Softwaregestützte NIS-2-Umsetzung

Einführung

In Deutschland soll das NIS2-Umsetzungsgesetz zur Umsetzung der EU NIS-2-Richtlinie voraussichtlich Ende 2025 oder Anfang 2026 in Kraft treten. Die Richtlinie selbst trat am 16. Januar 2023 in Kraft und stellt einen Meilenstein in der europäischen Cybersicherheitsgesetzgebung dar. Ihr Ziel ist es, ein hohes und einheitliches Schutzniveau für Netz- und Informationssysteme in allen Mitgliedsstaaten sicherzustellen.

Sie erweitert den Geltungsbereich der ursprünglichen NIS-Richtlinie deutlich und betrifft nun nicht mehr nur Betreiber kritischer Infrastrukturen, sondern auch zahlreiche weitere Unternehmen aus wichtigen Branchen.

Mit der ISMS- und GRC-Software ibi systems iris steht Ihnen eine effiziente Softwarelösung zur Seite, die Sie ganzheitlich und strukturiert bei der nachvollziehbaren Umsetzung der NIS-2-Anforderungen unterstützt. Profitieren Sie von voller Transparenz, schnellerem Reporting und effizienteren Arbeitsabläufen.

Betroffenheitsprüfung und NIS2-Umsetzungsverordnung

Nutzen Sie unsere intuitiven Prüfkataloge, um Ihre Betroffenheit von NIS-2 zu ermitteln und die Umsetzung der Anforderungen zu prüfen:

NIS-2-Prüfkataloge in ibi systems iris
  • Die Betroffenheitsprüfung des BSI unterstützt Sie dabei, schnell und transparent zu klären, ob Ihr Unternehmen überhaupt unter den Anwendungsbereich von NIS-2 fällt.
  • Die NIS2-Umsetzungsverordnung (NIS2 UmsVO) wiederum konkretisiert bestimmte Vorgaben der NIS2-Richtlinie (Richtlinie (EU) 2022/2555). Der entsprechende Prüfkatalog in iris ermöglicht es Ihnen, die Anforderungen Schritt für Schritt durchzugehen, Lücken zu erkennen und die Umsetzung gezielt anzugehen. Damit bildet er die Grundlage für die strukturierte Erfassung, Bewertung und Steuerung der Sicherheitsanforderungen.
Prüfung der NIS2-Umsetzungsverordnung in ibi systems iris

Einsatzbereiche

ibi systems iris begleitet Sie zuverlässig bei der Umsetzung der zentralen Vorgaben der NIS-2-Richtlinie:

  1. Risikomanagement und Maßnahmen
  2. Meldepflichten für Sicherheitsvorfälle
  3. Betriebskontinuitäts und -krisenmanagement
  4. Sicherheit der Lieferkette
  5. Klare Zuweisung von Verantwortlichkeiten und Rollen
  6. Überwachungen und Audits

1. Risikomanagement und Maßnahmen

Mit ibi systems iris können Sie den Anwendungsbereich – bestehend aus Organisationseinheiten, Assets und Prozessen inklusive Schutzbedarfsfeststellung – als Basis für das Risikomanagement abbilden.

Im Rahmen von Prüfungen können Schwachstellen identifiziert werden, die wiederum Risiken hervorrufen können. Ein Risiko kann einer Risikokategorie zugewiesen werden und es können Verantwortlichkeiten angegeben werden. Bei der an die Identifikation anschließenden Risikobewertung wird das Risiko in den Dimensionen Schadenauswirkung und Eintrittswahrscheinlichkeit bewertet und in einer Risikomatrix dargestellt. Dabei ist auch die Einbeziehung weiterer Parameter, wie beispielsweise vergangener Vorfälle, möglich.

Bei der Auswahl einer Risikobehandlungsstrategie können etwaige risikomindernde Maßnahmen unmittelbar aus dem Risiko abgeleitet und geplant werden. Für die Maßnahmen können zum Beispiel die Wirksamkeit, die Umsetzer sowie das geplante Umsetzungsdatum angegeben werden.

Die Entwicklung von Risiken kann jeweils über die Historie der Risikobewertungen inklusive der definierten Maßnahmen nachvollzogen werden.

Risikomatrix in ibi systems iris

2. Meldepflichten für Sicherheitsvorfälle

Sie können alle Ihre zentral erfassten Vorfälle per API-Schnittstelle in ibi systems iris übertragen. Hier können Sie diese übersichtlich im Rahmen der Meldepflichten aufbereiten und nachverfolgen. Darüber hinaus können Sie direkt Follow-up-Aktivitäten vornehmen, wie beispielsweise das Verknüpfen von Risiken und Maßnahmen.

3. Betriebskontinuitäts und -krisenmanagement

Die Grundlage für das Business Continuity Management bildet die Erfassung von Assets, kritischen Geschäftsprozessen und Schadensszenarien in ibi systems iris. Mithilfe der Software können Sie strukturierte Business-Impact-Analysen (BIA) durchführen und die geforderte Wiederanlaufzeit mit der erreichbaren Wiederanlaufzeit im Rahmen des Soll-Ist-Vergleichs anhand der hinterlegten Notfallaktivitäten gegenüberstellen. Aus den Ergebnissen können Risiken resultieren, die es zu bewerten und zu behandeln gilt. Über die Reportingfunktion haben Sie die Möglichkeit, einen Wiederanlauf- und Wiederherstellungsplan zu erstellen.

4. Sicherheit der Lieferkette

In ibi systems iris können jegliche vordefinierte oder individuelle Prüfkataloge (interne/externe Audits, Checklisten, Gesetze, Fragebögen etc.) abgebildet werden, so beispielsweise auch Lieferantenprüfungen und Application Security Checks. In unserer dedizierten App für die Prüfungsdurchführung können auch Dritte eingebunden werden, die lediglich Zugriff auf die ihnen zugewiesenen Prüfungen/Fragen erhalten. Die App leitet intuitiv durch die Fragen und Rückfragen können direkt in der App ohne Medienbruch geklärt werden. Prüfungsergebnisse werden in ibi systems iris über die aus den Ergebnissen resultierenden Maßnahmen, Feststellungen und Risiken nachverfolgt. Da die Elemente eine Verknüpfung zur Prüfung haben, ist jederzeit eine Auswertung pro Prüfung mit dem Status der dazugehörigen Follow-Up-Aktivitäten möglich.

5. Klare Zuweisung von Rollen und Verantwortlichkeiten

Die ISMS- und GRC-Software ermöglicht es, Rollen zu definieren und sämtlichen Datensätzen Verantwortlichkeiten zuzuordnen. Dadurch werden Compliance-Pflichten transparent abgebildet und Verantwortlichkeiten bleiben jederzeit nachvollziehbar.

6. Überwachungen und Audits

ibi systems iris macht es durch weitere Prüfungen und Kennzahlen einfach, sowohl die Maßnahmen als auch die Risiken selbst kontinuierlich zu überwachen und den Maßnahmenstatus zu verfolgen.

Flexibel definierbare Automationen und Benachrichtigungsregeln sorgen dafür, dass sicherheitsrelevante Aufgaben umgesetzt werden. So kann zum Beispiel die automatische Erstellung von Prüfungen geplant werden, der Umsetzer einer Maßnahme rechtzeitig vor dem Umsetzungstermin erinnert werden oder die Verantwortlichkeit eines Risikos bei einer anstehenden Neubewertung informiert werden.

Vorgefertigte und frei konfigurierbare Reports und interaktive Dashboards tragen ebenfalls zum effektiven Management bei. Beispielsweise liefern Heatmaps zu Risiken, Statusübersichten zu Maßnahmen, Vorfallsübersichten oder Compliance Cockpits relevante Informationen für Management, Audits oder Behördenmeldungen. Notwendiger Handlungsbedarf sowie Verbesserungspotenziale werden somit auf einen Blick sichtbar.

Beispielhafte Reports und Dashboards in ibi systems iris

Fazit

Mit ibi systems iris erhalten Sie eine umfassende Lösung, um die Anforderungen der NIS2-Richtlinie strukturiert und nachvollziehbar umzusetzen. Von der initialen Betroffenheitsprüfung über die schrittweise Umsetzung der Vorgaben begleitet die Software Sie bei allen zentralen Schritten.

 

Haben wir Ihr Interesse geweckt?

Kontaktieren Sie uns!

 

Zurück zur Übersicht

_____________________

Quellen:

https://nis2-umsetzung.com/nis2-ums-vo-annex/

https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html

https://www.pwc.de/de/cyber-security/europaeische-nis-2-richtlinie-implikationen-fuer-unternehmen-und-institutionen.html

https://nis2resources.eu/de/richtlinie-2022-2555-nis2/artikel-21

/von