Informationssicherheitsmanagementsystem
Vater IT begleitet Sie auf dem Weg zu Ihrer optimalen Informationssicherheitsstrategie – für mehr Struktur und weniger Risiko.
Die Europäische NIS2-Richtlinie „Network and Information Security (NIS) 2.0“ dient dem Schutz der Grundversorgung der Bevölkerung in der Europäischen Union und enthält Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau aller Mitgliedsstaaten. Von der Richtlinie betroffen sind auch kleine und mittelständische Unternehmen.
Die europäische NIS2-Richtlinie ist seit Dezember 2022 in Kraft und wird mit dem NIS2 Umsetzungsgesetz (NIS2UmsuCG) bis zum Oktober 2024 in nationales Recht umgesetzt.
Derzeit existieren drei Referentenentwürfe (April 2023, Juli 2023 und das sog. Diskussionspapier vom 27.09.2023), die weiter in der Diskussion sind. Ein Inkrafttreten des Gesetzes wird im Oktober 2024 erwartet.
Ausgewählte Organisationen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen treffen, die Sicherheit der Netz- und Informationssysteme beherrschen und die Auswirkungen von Sicherheitsvorfällen verhindern oder möglichst geringhalten.
Es gilt ein allgemeiner gefahrenübergreifender Ansatz. Alle Gefahren und deren Zusammenspiel müssen eingeschätzt werden.
Es wird erwartet, dass für schätzungsweise 30.000 Organisationen die Security-Pflichten steigen werden. Für die Einstufung sind die Größe und die Branche von Bedeutung.
Die Maßnahmen müssen mindestens die folgenden Themen umfassen:
Risikoanalyse und Sicherheit für Informationssysteme
Bewältigung von Sicherheitsvorfällen
Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisen-Management
Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
Sicherheit in der Entwicklung, Beschaffung und Wartung, Management von Schwachstellen
Bewertung der Effektivität von Cybersicherheit und Risiko-Management
Schulungen Cybersicherheit und Cyberhygiene
Kryptografie und Verschlüsselung
Personalsicherheit, Zugriffskontrolle und Anlagen-Management
Multi-Faktor Authentisierung und kontinuierliche Authentisierung
Sichere Kommunikation (Sprach, Video- und Text)
Sichere Notfallkommunikation
Für die Nichteinhaltung der NIS2-Richtlinie werden Geldbußen erhoben. Die Bußgeldhöhen sind gestaffelt nach Sanktionierungsfall und der Schwere des Vergehens.
Wichtige Organisationen erwartet Geldbußen bis zu 7 Millionen € oder den Höchstbetrag von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes.
Betreiber kritischer Anlagen oder besonders wichtige Einrichtungen erwartet Geldbußen bis zu 10 Millionen € oder den Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes.
1
Sie sind noch nicht so weit und wollen erst einmal verstehen, worum es bei NIS2 geht und ob sie voraussichtlich pflichtig sind? Dann bieten wir ihnen einen eintägigen Workshop:
2
Mit der GAP-Analyse erhalten Sie die Antworten: Was ist mit Priorität 1 und was mit Priorität 2 umzusetzen? Wie viel Ressourcen benötigen Sie voraussichtlich und können Sie das mit internen Ressourcen schaffen? Was ist der Zeitplan? Ist die Anwendung eines ISMS-Standards und eine Zertifizierung sinnvoll oder sogar erforderlich? Und wenn ja, welcher?
3
Zum kontinuierlichen Nachweis der Pflichterfüllung empfehlen wir die Einführung eines an das Unternehmen angepassten Informationssicherheitsmanagementsystems. Gerade für den Mittelstand ist ein Standard wie die ISO27001 zu umfangreich. Daher gehen wir für KMU auf Basis eines wesentlich kleineren Regelwerks vor, das auch extern zertifizierbar ist, nämlich VdS10000.
Tipps für den Aufbau eines ISMS:
Vater IT begleitet Sie auf dem Weg zu Ihrer optimalen Informationssicherheitsstrategie – für mehr Struktur und weniger Risiko.
Erfahren Sie alles Wichtige zur Umsetzung der NIS2-Richtlinie für Ihr KMU. Handeln Sie noch bis Oktober 2024.
Sende uns einfach Deine Initiativbewerbung