Skip to the main content.

NIS-2 Consulting

NIS-2-Richtlinie erfüllen und mehr Cybersicherheit erzielen

NIS-2 ist eine Gesetzesinitiative der EU zur Regelung und Verbesserung der Cyber- und Informationssicherheit von Unternehmen und Institutionen, die als kritisch für die Gesellschaft eingestuft werden. Damit soll die Widerstandsfähigkeit gegenüber Cyberangriffen im öffentlichen und privaten Sektor verstärkt und die Reaktionsfähigkeit auf Sicherheitsvorfälle verbessert werden. Mit der indevis NIS-2 Beratung analysieren wir Ihre individuellen Sicherheits­anforderungen, checken Ihre bestehenden Umgebungen und implementieren bei Bedarf effektive Schutzmechanismen zur Erfüllung der gesetzlichen Mindestanforderungen an Cybersicherheit.

nis2-consulting-header2
01

Was fordert die
NIS-2-Richtlinie?

Mit der EU-NIS-2-Direktive erhöhen sich die Mindestanforderungen an die Cybersicherheit kritischer Infrastrukturen. Die NIS-2-Richtlinie löst die bereits 2016 definierte Richtlinie zur Netz- und Informationssicherheit (NIS) ab. Seit dem 16. Januar 2023 ist die NIS-2-Direktive in Kraft. Die EU-Mitgliedsstaaten haben bis Oktober 2024 Zeit, sie in nationales Recht zu überführen. In Deutschland erfolgt dies durch das NIS-2-Umsetzungsgesetz, das derzeit als dritter Referentenentwurf vorliegt. Zu erwarten sind Änderungen am IT-Sicherheitsgesetz und der KRITIS-Verordnung (Kritische Infrastrukturen).

Der wichtigste Unterschied zur alten Gesetzgebung ist die Erweiterung um sieben neue KRITIS-Sektoren, sodass sich die Zahl von elf auf achtzehn erhöht. Während bisher nur große Einrichtungen und Betreiber aus dem direkten KRITIS-Umfeld betroffen waren, gilt die neue Richtlinie damit nun auch für privatwirtschaftliche Einrichtungen – und zwar schon ab einer Größe von 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz. Einige Einrichtungen fallen unabhängig von ihrer Größe unter die Richtlinie, weil sie zu den sogenannten „Essential Entities“ zählen, die für das Allgemeinwohl besonders wichtig sind. Neu ist auch, dass von der NIS2-Richtlinie betroffene Einrichtungen die Cybersicherheit ihrer Zulieferer überprüfen und dafür garantieren müssen.

Falls es zu einem Cyberangriff kommt, gelten strenge Meldepflichten ähnlich wie bei der DSGVO (Datenschutz-Grundverordnung). Einrichtungen müssen den Sicherheitsvorfall innerhalb von 24 Stunden dem BSI (Bundesamt für Sicherheit in der Informationstechnologie) melden bzw. an das behördliche Computer-Notfallteam CSIRT (Computer Security Incident Response Team) und innerhalb von 72 Stunden eine erste Bewertung zu Schweregrad, Auswirkungen und Quelle nachreichen. Spätestens nach einem Monat erwartet das BSI dann einen ausführlichen Bericht, der Informationen zum Schweregrad, zu internen und grenzüberschreitenden Auswirkungen, zur Ursache und zu den Abhilfemaßnahmen enthält.

<<Grafik>>

Meldung zu Sicherheitsverstößen und Cyber-Security-Vorfällen an das behördliche Computer-Notfallteam CSIRT (Computer Security Incident Response Team)

  • Innerhalb von 24 Stunden nach einem Vorfall Übermittlung einer Frühwarnung an das CSIRT
  • Innerhalb von 72 Stunden Übermittlung einer ersten Bewertung an das CSIRT (inkl. Aussagen zu Schweregrad, Auswirkungen, Quelle)
  • Auf Anfrage des CSIRT Bereitstellung von Aktualisierungen zum Status des Vorfallsmanagements
  • Innerhalb eines Monats Übermittlung eines detaillierten Berichts an das CSIRT (inkl. Informationen zu Schweregrad, interne und grenzüberschreitende Auswirkungen, Ursache, Abhilfemaßnahmen)

<<Grafik Ende>>

Mood-world-background-1

 

Nachdruck verleiht der Gesetzgeber seinen Anforderungen mit hohen Bußgeldern bei Verstößen. Um die Einhaltung der NIS2-Anforderungen zu überprüfen, kann das BSI umfangreiches Dokumentationsmaterial anfordern oder Audits durchführen. Nicht zuletzt haften Geschäftsführer persönlich, wenn sich bei der forensischen Untersuchung eines Sicherheitsvorfalls herausstellt, dass die Einrichtung Security-Vorgaben missachtet hat.

Der wichtigste Unterschied zur alten Gesetzgebung ist die Erweiterung um sieben neue KRITIS-Sektoren, sodass sich die Zahl von elf auf achtzehn erhöht. Während bisher nur große Einrichtungen und Betreiber aus dem direkten KRITIS-Umfeld betroffen waren, gilt die neue Richtlinie damit nun auch für privatwirtschaftliche Einrichtungen – und zwar schon ab einer Größe von 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz. Einige Einrichtungen fallen unabhängig von ihrer Größe unter die Richtlinie, weil sie zu den sogenannten „Essential Entities“ zählen, die für das Allgemeinwohl besonders wichtig sind. Neu ist auch, dass von der NIS-2-Richtlinie betroffene Einrichtungen die Cybersicherheit ihrer Zulieferer überprüfen und dafür garantieren müssen.

Falls es zu einem Cyberangriff kommt, gelten strenge Meldepflichten ähnlich wie bei der DSGVO (Datenschutz-Grundverordnung). Einrichtungen müssen den Sicherheitsvorfall innerhalb von 24 Stunden dem BSI (Bundesamt für Sicherheit in der Informationstechnologie) melden bzw. an das behördliche Computer-Notfallteam CSIRT (Computer Security Incident Response Team) und innerhalb von 72 Stunden eine erste Bewertung zu Schweregrad, Auswirkungen und Quelle nachreichen. Auf Anfrage des CSIRT müssen vom Unternehmen auch  Aktualisierungen zum Status des Vorfallmanagements bereitgestellt werden.

Spätestens nach einem Monat erwartet das BSI dann einen ausführlichen Bericht, der Informationen zum Schweregrad, zu internen und grenzüberschreitenden Auswirkungen, zur Ursache und zu den Abhilfemaßnahmen enthält.

nis-2-meldepflicht-csirt

 

Nachdruck verleiht der Gesetzgeber seinen Anforderungen mit hohen Bußgeldern bei Verstößen. Um die Einhaltung der NIS-2-Anforderungen zu überprüfen, kann das BSI umfangreiches Dokumentationsmaterial anfordern oder Audits durchführen. Nicht zuletzt haften Geschäftsführer persönlich, wenn sich bei der forensischen Untersuchung eines Sicherheitsvorfalls herausstellt, dass die Einrichtung Security-Vorgaben missachtet hat.

02

Welche Bedeutung hat die NIS-2-Richtlinie für die Cybersicherheit in Europa und Deutschland?

Die NIS-2-Richtlinie erweitert die europäische Rechtsprechung um Verstöße gegen Sicherheitsauflagen und intensiviert die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern. Die Richtlinie legt fest, dass alle Mitgliedsstaaten nationale Cybersicherheitsstrategien verabschieden sowie zuständige nationale Behörden, spezielle Behörden für das Cyberkrisenmanagement, zentrale Anlaufstellen für Cybersicherheit und Computer-Notfallteams (CSIRT) einrichten. Diese sollen grenzübergreifend miteinander kooperieren und Informationen austauschen. Parallel dazu soll eine Schwachstellendatenbank auf EU-Ebene aufgebaut werden.

Datasheet indevis NIS-2 Consulting

Kontakt

NIS-2 Consulting - jetzt 
Beratung anfordern:

Bild Andreas Mayer
Andreas Mayer
Business Development
03

Welche Einrichtungen sind von
der NIS-2-Richtlinie betroffen?

Betroffen sind Einrichtungen, die unter die sogenannten "kritischen Sektoren" fallen. Letztere sind unterteilt in "Sektoren mit hoher Kritikalität" und "sonstige kritische Sektoren". Die Verordnung spezifiziert diese Grobeinteilung noch durch eine weitere Unterteilung in Teilsektoren und dann in (wesentliche und sonstige wesentliche) Einrichtungen, also Unternehmen, Organisationen oder Behörden. Grundsätzlich betroffen sind Einrichtungen ab einer Größe von 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz. Experten gehen von circa 30.000 bis 40.000 Einrichtungen aus, die neu von der NIS-2-Richtlinie betroffen sind.

Klassifizierung Unternehmen und NIS-2-Sektoren

Die Einordnung und Durchsetzung von NIS-2 ist abhängig von der Einstufung eines Unternehmens. Die Kategorisierung unterscheidet zwischen Unternehmensgrößen und Kritikalität einer Organisation (Essential Entity oder Important Entity).

kleines-unternehmen-nis2
Kleine Unternehmen
Kleine Unternehmen
  • über 50 Beschäftigte
  • max. 10 Mio. EUR Umsatz
  • max. 10 Mio. EUR Bilanz
kleines-unternehmen-nis2

mittleres-unternehmen-nis2

Mittlere Unternehmen
Mittlere Unternehmen
  • 50-249 Beschäftigte
  • max. 50 Mio. EUR Umsatz
  • max. 10-43 Mio. EUR Bilanz
mittleres-unternehmen-nis2

grosses-unternehmen-nis2

Große Unternehmen
Große Unternehmen
  • mind. 250 Beschäftigte
  • über 50 Mio. EUR Umsatz
  • über 43 Mio. EUR Bilanz
grosses-unternehmen-nis2

Betroffene Sektoren der NIS-2-Richtlinie

Wesentliche Sektoren (Essential Entities)

Sektoren mit hoher Kritikalität sind:

Energie, Verkehr, Bank- und Finanzwesen, Gesundheitswesen, Wasserversorgung, Digitale Infrastruktur, Öffentliche Verwaltung, Luft- und Raumfahrt, ITK-Dienste

Wichtige Sektoren (Important Entities)

Sonstige kritische Sektoren sind:

Post- und Kurierdienste, Abfallwirtschaft, Chemie, Ernährung, Forschung, Digitale Dienste, Herstellung von Waren

Bußgelder bei Verstößen:

Ø Bis 10 Mio. EUR oder 2% des Jahresumsatzes

Bußgelder bei Verstößen:

Ø Bis 7 Mio. EUR oder 1,4% des Jahresumsatzes

04

Welche praktischen Auswirkungen hat die
NIS-2-Richtlinie auf betroffene Einrichtungen?

Für Unternehmen, die bereits unter NIS fielen, dürfte der Aufwand, die neuen Regularien von NIS-2 umzusetzen, eher gering sein. Bei neu betroffenen Organisationen kann der erforderliche Umsetzungsaufwand erheblich variieren. Ist eine Einrichtung bereits branchenspezifisch zertifiziert, ist die NIS-2-Konformität eher nur ein zusätzlicher Baustein bzw. erfordert eine an die Anforderungen von NIS-2 ausgerichtete Überarbeitung. Wesentlich härter trifft es Unternehmen, die keine Zertifizierung vorweisen können und auch über kein dokumentiertes Sicherheitskonzept verfügen. Zumindest mittelfristig ist insbesondere bei letzteren der Aufbau einer gemanagten IT-Sicherheitsstruktur erforderlich, mit der dokumentiert und nachweisbar ist, dass alle relevanten Sicherheitsmaßnahmen nach dem Stand der Technik umgesetzt wurden.

Datasheet indevis NIS-2 Consulting

05

Was prüfen die Behörden und
wie sanktionieren sie Mängel?

Die zuständigen Behörden haben zahlreiche Möglichkeiten, die Sicherheitsmaßnahmen der betroffenen Einrichtungen zu prüfen. Sie sind etwa befugt, umfangreiches Dokumentationsmaterial von Verantwortlichen anzufordern:

  • Informationen, die für die nachträgliche Bewertung der ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit erforderlich sind, einschließlich dokumentierter Cybersicherheitskonzepte.
  • Zugang zu Daten, Dokumenten und sonstigen Informationen, die zur Erfüllung der behördlichen Aufsichtsaufgaben erforderlich sind.
  • Nachweise für die Umsetzung der Cybersicherheitskonzepte, z. B. die Ergebnisse von Sicherheitsprüfungen inklusive der entsprechenden zugrunde liegenden Nachweise.

Die Behörden können darüber hinaus auch gezielte Kontrollen auf Kosten der jeweiligen Einrichtung durchführen oder deren Durchführung veranlassen:

  • Gezielte Sicherheitsprüfungen durch eine unabhängige Stelle oder die zuständige Behörde.
  • Sicherheitsscans auf Grundlage objektiver, nicht diskriminierender, fairer und transparenter Risikobewertungskriterien – wenn erforderlich auch in Zusammenarbeit mit der betreffenden Einrichtung.

Sicherheitsmängel können die Behörden entsprechend sanktionieren. Die Strafen sind drastisch:

  • Wesentliche Einrichtungen müssen mit Geldbußen bis zu einem Höchstbetrag von mindestens 10 Millionen Euro oder bis zu einem Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes rechnen (es gilt der jeweils höhere Betrag).
  • Sonstige wesentliche Einrichtungen müssen mit Geldbußen bis zu einem Höchstbetrag von mindestens 7 Millionen Euro oder bis zu einem Höchstbetrag von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes rechnen (es gilt der jeweils höhere Betrag).

Grundsätzlich kann bei Verstößen gegen die Sicherheitsauflagen auch die Geschäftsleitung zur Verantwortung gezogen werden.

Die zuständigen Behörden haben zahlreiche Möglichkeiten, die Sicherheitsmaßnahmen der betroffenen Einrichtungen zu prüfen. Sie sind etwa befugt, umfangreiches Dokumentationsmaterial von Verantwortlichen anzufordern:

  • Informationen, die für die nachträgliche Bewertung der ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit erforderlich sind, einschließlich dokumentierter Cybersicherheitskonzepte.
  • Zugang zu Daten, Dokumenten und sonstigen Informationen, die zur Erfüllung der behördlichen Aufsichtsaufgaben erforderlich sind.
  • Nachweise für die Umsetzung der Cybersicherheitskonzepte, z. B. die Ergebnisse von Sicherheitsprüfungen inklusive der entsprechenden zugrunde liegenden Nachweise.

Die Behörden können darüber hinaus auch gezielte Kontrollen auf Kosten der jeweiligen Einrichtung durchführen oder deren Durchführung veranlassen:

  • Gezielte Sicherheitsprüfungen durch eine unabhängige Stelle oder die zuständige Behörde.
  • Sicherheitsscans auf Grundlage objektiver, nicht diskriminierender, fairer und transparenter Risikobewertungskriterien – wenn erforderlich auch in Zusammenarbeit mit der betreffenden Einrichtung.

Sicherheitsmängel können die Behörden entsprechend sanktionieren. Die Strafen sind drastisch:

  • Wesentliche Einrichtungen müssen mit Geldbußen bis zu einem Höchstbetrag von mindestens 10 Millionen Euro oder bis zu einem Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes rechnen (es gilt der jeweils höhere Betrag).
  • Sonstige wesentliche Einrichtungen müssen mit Geldbußen bis zu einem Höchstbetrag von mindestens 7 Millionen Euro oder bis zu einem Höchstbetrag von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes rechnen (es gilt der jeweils höhere Betrag).

Grundsätzlich kann bei Verstößen gegen die Sicherheitsauflagen auch die Geschäftsleitung zur Verantwortung gezogen werden.

06

Wie baue ich eine (gemanagte)
Informationssicherheits-Struktur auf?

Ziel der NIS-2-Richtlinie ist, dass Unternehmen und Organisationen sicherer werden und in der Lage sind, Cyberangriffe abzuwehren, aber auch die Schäden abzumildern, die diese bei Erfolg verursachen.

Von den Einrichtungen wird erwartet, dass sie je nach Risiko und Einstufung der Kritikalität die richtigen und angemessenen Sicherheitsmaßnahmen auswählen. Dreh- und Angelpunkt ist dabei, eine umfassende Informationssicherheits-Struktur zu etablieren, die das Risiko von Cyberangriffen reduziert und die gegebenenfalls entstandenen Schäden mindert.

Diese umfasst verschiedene Elemente:

Der Aufbau eines Risikomanagementsystems mit all seinen Bausteinen ist der erste unabdingbare Schritt, auch um Angriffe überhaupt zu erkennen und damit fristgerecht melden zu können. Basis für das Risikomanagement ist 

  • die Festlegung und Dokumentation, wie das Thema Cybersicherheit im gesamten Unternehmen und auch über die Einrichtung hinaus organisiert wird,
  • welche Risikomethode man gewählt hat,
  • wer verantwortlich ist.

Dies setzt auch den Aufbau eines Sicherheitsteams voraus, das entsprechende Sicherheitsnormen und Prozesse etabliert und dokumentiert.

Zur Sicherheitsinfrastruktur gehört auch ein angebundenes BCM (Business Continuity Management) – also ein Notfallmanagement, wenn eben ein Notfall, wie etwa ein Cyberangriff, erfolgt ist und Schäden verursacht hat. Für dieses Notfallmanagement wird im Vorfeld definiert, welche Geschäftsprozesse kritisch sind und wie lange sie maximal ausfallen dürfen, um die entsprechenden Geschäftsaufträge erfüllen zu können. Dies wird im Rahmen einer Business Impact Analyse (BIC) ermittelt. In dieser ist dokumentiert, welche Auswirkungen der Ausfall eines relevanten Prozesses hat und wie man diesen Geschäftsprozess in adäquater Zeit wieder starten kann.

Die Anforderungen von NIS2 betreffen auch das Lieferantenmanagement, denn grundsätzlich haftet die betroffene Einrichtung auch für ihre Lieferanten. Wichtig wird damit, dass auch die Lieferanten einen realen dokumentierten Nachweis vorlegen können, dass sie über erforderliche Sicherheitsmaßnahmen verfügen – also beispielsweise ein Sicherheitsmanagementsystem einsetzen oder entsprechend ihrer Branche zertifiziert sind.

Der Aufbau eines Risikomanagementsystems mit all seinen Bausteinen ist der erste unabdingbare Schritt, um Angriffe überhaupt zu erkennen und damit fristgerecht melden zu können. Basis für das Risikomanagement ist die Festlegung und Dokumentation, wie das Thema Cybersicherheit im gesamten Unternehmen und auch über die Einrichtung hinaus organisiert wird, welche Risikomethode man gewählt hat und wer verantwortlich ist.

Dies setzt auch den Aufbau eines Sicherheitsteams voraus, das entsprechende Sicherheitsnormen und Prozesse etabliert und dokumentiert.

Zur Sicherheitsinfrastruktur gehört auch ein angebundenes BCM (Business Continuity Management) – also ein Notfallmanagement, wenn eben ein Notfall, wie etwa ein Cyberangriff, erfolgt ist und Schäden verursacht hat. Für dieses Notfallmanagement wird im Vorfeld definiert, welche Geschäftsprozesse kritisch sind und wie lange sie maximal ausfallen dürfen, um die entsprechenden Geschäftsaufträge erfüllen zu können. Dies wird im Rahmen einer Business Impact Analyse (BIA) ermittelt. In dieser ist dokumentiert, welche Auswirkungen der Ausfall eines relevanten Prozesses hat und wie man diesen Geschäftsprozess in adäquater Zeit wieder starten kann.

Die Anforderungen von NIS-2 betreffen auch das Lieferantenmanagement, denn grundsätzlich haftet die betroffene Einrichtung auch für ihre Lieferanten. Wichtig wird damit, dass auch die Lieferanten einen realen dokumentierten Nachweis vorlegen können, dass sie über erforderliche Sicherheitsmaßnahmen verfügen – also beispielsweise ein Sicherheitsmanagementsystem einsetzen oder entsprechend ihrer Branche zertifiziert sind.

07

Was kann indevis zur Optimierung
der Cybersicherheit beitragen?

indevis setzt auf einen strukturierten Consulting-Ansatz, um die Cybersicherheit seiner Kunden gemäß der NIS-2-Richtlinie zu optimieren. Die erarbeiteten Empfehlungen werden anschließend mit den passenden Produkten und Managed Services realisiert und in die bereits vorhandenen Systeme integriert. Auf diese Weise lassen sich die Anforderungen aller NIS-2-betroffenen Unternehmen abdecken – angefangen bei der Frage, ob NIS-2 für die Einrichtung überhaupt relevant ist, über das Eliminieren von Schwachstellen bis hin zum Aufbau eines umfassenden Informationssicherheits-Managementsystems (ISMS).

Der Consulting-Ansatz basiert auf einer gründlichen GAP-Analyse der aktuellen Sicherheitsstruktur. Dazu zählen unter anderem

  • die Identifizierung und Sichtbarkeit aller kritischen Assets und Systeme,
  • der sichere Zugriff auf Netzwerke und Assets,
  • die Reaktion auf Bedrohungen,
  • Analysen und Maßnahmen, wie Geschäftsprozesse nach einem erfolgreichen Angriff fortgesetzt werden können,
  • Ermittlung und Definition von personellen Verantwortlichkeiten.  

Auf dieser Basis entwickelt indevis dann mit seinen Kunden einen gemeinsamen Fahrplan, der festlegt, welche Schritte empfehlenswert sind. Ein entscheidender Nebeneffekt dieser GAP-Analyse ist, dass damit bereits der erste Schritt zu einer Sicherheits-Dokumentation erfolgt, wie sie die verantwortlichen NIS-2-Behörden verlangen.

Datasheet indevis NIS-2 Consulting

08

Was beinhaltet die indevis
GAP-Analyse im Detail?

  • Prozesse und Organisation: Die Analyse von Prozessen und der Organisationsstruktur dient dazu, sich gemeinsam mit dem Kunden einen Überblick über sämtliche sicherheitsrelevante Strukturen zu verschaffen. Untersucht wird unter anderem: Was sind die kritischen Geschäftsprozesse? An welche Gesetze oder branchenspezifischen Vorgaben muss sich das Unternehmen halten? Welche Maßnahmen zur physischen Sicherheit sind wichtig? Wie werden Mitarbeiter für Security-Themen sensibilisiert?
  • Endpoint Security: Sind alle Endgeräte des IT-Netzwerks sichtbar und welche technischen und organisatorischen Maßnahmen verhindern unbefugten Zugriff?
  • Vorhandene IT-Infrastruktur: Welche grundlegenden Hard- und Softwarekomponenten sind im Einsatz? LAN, WAN, WLAN, Access Control, aber auch Firewall, Proxy etc.?
  • Identity and Access Management: Welche Maßnahmen sind bereits im Einsatz, um internen und externen Usern eindeutige Identitäten zuzuweisen?
  • Applikationen und Dienste: Hier geht es darum, welche Applikationen und Dienste wo, wie und wie häufig genutzt werden. Daraus lässt sich ermitteln, wie etwa Emails abgesichert sind, wie Webbrowser oder Webanwendungen genutzt werden, und welche anderen Anwendungen zum Einsatz kommen. Relevant sind auch Themen wie Datenaustausch, Filesharing, Data Loss Prevention oder Datenklassifizierung.
  • Detection and Response: Zu diesem Bereich zählen das Logging ebenso wie die Frage, ob ein MDR (Managed Detection and Response) existiert oder geplant ist – und konsequenterweise, ob ein SOC-Team (Security Operations Center) existiert, eingesetzt oder als Fremdleistung eingekauft werden soll. Die Planung von IT-Notfallkonzepten schließt sich daran an, wozu auch Forensik und Incident Response gehören.
09

Wie setzt indevis
die GAP-Analyse um?

Ziel dieser skalierbaren Analyse ist die Dokumentation aller sicherheitsrelevanten Prozesse und Strukturen sowie die Erstellung eines individuellen Maßnahmenkatalogs. Zur Umsetzung bietet indevis ein umfangreiches Portfolio an Tools, Systemen und Dienstleistungen bzw. Managed Services an. Dazu zählen Hard- und Software-Tools zur Eliminierung von Schwachstellen, der Aufbau eines ISMS (Informationssicherheit-Managementsystem) und die Auslagerung von sicherheitsrelevanten Dienstleistungen wie SIEM (Security Information and Event Management) und MDR (Managed Detection and Response) an ein SOC (Security Operations Center).

Kontakt

NIS-2 Consulting - jetzt 
Beratung anfordern:

Bild Andreas Mayer
Andreas Mayer
Business Development
10

Wie werden sich die Regeln zur Netz- und
Informationssicherheit weiterentwickeln?

Experten gehen davon aus, dass die NIS-2-Richtlinie schrittweise verschärft wird und zu einer verpflichtenden Zertifizierung führt. Deshalb empfiehlt sich bereits heute der schrittweise Aufbau eines Informationssicherheits-Managementsystems (ISMS), da damit alle aktuellen Sicherheitsvorgaben erfüllt und dokumentiert sind und in der Zukunft nur noch gezielt einzelne Schwachstellen behoben und Bausteine überarbeitet oder neu integriert werden müssen. Ähnlich wie bei der Datenschutz-Grundverordnung sollten sich Unternehmen und Organisationen daher rechtzeitig überlegen, ob und wie sie geeignete Maßnahmen ergreifen. Denn es braucht Zeit, Investitionen und Budget, um ein entsprechendes Managementsystem auf- und umzusetzen. Fest steht: Der Aufwand lohnt sich. Denn eine umfassende Sicherheitsstrategie, die den Vorgaben der Richtlinie entspricht, trägt letztendlich auch zur Sicherung des wirtschaftlichen Erfolgs bei – auf Unternehmensebene, aber auch national und international.

Datasheet indevis NIS-2 Consulting

11

indevis NIS-2 Consulting: Individuelle Beratungspakete nach Ihrem Bedarf

Mit indevis NIS-2 Consulting analysieren wir Ihre individuellen Sicherheits­anforderungen, prüfen Ihre bestehenden Umgebungen und implementieren bei Bedarf effektive Schutzmechanismen zur Erfüllung der gesetzlichen Mindestanforderungen an Cybersicherheit. indevis bietet dabei zwei unterschiedliche Beratungspakete an – je nach Reifegrad Ihres Unternehmens beim Thema NIS-2.

nis-2-beratung1
NIS-2 Beratungspaket "ISMS-Fokus":

Prozesse, Technologien, Dokumentation, Aufbau eines ISMS

Lernen Sie die Anforderungen von NIS-2 im Detail kennen und verschaffen Sie sich ein ganzheitliches Bild, welche Prozesse, Dokumentationen und Technologie zur Erfüllung der NIS-2-Direktive Ihrem Unternehmen fehlen. Das Ziel ist eine initiale Bestandsaufnahme, Ableitung und Priorisierung notwendiger Initiativen und der Aufbau eines Information Security Management System (ISMS).

nis-2-beratung2
NIS-2 Beratungspaket "Tech-Fokus":

Know-how zur technischen Umsetzung der NIS-2-Anforderungen

Sie kennen bereits die NIS-2-Richtlinie und haben auch schon die richtigen Prozesse und Dokumentationen im Einsatz. Es fehlt Ihnen nur an Know-how zu den erforderlichen Technologien und Services, wie Ihr Unternehmen die Anforderungen an NIS-2 technisch umsetzen kann? Dann ist dieses Paket das Richtige für Sie!

03

Unsere
Leistungen

Beratung und Konzeption
BERATUNG, KONZEPTION

und Architektur-Design zu allen Themenfeldern in den Bereichen Netzwerk-, Sicherheits- und Datacenter-Infrastruktur

Deployment
DEPLOYMENT

Inbetriebnahme von Netzwerk-, Sicherheits- und Datacenter-Lösungen in Ihrer IT-Umgebung

Know-how
KNOW-HOW

Umfassende Erfahrung in unterschiedlichen Branchen und mit Kunden unterschiedlicher Größe

Expertise
EXPERTISE

Exzellente Technologie-Expertise zu all unseren IT-Lösungen

Holistische Analyse
HOLISTISCHE ANALYSE

Ganzheitliche Betrachtung der IT-Infrastruktur und IT-Services

Schulung
WISSENSTRANSFER

Auf Wunsch Schulung Ihres IT-Personals

Herstellerneutral
HERSTELLERNEUTRAL

Herstellerneutrales Consulting mit passgenauen Lösungen dank Zusammenarbeit mit verschiedenen Anbietern

Sie brauchen Hilfe bei der Umsetzung?

NIS-2 Consulting - wir unterstützen Sie!

 

12

Weiterführende Informationen
zur NIS-2-Richtlinie:

NIS-2, KRITIS, DORA, TIBER und TISAX: Cyber-Resilienz steigern und Compliance Anforderungen erfüllen
NIS-2, KRITIS, DORA, TIBER und TISAX: Cyber-Resilienz steigern und Compliance Anforderungen erfüllen
NIS-2 steht vor der Tür und will damit wichtige Einrichtungen vor Schäden durch Cyberangriffe schützen und das Funktionieren des europäischen Binnenmarktes verbessern. Doch NIS-2 ist nicht die einzige Compliance-Regelung, die Verwaltung und Wirtschaft zu befolgen hat. Es gibt noch zahlreiche andere Compliance Vorschriften, die durch verbindlich vorgeschriebene Maßnahmen und Regularien das Ziel einer Steigerung der Resilienz gegenüber Cyberbedrohungen verfolgen. Wir erläutern die fünf wichtigsten Direktiven und ihre Anforderungen.
  • Blog
Höchste Eisenbahn für NIS-2: Diese Maßnahmen sollten Unternehmen jetzt umsetzen
Höchste Eisenbahn für NIS-2: Diese Maßnahmen sollten Unternehmen jetzt umsetzen
Durch die Neufassung der EU-Direktive NIS werden nicht nur die Mindestanforderungen an die Cybersicherheit, sondern auch die Anzahl der betroffenen Unternehmen deutlich erhöht. Erfahren Sie, welche 5 Maßnahmen Unternehmen jetzt ergreifen sollten, um die Anforderungen der neuen NIS-2-Richtlinie zu erfüllen und ihre Organisation gegen Cyberbedrohungen zu schützen.
  • Blog
NIS-2: Die neue Geschäftsführerhaftung und ihre Tücken
NIS-2: Die neue Geschäftsführerhaftung und ihre Tücken
Die NIS-2-Direktive bringt nicht nur strengere Sicherheitsanforderungen mit sich, sondern legt auch die Verantwortung direkt in die Hände der Geschäftsführung und nimmt diese bei Nichteinhaltung der Vorgaben persönlich ins Visier. In diesem Beitrag erfahren Sie, was das konkret bedeutet und wie sich das auf den Versicherungsschutz auswirken kann.
  • Blog
Security Know-how nach Maß: ISB as a Service
Security Know-how nach Maß: ISB as a Service
In diesem Datenblatt erfahren Sie, wie ein externer Informationssicherheitsbeauftragter (ISB) als Service die IT-Sicherheit Ihres Unternehmens verbessert. Mit ISB as a Service profitieren Sie von maßgeschneidertem Know-how und entlasten Ihre internen Ressourcen.
  • Datenblatt
Supply Chain im Fokus: Auswirkungen von NIS-2 auf Lieferketten und Cybersicherheit
Supply Chain im Fokus: Auswirkungen von NIS-2 auf Lieferketten und Cybersicherheit
Die Einführung der NIS-2-Richtlinie durch die Europäische Union markiert einen wichtigen Schritt zur Verbesserung der Cybersicherheit. In diesem Beitrag erfahren Sie, wie die NIS-2-Richtlinie die Lieferketten beeinflusst und welche Maßnahmen Unternehmen und ihre Dienstleister und Zulieferer ergreifen sollten, um sich darauf vorzubereiten.
  • Blog
Datenblatt: NIS-2 Consulting
Datenblatt: NIS-2 Consulting
Die NIS-2 Gesetzesinitiative der EU soll die Widerstandsfähigkeit gegenüber Cyberangriffen im öffentlichen und privaten Sektor verstärken und die Reaktionsfähigkeit auf Sicherheitsvorfälle verbessern. Mit der indevis NIS-2 Beratung analysieren wir Ihre individuellen Sicherheitsanforderungen, checken Ihre bestehenden Umgebungen und implementieren bei Bedarf effektive Schutzmechanismen zur Erfüllung der gesetzlichen Mindestanforderungen an Cybersicherheit.
  • Datenblatt
NIS-2-Fahrplan: Wie Unternehmen die Richtlinie erfüllen und mehr Cybersicherheit erzielen
NIS-2-Fahrplan: Wie Unternehmen die Richtlinie erfüllen und mehr Cybersicherheit erzielen
Für die deutsche Wirtschaft bedeutet NIS-2 zwar eine neue Ära der Cybersicherheit, viele Unternehmen sind aber mit den anstehenden Herausforderungen der neuen Richtlinie überfordert. Erfahren Sie in diesem Blogbeitrag, wie Organisationen die NIS-2-Direktive erfüllen und ihre Cybersicherheit stärken können. Außerdem erläutert der Beitrag wichtige Schritte und Vorteile für die Zukunftssicherheit Ihres Unternehmens.
  • Blog
Webinar-Aufzeichnung: So erfüllen Unternehmen die NIS-2-Richtlinie und erzielen mehr Cybersicherheit
Webinar-Aufzeichnung: So erfüllen Unternehmen die NIS-2-Richtlinie und erzielen mehr Cybersicherheit
In dieser Webinar-Aufzeichnung geben Ihnen unsere Experten einen Überblick über die genauen Anforderungen der NIS-2-Richtlinie. Sie zeigen auf, welche Sektoren konkret betroffen sein werden und wie Unternehmen ihre internen Prozesse anpassen können. Über allem schwebt die entscheidende Frage: Wie sichere ich mein Unternehmen vor Cyberangriffen ab?
  • Webinar-Aufzeichnung
Eine neue Dimension von Cyberangriffen: Deutschland im Fadenkreuz politisch motivierter Hacker
Eine neue Dimension von Cyberangriffen: Deutschland im Fadenkreuz politisch motivierter Hacker
Deutschland steht im Fadenkreuz politisch motivierter Hackerangriffe. Drehte sich früher meistens alles um Erpressung, geht es heute auch um Zerstörung. Die zunehmende digitale Bedrohung erfordert eine Stärkung der Cyber-Resilienz von Unternehmen und die Umsetzung neuer Schutzmaßnahmen gemäß der NIS2-Richtlinie.
  • Blog
NIS2: Die wichtigsten Fragen & Antworten zu den neuen Cybersicherheits­anforderungen
NIS2: Die wichtigsten Fragen & Antworten zu den neuen Cybersicherheits­anforderungen
Die Aktualisierung der Richtlinie zur Netz- und Informationssicherheit (NIS) durch die NIS2-Direktive erhöht die Mindestanforderungen an die Cybersicherheit kritischer Infrastrukturen erheblich. Doch was bedeutet das für Ihr Unternehmen? In diesem Blogbeitrag erfahren Sie, welche Unternehmen betroffen sind, welche Neuerungen es durch NIS2-Richtlinie gibt und wie Sie sich am besten darauf vorbereiten können.
  • Blog
Was Unternehmen zur neuen EU-Direktive NIS2 wissen müssen
Was Unternehmen zur neuen EU-Direktive NIS2 wissen müssen
Ab Oktober 2024 muss die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit 2 (NIS2) in nationales Recht umgesetzt sein. NIS2 hat eine Erhöhung und Harmonisierung des Cybersicherheitsniveau von KRITIS-Unternehmen in Europa zum Ziel. Betroffene Firmen und Organisationen sollten sich jetzt über die neuen Mindestanforderungen informieren, sich mit der hauseigenen IT-Sicherheitsstrategie auseinandersetzen und – wo nötig – nachjustieren.
  • Blog
Keine Ergebnisse
Mehr laden

Sie haben Fragen?

Wir beraten Sie gerne - kontaktieren Sie uns:

Mood-Guy-laptop-icon