500+ Kunden schenken uns ihr Vertrauen, von Startups bis Großunternehmen
Ihr Ziel
Sie wollen ein Information Security Management System (ISMS) etablieren - einerseits um Ihre Unternehmensdaten zu schützen und andererseits um so die Anforderungen der NIS-2 zu erfüllen.
Unsere Leistung
Wir gestalten mit Ihnen Ihr ISMS, etablieren die erforderlichen Prozesse und Richtlinen und verankern diese im Unternehmen. Sie erhalten nicht nur Dokumente, sondern vor allem sehr viel Know-How.
Das Ergebnis
Die Grundzüge Ihres ISMS sind etabiert und Sie sind compliant mit den Anforderungen der NIS-2. Sie wissen alles was ein Chief Information Security Officer (CISO) benötigt, um das etablierte ISMS zu betreiben und weiter zu optimieren.
Die Schritte zu Ihrem ISMS nach NIS-2
Wo stehen Sie aktuell?
NIS-2 Gap-Analyse
Der erste Schritt ist eine NIS-2 Gap-Analyse. Unsere erfahrenen Consultants erheben und bewerten - durch eine Mischung aus Dokumenten-Review und Interview-Sitzungen mit den jeweiligen Fachbereichen - den Stand Ihrer aktuellen Implementierung, basierend auf den Anforderungen der NIS-2.
Diese NIS-2 Gap-Analyse gibt Ihnen und uns ein klares Bild und ermöglicht es den Implementierungsaufwand realistisch abzuschätzen, das Projekt klar zu strukturieren und die erforderlichen Arbeitspakete zu definieren.
Sollten Sie bereits eine Gap-Analyse durchgeführt haben, arbeiten wir mit dieser und führen diese nicht noch einmal durch.
Die richtige Basis schaffen!
Framework etablieren
Nachdem wir die Handlungsfelder identifiziert haben, schaffen wir mit Ihnen gemeinsam die Rahmenbedingungen und das Fundament für ein funktionierendes ISMS, welches den Anforderungen der NIS-2 genügen soll:
- Wir definieren den Geltungsbereich, basierend auf den Anforderungen Ihrer Stakeholder (z.B. Geschäftsführung, Konzernmutter, Auftraggeber oder geschäftliche Kontakte).
- Wir definieren und etablieren die Sicherheitspolitik und -ziele.
- Wir klären die erforderliche Sicherheitsorganisation inkl. Rollen, Gremien und deren Verantwortlichkeiten.
- Wir schaffen die nötige Projektorganisation für den Aufbau des ISMS.
Ohne klare Regeln kein ISMS
Richtlinien erstellen
Die definierten Informationssicherheitsziele können wir nur erreichen, indem wir klare und eindeutige Regeln festlegen. Diese "Regeln" definieren wir in verschiedenen Richtlinien, sowohl für die gesamte Belegschaft im Geltungsbereich des ISMS als auch für spezifische Bereiche bzw. Zielgruppen (z.B. IT-Admins, Softwareentwicklung, Einkauf, Personalwesen oder Facility Management).
Dabei erfinden wir hier das Rad nicht jeweils neu, sondern nutzen unsere zahlreichen Vorlagen, die bereits mehrere Jahre erfolgreich in der Praxis erprobt sind und regelmäßig aktualisiert werden, sodass sie stets dem Stand-der-Technik entsprechen.
Die erstellten Richtlinien stimmen wir mit den erforderlichen Personen in den Fachbereichen ab und integrieren diese in die relevanten Geschäftsbereiche.
Risiken identifizieren und Maßnahmen ableiten
Informationssicherheits-Risikomanagement
Das Informationssicherheits-Risikomanagement (InfoSec Risikomanagement) ist das Herzstück eines wirksamen ISMS nach NIS-2, denn es hilft Ihnen, Wichtiges von Unwichtigem zu unterscheiden und stets pragmatisch vorzugehen.
Wir schaffen mit Ihnen die notwendige Aufbau- und Ablauforganisation, um alle relevanten Informationssicherheitsrisiken strukturiert und systematisch zu erfassen, zu bewerten, zu behandeln (also angemessene Maßnahmen ableiten) und zu dokumentieren.
Sollten Sie bereits ein Risikomanagementsystem oder einen eigenen Risikomanagementansatz im Unternehmen haben, setzen wir darauf auf und reichern diesen ggf. um fehlende relevante Aspekte der NIS-2 an.
Defizite beseitigen und Anforderungen umsetzen
Maßnahmen umsetzen
Jetzt geht es an die Umsetzung der definierten Maßnahmen. In dieser Phase coachen wir sehr gezielt und unterstützen Sie auch nach Bedarf bei etwaigen Ressourcenengpässen. Uns ist es wichtig Sie bzw. eine Person Ihres Teams bestmöglich auf die Aufgaben als Information Security Officer vorzubereiten.
Wir legen bei der Umsetzung sehr viel Wert auf praktikable Lösungen, also darauf, dass die Maßnahmen
- zur Erreichung des gewünschten Sicherheitsniveaus beitragen,
- dabei wirtschaftlich und umsetzbar sind und
- den Anforderungen der NIS-2 genügen.
Sehen, wie weit wir sind.
Internes Audit
Um die Wirksamkeit des etablierten ISMS zu überprüfen sollten regelmäßig interne ISMS-Audits durchgeführt werden - zu Recht, denn im Rahmen von internen Audits wird u.a. die Wirksamkeit des etablierten ISMS auf den Prüfstand gestellt.
Mehrwert von internen ISMS-Audits:
- Aussage über die Wirksamkeit, sowie den Reifegrad des ISMS.
- Technische bzw. organisatorische Schwachstellen können durch Audits strukturiert ermittelt werden
Der Lohn der Arbeit
Nachweiserbringung
Die kurze Antwort ist "es kommt darauf an". Aber worauf kommt es eigentlich an?
- Betreiber kritischer Infrastrukturen (welche zu den "besonders wichtige Einrichtungen" zählen) müssen alle 3 Jahre die Umsetzung der Anforderungen nachweisen (typischerweise in Form von Audits, Prüfungen oder relevanter Zertifizierungen wie z.B: die ISO 27001) und das Ergebnis dieser Prüfungen muss an das BSI übermittelt werden.
- Besonders wichtige Einrichtungen müssen aktuell noch keine regelmäßigen Nachweise erbringen. Das BSI hat allerdings das Recht entsprechende Umsetzungsnachweise einzufordern oder die Einhaltung der Anforderungen zu überprüfen.
- Auch für wichtige Einrichtungen existieren aktuell keine regelmäßigen Nachweispflichten. Auch hier bat das BSI das Recht die Umsetzung der Anforderungen zu überprüfen.
Wollen Sie Hilfe zur Selbsthilfe?
Lassen Sie uns in einem Webmeeting kennenlernen und über Ihre Situation und Ziele sprechen. Wir zeigen Ihnen, wie wir in vergleichbaren Kundensituationen geholfen haben.
Weitere Angebote zu ISMS
Überprüfen Sie den Reifegrad Ihres ISMS nach ISO 27001 mit einer Gap-Analyse
Schützen Sie Ihr Unternehmen mit maßgeschneidertem Business Continuity Management: IT-Ausfälle vermeiden, Risiken minimieren, Kernprozesse absichern. Jetzt Unterstützung anfragen!
Sensibilisieren Sie Ihre Mitarbeiter, Manager, Administratoren und Entwickler mit einer holistischen Cyber Security Awareness Kampagne.