­der Analyse und Risiko­be­wer­tung von Ver­ar­bei­tungs­akti­vi­täten.

Operative Security-Beratung

Prüfung von Sicherheitskonzeptionen gegen aktuell geltende Policies und Standards, sowie die Identifikation von Abweichungen und die Behandlung derer.

Felix Pille

Security Consultant

E-Mail

Profilbild Felix Pille

Wir freuen uns darauf, Sie bei Ihren Information Security und NIS 2 Projekten zu unterstützen. Kontaktieren Sie unseren Experten Felix Pille!

Karriere bei bridgingIT - Werde Teil unseres Teams