Etablierung eines ISMS nach NIS-2

Nachdem wir die Handlungsfelder identifiziert haben, schaffen wir mit Ihnen gemeinsam die Rahmenbedingungen und das Fundament für ein funktionierendes ISMS, welches den Anforderungen der NIS-2 ISO genügen soll:

• Wir definieren den Geltungsbereich, basierend auf den Anforderungen Ihrer Stakeholder (z.B. Geschäftsführung, Konzernmutter, Auftraggeber oder geschäftliche Kontakte).
• Wir definieren und etablieren die Sicherheitspolitik und -ziele.
• Wir klären die erforderliche Sicherheitsorganisation inkl. Rollen, Gremien und deren Verantwortlichkeiten.
• Wir schaffen die nötige Projektorganisation für den Aufbau des ISMS. 

Die definierten Informationssicherheitsziele können wir nur erreichen, indem wir klare und eindeutige Regeln festlegen. Diese "Regeln" definieren wir in verschiedenen Richtlinien, sowohl für die gesamte Belegschaft im Geltungsbereich des ISMS als auch für spezifische Bereiche bzw. Zielgruppen (z.B. IT-Admins, Softwareentwicklung, Einkauf, Personalwesen oder Facility Management).

Dabei erfinden wir hier das Rad nicht jeweils neu, sondern nutzen unsere zahlreichen Vorlagen, die bereits mehrere Jahre erfolgreich in der Praxis erprobt sind und regelmäßig aktualisiert werden, sodass sie stets dem Stand-der-Technik entsprechen.

Die erstellten Richtlinien stimmen wir mit den erforderlichen Personen in den Fachbereichen ab und integrieren diese in die relevanten Geschäftsbereiche. 

Das Informationssicherheits-Risikomanagement (InfoSec Risikomanagement) ist das Herzstück eines wirksamen ISMS nach NIS-2, denn es hilft Ihnen, Wichtiges von Unwichtigem zu unterscheiden und stets pragmatisch vorzugehen. 

Wir schaffen mit Ihnen die notwendige Aufbau- und Ablauforganisation, um alle relevanten Informationssicherheitsrisiken strukturiert und systematisch zu erfassen, zu bewerten, zu behandeln (also angemessene Maßnahmen ableiten) und zu dokumentieren.

Sollten Sie bereits ein Risikomanagementsystem oder einen eigenen Risikomanagementansatz im Unternehmen haben, setzen wir darauf auf und reichern diesen ggf. um fehlende relevante Aspekte der NIS-2 an.

Jetzt geht es an die Umsetzung der definierten Maßnahmen. In dieser Phase coachen wir sehr gezielt und unterstützen Sie auch nach Bedarf bei etwaigen Ressourcenengpässen. Uns ist es wichtig Sie bzw. eine Person Ihres Teams bestmöglich auf die Aufgaben als Information Security Officer vorzubereiten.

Wir legen bei der Umsetzung sehr viel Wert auf praktikable Lösungen, also darauf, dass die Maßnahmen

• zur Erreichung des gewünschten Sicherheitsniveaus beitragen,
• dabei wirtschaftlich und umsetzbar sind und
• den Anforderungen der NIS-2 genügen.

Um die Wirksamkeit des etablierten ISMS zu überprüfen sollten regelmäßig interne ISMS-Audits durchgeführt werden - zu Recht, denn im Rahmen von internen Audits wird u.a. die Wirksamkeit des etablierten ISMS auf den Prüfstand gestellt.

Mehrwert von internen ISMS-Audits:

• Aussage über die Wirksamkeit, sowie den Reifegrad des ISMS.
• Technische bzw. organisatorische Schwachstellen können durch Audits strukturiert ermittelt werden

Die kurze Antwort ist "es kommt darauf an". Aber worauf kommt es eigentlich an?

• Betreiber kritischer Infrastrukturen (welche zu den "besonders wichtige Einrichtungen" zählen) müssen alle 3 Jahre die Umsetzung der Anforderungen nachweisen (typischerweise in Form von Audits, Prüfungen oder relevanter Zertifizierungen wie z.B: die ISO 27001) und das Ergebnis dieser Prüfungen muss an das BSI übermittelt werden.  
• Besonders wichtige Einrichtungen müssen aktuell noch keine regelmäßigen Nachweise erbringen. Das BSI hat allerdings das Recht entsprechende Umsetzungsnachweise einzufordern oder die Einhaltung der Anforderungen zu überprüfen.  
• Auch für wichtige Einrichtungen existieren aktuell keine regelmäßigen Nachweispflichten. Auch hier bat das BSI das Recht die Umsetzung der Anforderungen zu überprüfen.