NIS-2 Consulting
NIS-2-Richtlinie erfüllen und mehr Cybersicherheit erzielen
NIS-2 ist eine Gesetzesinitiative der EU zur Regelung und Verbesserung der Cyber- und Informationssicherheit von Unternehmen und Institutionen, die als kritisch für die Gesellschaft eingestuft werden. Damit soll die Widerstandsfähigkeit gegenüber Cyberangriffen im öffentlichen und privaten Sektor verstärkt und die Reaktionsfähigkeit auf Sicherheitsvorfälle verbessert werden. Mit der indevis NIS-2 Beratung analysieren wir Ihre individuellen Sicherheitsanforderungen, checken Ihre bestehenden Umgebungen und implementieren bei Bedarf effektive Schutzmechanismen zur Erfüllung der gesetzlichen Mindestanforderungen an Cybersicherheit.
- Home
- Consulting
- NIS-2 Consulting
Was fordert die
NIS-2-Richtlinie?
Mit der EU-NIS-2-Direktive erhöhen sich die Mindestanforderungen an die Cybersicherheit kritischer Infrastrukturen. Die NIS-2-Richtlinie löst die bereits 2016 definierte Richtlinie zur Netz- und Informationssicherheit (NIS) ab. Seit dem 16. Januar 2023 ist die NIS-2-Direktive in Kraft. Die EU-Mitgliedsstaaten haben bis Oktober 2024 Zeit, sie in nationales Recht zu überführen. In Deutschland erfolgt dies durch das NIS-2-Umsetzungsgesetz, das derzeit als dritter Referentenentwurf vorliegt. Zu erwarten sind Änderungen am IT-Sicherheitsgesetz und der KRITIS-Verordnung (Kritische Infrastrukturen).
Der wichtigste Unterschied zur alten Gesetzgebung ist die Erweiterung um sieben neue KRITIS-Sektoren, sodass sich die Zahl von elf auf achtzehn erhöht. Während bisher nur große Einrichtungen und Betreiber aus dem direkten KRITIS-Umfeld betroffen waren, gilt die neue Richtlinie damit nun auch für privatwirtschaftliche Einrichtungen – und zwar schon ab einer Größe von 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz. Einige Einrichtungen fallen unabhängig von ihrer Größe unter die Richtlinie, weil sie zu den sogenannten „Essential Entities“ zählen, die für das Allgemeinwohl besonders wichtig sind. Neu ist auch, dass von der NIS2-Richtlinie betroffene Einrichtungen die Cybersicherheit ihrer Zulieferer überprüfen und dafür garantieren müssen.
Falls es zu einem Cyberangriff kommt, gelten strenge Meldepflichten ähnlich wie bei der DSGVO (Datenschutz-Grundverordnung). Einrichtungen müssen den Sicherheitsvorfall innerhalb von 24 Stunden dem BSI (Bundesamt für Sicherheit in der Informationstechnologie) melden bzw. an das behördliche Computer-Notfallteam CSIRT (Computer Security Incident Response Team) und innerhalb von 72 Stunden eine erste Bewertung zu Schweregrad, Auswirkungen und Quelle nachreichen. Spätestens nach einem Monat erwartet das BSI dann einen ausführlichen Bericht, der Informationen zum Schweregrad, zu internen und grenzüberschreitenden Auswirkungen, zur Ursache und zu den Abhilfemaßnahmen enthält.
<<Grafik>>
Meldung zu Sicherheitsverstößen und Cyber-Security-Vorfällen an das behördliche Computer-Notfallteam CSIRT (Computer Security Incident Response Team)
- Innerhalb von 24 Stunden nach einem Vorfall Übermittlung einer Frühwarnung an das CSIRT
- Innerhalb von 72 Stunden Übermittlung einer ersten Bewertung an das CSIRT (inkl. Aussagen zu Schweregrad, Auswirkungen, Quelle)
- Auf Anfrage des CSIRT Bereitstellung von Aktualisierungen zum Status des Vorfallsmanagements
- Innerhalb eines Monats Übermittlung eines detaillierten Berichts an das CSIRT (inkl. Informationen zu Schweregrad, interne und grenzüberschreitende Auswirkungen, Ursache, Abhilfemaßnahmen)
<<Grafik Ende>>
Nachdruck verleiht der Gesetzgeber seinen Anforderungen mit hohen Bußgeldern bei Verstößen. Um die Einhaltung der NIS2-Anforderungen zu überprüfen, kann das BSI umfangreiches Dokumentationsmaterial anfordern oder Audits durchführen. Nicht zuletzt haften Geschäftsführer persönlich, wenn sich bei der forensischen Untersuchung eines Sicherheitsvorfalls herausstellt, dass die Einrichtung Security-Vorgaben missachtet hat.
Der wichtigste Unterschied zur alten Gesetzgebung ist die Erweiterung um sieben neue KRITIS-Sektoren, sodass sich die Zahl von elf auf achtzehn erhöht. Während bisher nur große Einrichtungen und Betreiber aus dem direkten KRITIS-Umfeld betroffen waren, gilt die neue Richtlinie damit nun auch für privatwirtschaftliche Einrichtungen – und zwar schon ab einer Größe von 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz. Einige Einrichtungen fallen unabhängig von ihrer Größe unter die Richtlinie, weil sie zu den sogenannten „Essential Entities“ zählen, die für das Allgemeinwohl besonders wichtig sind. Neu ist auch, dass von der NIS-2-Richtlinie betroffene Einrichtungen die Cybersicherheit ihrer Zulieferer überprüfen und dafür garantieren müssen.
Falls es zu einem Cyberangriff kommt, gelten strenge Meldepflichten ähnlich wie bei der DSGVO (Datenschutz-Grundverordnung). Einrichtungen müssen den Sicherheitsvorfall innerhalb von 24 Stunden dem BSI (Bundesamt für Sicherheit in der Informationstechnologie) melden bzw. an das behördliche Computer-Notfallteam CSIRT (Computer Security Incident Response Team) und innerhalb von 72 Stunden eine erste Bewertung zu Schweregrad, Auswirkungen und Quelle nachreichen. Auf Anfrage des CSIRT müssen vom Unternehmen auch Aktualisierungen zum Status des Vorfallmanagements bereitgestellt werden.
Spätestens nach einem Monat erwartet das BSI dann einen ausführlichen Bericht, der Informationen zum Schweregrad, zu internen und grenzüberschreitenden Auswirkungen, zur Ursache und zu den Abhilfemaßnahmen enthält.
Nachdruck verleiht der Gesetzgeber seinen Anforderungen mit hohen Bußgeldern bei Verstößen. Um die Einhaltung der NIS-2-Anforderungen zu überprüfen, kann das BSI umfangreiches Dokumentationsmaterial anfordern oder Audits durchführen. Nicht zuletzt haften Geschäftsführer persönlich, wenn sich bei der forensischen Untersuchung eines Sicherheitsvorfalls herausstellt, dass die Einrichtung Security-Vorgaben missachtet hat.
Welche Bedeutung hat die NIS-2-Richtlinie für die Cybersicherheit in Europa und Deutschland?
Die NIS-2-Richtlinie erweitert die europäische Rechtsprechung um Verstöße gegen Sicherheitsauflagen und intensiviert die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern. Die Richtlinie legt fest, dass alle Mitgliedsstaaten nationale Cybersicherheitsstrategien verabschieden sowie zuständige nationale Behörden, spezielle Behörden für das Cyberkrisenmanagement, zentrale Anlaufstellen für Cybersicherheit und Computer-Notfallteams (CSIRT) einrichten. Diese sollen grenzübergreifend miteinander kooperieren und Informationen austauschen. Parallel dazu soll eine Schwachstellendatenbank auf EU-Ebene aufgebaut werden.
Kontakt
NIS-2 Consulting - jetzt
Beratung anfordern:
Business Development
Welche Einrichtungen sind von
der NIS-2-Richtlinie betroffen?
Betroffen sind Einrichtungen, die unter die sogenannten "kritischen Sektoren" fallen. Letztere sind unterteilt in "Sektoren mit hoher Kritikalität" und "sonstige kritische Sektoren". Die Verordnung spezifiziert diese Grobeinteilung noch durch eine weitere Unterteilung in Teilsektoren und dann in (wesentliche und sonstige wesentliche) Einrichtungen, also Unternehmen, Organisationen oder Behörden. Grundsätzlich betroffen sind Einrichtungen ab einer Größe von 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz. Experten gehen von circa 30.000 bis 40.000 Einrichtungen aus, die neu von der NIS-2-Richtlinie betroffen sind.
Klassifizierung Unternehmen und NIS-2-Sektoren
Die Einordnung und Durchsetzung von NIS-2 ist abhängig von der Einstufung eines Unternehmens. Die Kategorisierung unterscheidet zwischen Unternehmensgrößen und Kritikalität einer Organisation (Essential Entity oder Important Entity).
Kleine Unternehmen
Kleine Unternehmen
- über 50 Beschäftigte
- max. 10 Mio. EUR Umsatz
- max. 10 Mio. EUR Bilanz
Mittlere Unternehmen
Mittlere Unternehmen
- 50-249 Beschäftigte
- max. 50 Mio. EUR Umsatz
- max. 10-43 Mio. EUR Bilanz
Große Unternehmen
Große Unternehmen
- mind. 250 Beschäftigte
- über 50 Mio. EUR Umsatz
- über 43 Mio. EUR Bilanz
Betroffene Sektoren der NIS-2-Richtlinie
Wesentliche Sektoren (Essential Entities)
Sektoren mit hoher Kritikalität sind:
Energie, Verkehr, Bank- und Finanzwesen, Gesundheitswesen, Wasserversorgung, Digitale Infrastruktur, Öffentliche Verwaltung, Luft- und Raumfahrt, ITK-Dienste
Wichtige Sektoren (Important Entities)
Sonstige kritische Sektoren sind:
Post- und Kurierdienste, Abfallwirtschaft, Chemie, Ernährung, Forschung, Digitale Dienste, Herstellung von Waren
Bußgelder bei Verstößen:
Ø Bis 10 Mio. EUR oder 2% des Jahresumsatzes
Bußgelder bei Verstößen:
Ø Bis 7 Mio. EUR oder 1,4% des Jahresumsatzes
Welche praktischen Auswirkungen hat die
NIS-2-Richtlinie auf betroffene Einrichtungen?
Für Unternehmen, die bereits unter NIS fielen, dürfte der Aufwand, die neuen Regularien von NIS-2 umzusetzen, eher gering sein. Bei neu betroffenen Organisationen kann der erforderliche Umsetzungsaufwand erheblich variieren. Ist eine Einrichtung bereits branchenspezifisch zertifiziert, ist die NIS-2-Konformität eher nur ein zusätzlicher Baustein bzw. erfordert eine an die Anforderungen von NIS-2 ausgerichtete Überarbeitung. Wesentlich härter trifft es Unternehmen, die keine Zertifizierung vorweisen können und auch über kein dokumentiertes Sicherheitskonzept verfügen. Zumindest mittelfristig ist insbesondere bei letzteren der Aufbau einer gemanagten IT-Sicherheitsstruktur erforderlich, mit der dokumentiert und nachweisbar ist, dass alle relevanten Sicherheitsmaßnahmen nach dem Stand der Technik umgesetzt wurden.
Was prüfen die Behörden und
wie sanktionieren sie Mängel?
Die zuständigen Behörden haben zahlreiche Möglichkeiten, die Sicherheitsmaßnahmen der betroffenen Einrichtungen zu prüfen. Sie sind etwa befugt, umfangreiches Dokumentationsmaterial von Verantwortlichen anzufordern:
- Informationen, die für die nachträgliche Bewertung der ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit erforderlich sind, einschließlich dokumentierter Cybersicherheitskonzepte.
- Zugang zu Daten, Dokumenten und sonstigen Informationen, die zur Erfüllung der behördlichen Aufsichtsaufgaben erforderlich sind.
- Nachweise für die Umsetzung der Cybersicherheitskonzepte, z. B. die Ergebnisse von Sicherheitsprüfungen inklusive der entsprechenden zugrunde liegenden Nachweise.
Die Behörden können darüber hinaus auch gezielte Kontrollen auf Kosten der jeweiligen Einrichtung durchführen oder deren Durchführung veranlassen:
- Gezielte Sicherheitsprüfungen durch eine unabhängige Stelle oder die zuständige Behörde.
- Sicherheitsscans auf Grundlage objektiver, nicht diskriminierender, fairer und transparenter Risikobewertungskriterien – wenn erforderlich auch in Zusammenarbeit mit der betreffenden Einrichtung.
Sicherheitsmängel können die Behörden entsprechend sanktionieren. Die Strafen sind drastisch:
- Wesentliche Einrichtungen müssen mit Geldbußen bis zu einem Höchstbetrag von mindestens 10 Millionen Euro oder bis zu einem Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes rechnen (es gilt der jeweils höhere Betrag).
- Sonstige wesentliche Einrichtungen müssen mit Geldbußen bis zu einem Höchstbetrag von mindestens 7 Millionen Euro oder bis zu einem Höchstbetrag von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes rechnen (es gilt der jeweils höhere Betrag).
Grundsätzlich kann bei Verstößen gegen die Sicherheitsauflagen auch die Geschäftsleitung zur Verantwortung gezogen werden.
Die zuständigen Behörden haben zahlreiche Möglichkeiten, die Sicherheitsmaßnahmen der betroffenen Einrichtungen zu prüfen. Sie sind etwa befugt, umfangreiches Dokumentationsmaterial von Verantwortlichen anzufordern:
- Informationen, die für die nachträgliche Bewertung der ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit erforderlich sind, einschließlich dokumentierter Cybersicherheitskonzepte.
- Zugang zu Daten, Dokumenten und sonstigen Informationen, die zur Erfüllung der behördlichen Aufsichtsaufgaben erforderlich sind.
- Nachweise für die Umsetzung der Cybersicherheitskonzepte, z. B. die Ergebnisse von Sicherheitsprüfungen inklusive der entsprechenden zugrunde liegenden Nachweise.
Die Behörden können darüber hinaus auch gezielte Kontrollen auf Kosten der jeweiligen Einrichtung durchführen oder deren Durchführung veranlassen:
- Gezielte Sicherheitsprüfungen durch eine unabhängige Stelle oder die zuständige Behörde.
- Sicherheitsscans auf Grundlage objektiver, nicht diskriminierender, fairer und transparenter Risikobewertungskriterien – wenn erforderlich auch in Zusammenarbeit mit der betreffenden Einrichtung.
Sicherheitsmängel können die Behörden entsprechend sanktionieren. Die Strafen sind drastisch:
- Wesentliche Einrichtungen müssen mit Geldbußen bis zu einem Höchstbetrag von mindestens 10 Millionen Euro oder bis zu einem Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes rechnen (es gilt der jeweils höhere Betrag).
- Sonstige wesentliche Einrichtungen müssen mit Geldbußen bis zu einem Höchstbetrag von mindestens 7 Millionen Euro oder bis zu einem Höchstbetrag von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes rechnen (es gilt der jeweils höhere Betrag).
Grundsätzlich kann bei Verstößen gegen die Sicherheitsauflagen auch die Geschäftsleitung zur Verantwortung gezogen werden.
Wie baue ich eine (gemanagte)
Informationssicherheits-Struktur auf?
Ziel der NIS-2-Richtlinie ist, dass Unternehmen und Organisationen sicherer werden und in der Lage sind, Cyberangriffe abzuwehren, aber auch die Schäden abzumildern, die diese bei Erfolg verursachen.
Von den Einrichtungen wird erwartet, dass sie je nach Risiko und Einstufung der Kritikalität die richtigen und angemessenen Sicherheitsmaßnahmen auswählen. Dreh- und Angelpunkt ist dabei, eine umfassende Informationssicherheits-Struktur zu etablieren, die das Risiko von Cyberangriffen reduziert und die gegebenenfalls entstandenen Schäden mindert.
Diese umfasst verschiedene Elemente:
Der Aufbau eines Risikomanagementsystems mit all seinen Bausteinen ist der erste unabdingbare Schritt, auch um Angriffe überhaupt zu erkennen und damit fristgerecht melden zu können. Basis für das Risikomanagement ist
- die Festlegung und Dokumentation, wie das Thema Cybersicherheit im gesamten Unternehmen und auch über die Einrichtung hinaus organisiert wird,
- welche Risikomethode man gewählt hat,
- wer verantwortlich ist.
Dies setzt auch den Aufbau eines Sicherheitsteams voraus, das entsprechende Sicherheitsnormen und Prozesse etabliert und dokumentiert.
Zur Sicherheitsinfrastruktur gehört auch ein angebundenes BCM (Business Continuity Management) – also ein Notfallmanagement, wenn eben ein Notfall, wie etwa ein Cyberangriff, erfolgt ist und Schäden verursacht hat. Für dieses Notfallmanagement wird im Vorfeld definiert, welche Geschäftsprozesse kritisch sind und wie lange sie maximal ausfallen dürfen, um die entsprechenden Geschäftsaufträge erfüllen zu können. Dies wird im Rahmen einer Business Impact Analyse (BIC) ermittelt. In dieser ist dokumentiert, welche Auswirkungen der Ausfall eines relevanten Prozesses hat und wie man diesen Geschäftsprozess in adäquater Zeit wieder starten kann.
Die Anforderungen von NIS2 betreffen auch das Lieferantenmanagement, denn grundsätzlich haftet die betroffene Einrichtung auch für ihre Lieferanten. Wichtig wird damit, dass auch die Lieferanten einen realen dokumentierten Nachweis vorlegen können, dass sie über erforderliche Sicherheitsmaßnahmen verfügen – also beispielsweise ein Sicherheitsmanagementsystem einsetzen oder entsprechend ihrer Branche zertifiziert sind.
Der Aufbau eines Risikomanagementsystems mit all seinen Bausteinen ist der erste unabdingbare Schritt, um Angriffe überhaupt zu erkennen und damit fristgerecht melden zu können. Basis für das Risikomanagement ist die Festlegung und Dokumentation, wie das Thema Cybersicherheit im gesamten Unternehmen und auch über die Einrichtung hinaus organisiert wird, welche Risikomethode man gewählt hat und wer verantwortlich ist.
Dies setzt auch den Aufbau eines Sicherheitsteams voraus, das entsprechende Sicherheitsnormen und Prozesse etabliert und dokumentiert.
Zur Sicherheitsinfrastruktur gehört auch ein angebundenes BCM (Business Continuity Management) – also ein Notfallmanagement, wenn eben ein Notfall, wie etwa ein Cyberangriff, erfolgt ist und Schäden verursacht hat. Für dieses Notfallmanagement wird im Vorfeld definiert, welche Geschäftsprozesse kritisch sind und wie lange sie maximal ausfallen dürfen, um die entsprechenden Geschäftsaufträge erfüllen zu können. Dies wird im Rahmen einer Business Impact Analyse (BIA) ermittelt. In dieser ist dokumentiert, welche Auswirkungen der Ausfall eines relevanten Prozesses hat und wie man diesen Geschäftsprozess in adäquater Zeit wieder starten kann.
Die Anforderungen von NIS-2 betreffen auch das Lieferantenmanagement, denn grundsätzlich haftet die betroffene Einrichtung auch für ihre Lieferanten. Wichtig wird damit, dass auch die Lieferanten einen realen dokumentierten Nachweis vorlegen können, dass sie über erforderliche Sicherheitsmaßnahmen verfügen – also beispielsweise ein Sicherheitsmanagementsystem einsetzen oder entsprechend ihrer Branche zertifiziert sind.
Was kann indevis zur Optimierung
der Cybersicherheit beitragen?
indevis setzt auf einen strukturierten Consulting-Ansatz, um die Cybersicherheit seiner Kunden gemäß der NIS-2-Richtlinie zu optimieren. Die erarbeiteten Empfehlungen werden anschließend mit den passenden Produkten und Managed Services realisiert und in die bereits vorhandenen Systeme integriert. Auf diese Weise lassen sich die Anforderungen aller NIS-2-betroffenen Unternehmen abdecken – angefangen bei der Frage, ob NIS-2 für die Einrichtung überhaupt relevant ist, über das Eliminieren von Schwachstellen bis hin zum Aufbau eines umfassenden Informationssicherheits-Managementsystems (ISMS).
Der Consulting-Ansatz basiert auf einer gründlichen GAP-Analyse der aktuellen Sicherheitsstruktur. Dazu zählen unter anderem
- die Identifizierung und Sichtbarkeit aller kritischen Assets und Systeme,
- der sichere Zugriff auf Netzwerke und Assets,
- die Reaktion auf Bedrohungen,
- Analysen und Maßnahmen, wie Geschäftsprozesse nach einem erfolgreichen Angriff fortgesetzt werden können,
- Ermittlung und Definition von personellen Verantwortlichkeiten.
Auf dieser Basis entwickelt indevis dann mit seinen Kunden einen gemeinsamen Fahrplan, der festlegt, welche Schritte empfehlenswert sind. Ein entscheidender Nebeneffekt dieser GAP-Analyse ist, dass damit bereits der erste Schritt zu einer Sicherheits-Dokumentation erfolgt, wie sie die verantwortlichen NIS-2-Behörden verlangen.
Was beinhaltet die indevis
GAP-Analyse im Detail?
- Prozesse und Organisation: Die Analyse von Prozessen und der Organisationsstruktur dient dazu, sich gemeinsam mit dem Kunden einen Überblick über sämtliche sicherheitsrelevante Strukturen zu verschaffen. Untersucht wird unter anderem: Was sind die kritischen Geschäftsprozesse? An welche Gesetze oder branchenspezifischen Vorgaben muss sich das Unternehmen halten? Welche Maßnahmen zur physischen Sicherheit sind wichtig? Wie werden Mitarbeiter für Security-Themen sensibilisiert?
- Endpoint Security: Sind alle Endgeräte des IT-Netzwerks sichtbar und welche technischen und organisatorischen Maßnahmen verhindern unbefugten Zugriff?
- Vorhandene IT-Infrastruktur: Welche grundlegenden Hard- und Softwarekomponenten sind im Einsatz? LAN, WAN, WLAN, Access Control, aber auch Firewall, Proxy etc.?
- Identity and Access Management: Welche Maßnahmen sind bereits im Einsatz, um internen und externen Usern eindeutige Identitäten zuzuweisen?
- Applikationen und Dienste: Hier geht es darum, welche Applikationen und Dienste wo, wie und wie häufig genutzt werden. Daraus lässt sich ermitteln, wie etwa Emails abgesichert sind, wie Webbrowser oder Webanwendungen genutzt werden, und welche anderen Anwendungen zum Einsatz kommen. Relevant sind auch Themen wie Datenaustausch, Filesharing, Data Loss Prevention oder Datenklassifizierung.
- Detection and Response: Zu diesem Bereich zählen das Logging ebenso wie die Frage, ob ein MDR (Managed Detection and Response) existiert oder geplant ist – und konsequenterweise, ob ein SOC-Team (Security Operations Center) existiert, eingesetzt oder als Fremdleistung eingekauft werden soll. Die Planung von IT-Notfallkonzepten schließt sich daran an, wozu auch Forensik und Incident Response gehören.
Wie setzt indevis
die GAP-Analyse um?
Ziel dieser skalierbaren Analyse ist die Dokumentation aller sicherheitsrelevanten Prozesse und Strukturen sowie die Erstellung eines individuellen Maßnahmenkatalogs. Zur Umsetzung bietet indevis ein umfangreiches Portfolio an Tools, Systemen und Dienstleistungen bzw. Managed Services an. Dazu zählen Hard- und Software-Tools zur Eliminierung von Schwachstellen, der Aufbau eines ISMS (Informationssicherheit-Managementsystem) und die Auslagerung von sicherheitsrelevanten Dienstleistungen wie SIEM (Security Information and Event Management) und MDR (Managed Detection and Response) an ein SOC (Security Operations Center).
Kontakt
NIS-2 Consulting - jetzt
Beratung anfordern:
Business Development
Wie werden sich die Regeln zur Netz- und
Informationssicherheit weiterentwickeln?
Experten gehen davon aus, dass die NIS-2-Richtlinie schrittweise verschärft wird und zu einer verpflichtenden Zertifizierung führt. Deshalb empfiehlt sich bereits heute der schrittweise Aufbau eines Informationssicherheits-Managementsystems (ISMS), da damit alle aktuellen Sicherheitsvorgaben erfüllt und dokumentiert sind und in der Zukunft nur noch gezielt einzelne Schwachstellen behoben und Bausteine überarbeitet oder neu integriert werden müssen. Ähnlich wie bei der Datenschutz-Grundverordnung sollten sich Unternehmen und Organisationen daher rechtzeitig überlegen, ob und wie sie geeignete Maßnahmen ergreifen. Denn es braucht Zeit, Investitionen und Budget, um ein entsprechendes Managementsystem auf- und umzusetzen. Fest steht: Der Aufwand lohnt sich. Denn eine umfassende Sicherheitsstrategie, die den Vorgaben der Richtlinie entspricht, trägt letztendlich auch zur Sicherung des wirtschaftlichen Erfolgs bei – auf Unternehmensebene, aber auch national und international.
Mit indevis NIS-2 Consulting analysieren wir Ihre individuellen Sicherheitsanforderungen, prüfen Ihre bestehenden Umgebungen und implementieren bei Bedarf effektive Schutzmechanismen zur Erfüllung der gesetzlichen Mindestanforderungen an Cybersicherheit. indevis bietet dabei zwei unterschiedliche Beratungspakete an – je nach Reifegrad Ihres Unternehmens beim Thema NIS-2.
NIS-2 Beratungspaket "ISMS-Fokus":
Prozesse, Technologien, Dokumentation, Aufbau eines ISMS
Lernen Sie die Anforderungen von NIS-2 im Detail kennen und verschaffen Sie sich ein ganzheitliches Bild, welche Prozesse, Dokumentationen und Technologie zur Erfüllung der NIS-2-Direktive Ihrem Unternehmen fehlen. Das Ziel ist eine initiale Bestandsaufnahme, Ableitung und Priorisierung notwendiger Initiativen und der Aufbau eines Information Security Management System (ISMS).
NIS-2 Beratungspaket "Tech-Fokus":
Know-how zur technischen Umsetzung der NIS-2-Anforderungen
Sie kennen bereits die NIS-2-Richtlinie und haben auch schon die richtigen Prozesse und Dokumentationen im Einsatz. Es fehlt Ihnen nur an Know-how zu den erforderlichen Technologien und Services, wie Ihr Unternehmen die Anforderungen an NIS-2 technisch umsetzen kann? Dann ist dieses Paket das Richtige für Sie!
Unsere
Leistungen
BERATUNG, KONZEPTION
und Architektur-Design zu allen Themenfeldern in den Bereichen Netzwerk-, Sicherheits- und Datacenter-Infrastruktur
DEPLOYMENT
Inbetriebnahme von Netzwerk-, Sicherheits- und Datacenter-Lösungen in Ihrer IT-Umgebung
KNOW-HOW
Umfassende Erfahrung in unterschiedlichen Branchen und mit Kunden unterschiedlicher Größe
EXPERTISE
Exzellente Technologie-Expertise zu all unseren IT-Lösungen
HOLISTISCHE ANALYSE
Ganzheitliche Betrachtung der IT-Infrastruktur und IT-Services
WISSENSTRANSFER
Auf Wunsch Schulung Ihres IT-Personals
HERSTELLERNEUTRAL
Herstellerneutrales Consulting mit passgenauen Lösungen dank Zusammenarbeit mit verschiedenen Anbietern
Sie brauchen Hilfe bei der Umsetzung?
NIS-2 Consulting - wir unterstützen Sie!
Weiterführende Informationen
zur NIS-2-Richtlinie:
NIS-2, KRITIS, DORA, TIBER und TISAX: Cyber-Resilienz steigern und Compliance Anforderungen erfüllen
- Blog
Höchste Eisenbahn für NIS-2: Diese Maßnahmen sollten Unternehmen jetzt umsetzen
- Blog
NIS-2: Die neue Geschäftsführerhaftung und ihre Tücken
- Blog
Security Know-how nach Maß: ISB as a Service
- Datenblatt
Supply Chain im Fokus: Auswirkungen von NIS-2 auf Lieferketten und Cybersicherheit
- Blog
Datenblatt: NIS-2 Consulting
- Datenblatt
NIS-2-Fahrplan: Wie Unternehmen die Richtlinie erfüllen und mehr Cybersicherheit erzielen
- Blog
Webinar-Aufzeichnung: So erfüllen Unternehmen die NIS-2-Richtlinie und erzielen mehr Cybersicherheit
- Webinar-Aufzeichnung
Eine neue Dimension von Cyberangriffen: Deutschland im Fadenkreuz politisch motivierter Hacker
- Blog
NIS2: Die wichtigsten Fragen & Antworten zu den neuen Cybersicherheitsanforderungen
- Blog
Was Unternehmen zur neuen EU-Direktive NIS2 wissen müssen
- Blog
Sie haben Fragen?
Wir beraten Sie gerne - kontaktieren Sie uns: