
UMSETZUNG eines ISMS zur Erfüllung der Anforderungen des NISG sowie der NIS2-RL
unter Berücksichtigung weiterer branchenspezifischer Sicherheitsnormen (z.B. ISO 27019 für EVU)
Netz- und Informationssystemsicherheitsgesetz, kurz „NISG“ und NIS2-Richtlinie
Mit der fortschreitenden Digitalisierung unserer Gesellschaft steigt gleichzeitig auch das Risiko hinsichtlich möglicher Angriffe auf die Netz- und Informationssicherheit. Ziel des NIS-Gesetzes als auch der neuen NIS-Richtlinie ist die Prävention gegen Sicherheitsvorfälle, die Netz- und Informationssysteme betreffen und deren Störung oder Zerstörung schwerwiegende Auswirkungen auf Gesundheit, Sicherheit oder das wirtschaftliche und soziale Wohl der Bevölkerung haben würde.
Wir haben unser Projektvorgehen mit den Anforderungen von NIS2 aktualisiert!
Sie können unser umfangreiches NIS2-Dokumentenpaket bestehend aus Richtlinien, Verfahrensbeschreibungen und Bewertungstools auch separat erwerben!
Zielsetzung
Der Gesetzgeber sieht für "Betreiber wesentlicher oder wichtiger Dienste" (sog. kritische Infrastruktur), also Unternehmen aus wirtschaftlich oder gesellschaftlich wichtigen Sektoren wie z.B. Energie-, Transport-, Gesundheits-, Trinkwasserversorger, Anbieter digitaler Dienste, Lebensmittelhersteller, Finanzdienstleister, Öffentliche Einrichtungen etc. vor, dass eine Informationssicherheits-Governance etabliert wird, welche Sicherheitsmaßnahmen zur Vermeidung und Minimierung der Auswirkungen von Zwischenfällen und Sicherheitsrisiken vorgibt und umsetzt.
Vorgehen
-
NIS GAP-Analyse zur Identifikation fehlender Prozesse auf Basis der NIS-Verordnung und good practices wie ISO 27001 und ggf. weiterer branchenspezifischen Standards (z.B. ISO 27019 für EVU, B3S)
-
Analyse der Unternehmensorganisation sowie Erhebung der IT-Systeme und Komponenten durch eine methodische Struktur- und Komponentenanalyse, welche für den Betrieb des wesentlichen Dienstes (Stromnetzsteuerung, Akutversorgung in Landeskrankenanstalten, Wassergewinnung und -versorgung etc.) maßgeblich sind
-
Definition des technischen, organisatorischen und geografischen ISMS-Geltungsbereichs (Scope) und Aufbau der ISMS Organisation. Definition von Rollen und Verantwortlichkeiten
-
Erstellung der geforderten Sicherheitsrichtlinien und Verfahrensbeschreibungen - erweitert um weitere branchenspezifischen Sicherheitsvorschriften und Vorgaben laut Anlage 1 der NIS-Verordnung und unter Anlehnung an den internationalen Sicherheitsstandard ISO 27001 auf Basis unseres geprüften NIS2-Dokumentenpaketes.
-
Erstellung von Sicherheitsleitlinien für den Umgang mit prozesssteuerungsrelevanten Komponenten (Leitstelle, Warte, Übergabestationen, Notfallaufnahme, Kraftwerke etc.)
-
Durchführen einer Risikoanalyse zur Identifikation und Behandlung von Informationssicherheitsrisiken auf Basis von Gefährdungen, Schwachstellen und Controls unter Berücksichtigung der ISO 27001 sowie ISO 31000 mit unseren ISMS- und Risikomanagement Software 4conform ENTERPRISE ISMS
- Prozessgestaltung für Sicherheitsvorfall-Management und Umsetzung der gesetzlichen Meldepflichten hinsichtlich Sicherheitsvorfällen an die europaweit agierenden Computer Security Incident Response Teams
-
Effektive Umsetzung der Vorgaben aus Sicherheitsleitlinien (Integration in bestehende Unternehmensprozesse) sowie Sicherstellung der erforderlichen Betriebsdokumentation
-
Durchführen von Schulungen der Mitarbeiter im Scope (insb. Mitarbeiter mit prozessrelevanten Funktionen) sowie Sensibilisierung des Managements und Durchführung von Zertifizierungsvorbereitungsschulungen
-
Umsetzung eines kontinuierlichen Verbesserungsprozesses sowie einer Reportingstruktur (als Teil des Managementsystems)
-
Durchführen eines internen Audits zur Vorbereitung auf die Prüfung
NIS2-ready
Nutzen
-
Erfüllung der gesetzlichen Vorschriften für Betreiber wesentlicher Dienste
-
Steigerung der allgemeinen Unternehmenssicherheit durch Risikokenntnis
-
Klassifizierung und Schutz von Daten
-
Unser Wissen als Zertifizierungsauditor!
-
Positive Innen- und Außenwirkung
-
Aktuelle Betriebsdokumentation
-
Zusammenarbeit mit anerkannten Zertifizierungsstellen
Ergebnis
-
Individuelle Sicherheitsorganisation für Ihr Unternehmen, eindeutige Regelungen von Verantwortlichkeiten
-
Identifizierte und dokumentierte kritische prozesssteuerungsrelevante IT-Systeme und Komponenten
-
Spezifische Sicherheitsleitlinien, Verfahrens- und Prozessdokumentation
-
Umgesetztes Modell zur Risikoidentifikation und -dokumentation (integriert in das bereits vorhandene Unternehmensrisikomanagement)
-
Etabliertes Informationssicherheitsvorfallmanagement an CSIRT
-
Übersicht, Priorisierung und laufende Verfolgung von Sicherheitsmaßnahmen
-
Umgesetzte Sicherheitsanforderungen lt. Branchenkodex des NIS-Gesetzes und gemäß Anlage 1 der NIS-Verordnung