Vorgehensweise zu IT-Compliance mit NIS-2

Unternehmen müssen zahlreiche Vorschriften erfüllen, die sich Genossenschaftsgesetz, Bundesdatenschutzgesetz, Abgabenordnung, GDPdU, KWG, NISUmscG, MA-Risk und weiteren Regularien ableiten lassen. Dazu kommen je nach Unternehmenstyp die Prüfungen durch die Wirtschaftsprüfer und Verbände und die Vorschriften der MaRisk der Bundesanstalt für Finanzdienstleitungsaufsicht (BaFin).

In Zusammenarbeit mit unserem Partner, der AWADO Wirtschaftsprüfungsgesellschaft haben wir folgende Strategie zur Vorgehensweise für Sie zusammengestellt. Mit der Kombination der folgenden Workshops erzielen Sie das bestmögliche Resultat im Rahmen der NIS-2-Anforderungen.

Zur Beauftragung der Workshops wenden Sie sich bitte an unseren Vertrieb.

NIS-2 Compliance herstellen (AWADO)

NIS-2 individuelle Betroffenheits-Analyse (wenn nicht schon vorhanden) und NIS2-Compliance-Check: (zusätzlich zu beauftragen, Ausführung durch unseren Partner: AWADO):

Der Workshop zur Definition und Einordnung des NIS-2 Geltungsbereichs und zur Bestandsaufnahme des bestehenden Managementsystems ist der erste Schritt einer ganzheitlichen IT-Sicherheits-Strategie zur Umsetzung der ggf. relevanten NIS2 Anforderungen, um den Schutz der wesentlichen Geschäftsprozesse zu stärken und Gesetzeskonformität erreichen zu können. Ziel des Workshops ist es ein gemeinsames Verständnis über das Geschäftsmodell der Genossenschaft zu erarbeiten und eine Indikation dazu zu treffen, ob die gesetzlichen Anforderungen aus dem, noch in der Gesetzfindungsphase befindlichen, NIS2-Umsetzungsgesetz für die Gesellschaft zur Anwendung kommen.

Der Compliance-Check ist der zweite Schritt nach festgestellter Betroffenheit, um den Erfüllungsaufwand zur NIS-2-Compliance festzustellen. Ziel der Analyse ist es den aktuellen Ist-Zustand der Managementsysteme und der IT-Umgebung des Unternehmens in Bezug auf die nach § 30 NISUmscG geforderten technischen und organisatorischen Maßnahmen zu untersuchen. Dabei werden wir Ihre Systeme nach dem aktuellen Gesetzesstand und den anwendbaren Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) beurteilen. Im Ergebnis berichten wir in Form einer Ergebnispräsentation über die bestehenden Lücken und mögliche Handlungsmaßnahmen, um Konformität zu den geltenden Anforderungen herstellen zu können. 

Management-Schulungen nach NIS2  Diese Schulungen sind verpflichtend für Geschäftsleiter von Unternehmen, die den Anforderungen aus der NIS-2 unterliegen und vermittelt Ihnen die relevanten Inhalte zu den Grundlagen und der relevanten Risikomanagementmaßnahmen, um Gesetzeskonformität zu erreichen. Es werden die Grundlagen zur NIS-2 Gesetzgebung erläutert. (Beispiele, auf aktuelle Gegebenheiten angepasst): Welche Pflichten ergeben sich für Ihr Unternehmen und wie können diese erfüllt werden. Grundlagen zum Risikomanagement i.S.v. NIS-2. Vorgehensmodell zur Bewertung von Cyber-Risiken. Erlangen des Verständnisses zur Überwachung von Risikomanagementmaßnahmen. Vorstellung der 10 Mindestanforderungen zum Risikomanagement nach NIS-2. Was ist unter verhältnismäßigen technischen und organisatorischen Maßnahmen zu verstehen. Vermittlung des Verständnisses zu Bedrohungslagen im Bereich Cyber-Security und gängigen Maßnahmen zum Schutz Ihrer IT und Prozesse nach dem aktuellen Stand der Technik.

BSI Grundschutz überprüfen (GWS)

Nach Umsetzung der Anforderungen aus NIS-2 ist die Wirksamkeit der technisch/organisatorischen Maßnahmen regelmäßig zu überprüfen Dazu sind die beiden GWS BSI-Testate geeignet:

GWS IT-Sicherheitscheck (BSI): Wir haben aus den Standards BSI 200-1 und 200-2 nach „best practice“ Themen ausgewählt, Checklisten und Fragenkataloge erstellt und bieten Ihnen (in einem Workshop in Zusammenarbeit mit Ihren Systemkoordinierenden auf Basis einer technischen IT-Dokumentation einen Soll-Ist-Vergleich zu diesen Themen und zahlreiche Begleitmaterialien. Von unserem TÜV-geprüften IT-Sicherheits-Manager und -Auditor wird festgestellt, wie weit Sie diese Anforderungen erfüllen und welche Maßnahmen zu ergreifen sind:  Unterlagenpaket mit Beschreibungen, Dokumenten, Mustertexten und Anforderungen aus BSI Grundschutz-Katalogen und von Versicherungen, Bestands-Aufnahme Ihres Netzwerkes (Server und PCs) gemeinsam mit Ihrem Systemkoordinator, Soll-Ist-Vergleich zu nach „best practice“ ausgewählten Themen aus BSI Grundschutzkatalogen 200-1/2 und ISA DE 315, Arbeitsmaterialien und Checklisten in Word- und Excel-Format zur eigenständigen Weiterpflege und Dokumentation Ihrer durchgeführten Maßnahmen und Ergänzung weiterer Themen aus den Standards.

GWS Notfallplan und Risikoanalyse (BSI):  Notfallplan und Risikoanalyse sind nach „best practice“ ausgewählten Themen der BSI-Standards 200-3 und 4 aus dem erstellte Regelwerke, die bei Ausfällen Anleitungen der IT-Umgebung Maßnahmen beschreiben und einschätzen und ein weiterer Baustein, der Anforderungen aus der Direktive dokumentiert. Auf Basis der zuvor im IT-Sicherheitscheck erfassten Infrastruktur und des Fragenkataloges, sowie von Checklisten und gelieferten Zahlen werden Anforderungen gemeinsam mit Ihren Systemkoordinierenden beleuchtet, Ihr Notfallplan erstellt und eine Risikoeinschätzung, für die oben genannten Themen vorgenommen. Zu Schadensklassen und Geschäftsprozessen wird dokumentiert, wie bisher Vorsorge getroffen wird, um den Schaden abzumildern bzw. komplett abzufangen und was im Schadensfall zu tun ist. Wir haben dazu zahlreiche Mustervorlagen erstellt und aktualisiert, die gemeinsam mit den von Ihnen gelieferten Daten für Sie verwendet werden. Notfallplan und Risikoanalyse werden von unserem TÜV-geprüften IT-Sicherheits-Manager und -Auditor durchgeführt.

Zusammenfassung
  1. Von unserem TÜV-geprüften IT-Sicherheits-Manager und -Auditor wird festgestellt, wie weit Sie diese Anforderungen erfüllen und welche Maßnahmen zu ergreifen sind:  Unterlagenpaket mit Beschreibungen, Dokumenten, Mustertexten und Anforderungen aus BSI Grundschutz-Katalogen und von Versicherungen, Bestands-Aufnahme Ihres Netzwerkes (Server und PCs) gemeinsam mit Ihrem Systemkoordinator, Soll-Ist-Vergleich zu nach „best practice“ ausgewählten Themen aus BSI Grundschutzkatalogen 200-1/2 und ISA DE 315, Arbeitsmaterialien und Checklisten in Word- und Excel-Format zur eigenständigen Weiterpflege und Dokumentation Ihrer durchgeführten Maßnahmen und Ergänzung weiterer Themen aus den Standards.
  2. BSI Grundschutz überprüfen (GWS) Nach Umsetzung der Anforderungen aus NIS-2 ist die Wirksamkeit der technisch/organisatorischen Maßnahmen regelmäßig zu überprüfen Dazu sind die beiden GWS BSI-Testate geeignet: GWS IT-Sicherheitscheck (BSI): Wir haben aus den Standards BSI 200-1 und 200-2 nach „best practice“ Themen ausgewählt, Checklisten und Fragenkataloge erstellt und bieten Ihnen (in einem Workshop in Zusammenarbeit mit Ihren Systemkoordinierenden auf Basis einer technischen IT-Dokumentation einen Soll-Ist-Vergleich zu diesen Themen und zahlreiche Begleitmaterialien.
  3. GWS Notfallplan und Risikoanalyse (BSI):  Notfallplan und Risikoanalyse sind nach „best practice“ ausgewählten Themen der BSI-Standards 200-3 und 4 aus dem #BSI-Grundschutz erstellte Regelwerke, die bei Ausfällen Anleitungen der IT-Umgebung Maßnahmen beschreiben und einschätzen und ein weiterer Baustein, der Anforderungen aus der #NIS2 Direktive dokumentiert.
Verwandte Beiträge
Über den Autor:
Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und IT-Systeme mit TÜV-Zertifizierungen als IT-Security Manager und -Auditor und über 33 Jahren IT-Erfahrung. Er bietet Ihnen professionelle Dienstleistungen in den Bereichen: Ausbildung und Zertifizierung von Systemkoordinierenden, Infrastruktur-Analyse und -Optimierung zur Azure-Cloud-Migration, IT-Systemprüfungen und Notfallplan/Risiko-Analyse nach anerkannten Standards BSI-Grundschutz und IDW PS330 und Anwendung der künstlichen Intelligenz in der Praxis.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert