Ihre Abkürzung zu NIS2 heißt BREKOM
Ihre Abkürzung zu NIS2 heißt BREKOM
Ihr Unternehmen ist von NIS2 betroffen und Sie müssen die gesetzlichen Anforderungen erfüllen, ohne dabei die Organisation im Kerngeschäft zu belasten?
Wir begleiten mittelständische Produktionsunternehmen pragmatisch auf dem Weg zu einem NIS2-konformen Betrieb der IT- und OT-Security im Bereich Organisation/Prozesse, Technik und Mensch.
Wir starten nach unserer bewährten Vorgehensweise je nach Reifegrad Ihres Unternehmens mit einem Kurz-Check oder mit einer exakten Ermittlung und neutralen Bewertung Ihrer Ausgangssituation. Unser IT-Sicherheitsaudit auf Basis des Kriterienkatalogs des Instituts für Technologiequalität (ITQ) schafft Klarheit bei geringem eigenen Zeitaufwand.
Sie erhalten ein objektives Ergebnis zum Umsetzungsgrad der Anforderungen nach NIS2 in Ihrem Unternehmen sowie ein Gesamtbild der aktuellen Situation. Für eventuelle Abweichungen erstellen wir eine Liste mit Handlungsempfehlungen inkl. Umsetzungsplanung und unterstützen Sie bei dessen Implementierung.
Schritt 1: Kick-off Webinar
Wir möchten Ihr Unternehmen kennenlernen und uns dabei einen Überblick über Ihre IT-Landschaft verschaffen. Dazu sichten wir bereits vorhandene Unterlagen (zum Beispiel Netzwerkplan, Dokumentationen, Richtlinien und Arbeitsanweisungen), legen gemeinsam die Teilnehmer fest und bereiten den Audit-Termin vor.
Ihr Zeitaufwand: ca. 60 Minuten
Schritt 2: IT-Sicherheitsaudit
Remote und/oder bei Ihnen vor Ort beginnen wir mit der organisatorischen und technischen Prüfung. Neben Besichtigungen der IT-Räume finden Gespräche mit den beteiligten Mitarbeitern statt. Wir nehmen Ihre bereits vorhandenen Maßnahmen zur NIS 2-Konformität auf und dokumentieren etwaige Abweichungen (Gaps).
Anschließend ermitteln wir anhand unserer Audit-Software in 15+ Prüfgruppen und 120+ Prüffragen den aktuellen IT-Sicherheitsstand Ihres Unternehmens. Zusätzlich ermitteln wir zu den verbindlichen NIS2-Anforderungen den aktuellen Umsetzungsgrad als Basis für die zu erstellende Roadmap. Optional führen wir begleitende automatisierte Analysen im Vorfeld durch, z. B. Asset-Inventarisierung, Penetrationstest und Schwachstellenscan.
Ihr Zeitaufwand: ca. 4-8 Stunden
Schritt 3: Workshop zu Ergebnissen & Maßnahmen
Unser detaillierter Prüfbericht liefert ein Gesamtbild Ihrer aktuellen Situation. Er wird Ihnen im Rahmen eines Ergebnis-Workshops präsentiert. Sie bekommen einen ausführlichen Überblick über den aktuellen Stand Ihrer IT-Sicherheit sowie konkrete Handlungsempfehlungen für die Einhaltung von NIS2.
Die Maßnahmen werden in einem schrittweisen Umsetzungsplan über 1-3 Jahre inkl. Budgetplanung gemeinsam abgestimmt. Dieser Plan ist die Basis für die spätere Umsetzung, bei der wir sie gerne begleiten. Durch eine rechtzeitige Umsetzung der NIS 2-Vorgaben reduzieren Sie die Angriffsfläche für Cyberangriffe und schaffen ein einheitliches Sicherheitsniveau in Ihrem Unternehmen. Zudem erhalten Sie von uns das Prüfsiegel „Basisprüfung ITQ“ zur Verwendung auf Ihrer Website und Ihren Geschäftspapieren.
Ihr Zeitaufwand: ca. 2-3 Stunden
Unser oberstes Ziel ist, dass Sie mit unserer Leistung zufrieden sind. Wir sind überzeugt, dass wir nur mit zufriedenen Kunden nachhaltig erfolgreich sind. Daher gilt folgendes Versprechen: Sollten Sie mit unserer NIS2-Dienstleistung trotz Umsetzung der empfohlenen Maßnahmen nicht zufrieden sein, zahlen Sie diesen Service einfach nicht!
„Uns fehlt intern Zeit und Know-how für das Thema Security und so schieben wir unsere To Do´s schon lange vor uns her. Mit dem NIS2-Gesetz drohen jetzt Haftungsrisiken und Geldstrafen. Daher wollten wir das Thema Security endlich vom Tisch haben, um uns wieder voll dem Tagesgeschäft widmen zu können. BREKOM hat uns mit der strukturierten Vorgehensweise und den ISMS-Vorlagen überzeugt und verfolgt hartnäckig unsere Aktionspunkte, damit wir nicht Opfer einer Cyberattacke werden.“
Geschäftsführer eines mittelständischen Herstellers für elektronische Bauelemente
Themen rund um IT-Sicherheit und Schutz von Unternehmensdaten, -werten und -anlagen sind streng vertraulich. Aufgrund gesetzlicher Anforderungen, einschließlich der DSGVO, können uns unsere Kunden keine Zustimmung geben, ihre Dienstleistungs- und Herstellerpartner zu veröffentlichen oder relevante Projektinformationen weiterzugeben. Daher haben wir im Folgenden ein anonymisiertes Referenzprojekt aufgeführt.
…ist eine Tochtergesellschaft einer mittelständischen Holding mit 250 Mitarbeitenden und einem zentralen Standort in Nordrhein-Westfalen. Das Unternehmen ist im Maschinen- und Anlagenbau tätig und hat internationale Kunden.
… kam dadurch zustande, dass alle Tochtergesellschaften eine eigene IT-Abteilung haben. Die Holdinggesellschaft wollte alle Beteiligungen überprüfen bzgl. der Erfüllung der NIS2-Anforderungen sowie bzgl. des Reifegrads der IT-Sicherheit.
…war im ersten Schritt die Durchführung unseres NIS2-Assessments. Aufgrund der festgestellten NIS2-Betroffenheit erfolgte im zweiten Schritt ein IT-Sicherheitsaudit mit ganzheitlichem Soll-/ Ist-Abgleich zur Cyberresilienz. Anschließend wurde eine umfassende Risikobewertung durchgeführt und die wichtigsten Assets und Services mit jeweiligen potenziellen Schwachstellen identifiziert. Die OT-Verantwortlichen aus der Produktion haben abgeschätzt, welche Bereiche im Unternehmen besonders kritisch sind und wo genau im Falle einer Störung ein hohes Risiko besteht. Die hieran beteiligen Assets erfordern einen besonderen Schutz. Diese Netzwerkbereiche werden dann entsprechend segmentiert, um gezielte Sicherheitsmaßnahmen zu ermöglichen und einen „Flächenbrand“ zu vermeiden.
… war ein objektives Ergebnis zum Umsetzungsgrad der Anforderungen nach NIS2 im Unternehmen sowie ein Gesamtbild der aktuellen Sicherheitssituation. Für alle Abweichungen hat der Kunde eine Liste mit Handlungsempfehlungen inkl. Umsetzungsplanung erhalten. In einem Workshop wurden die Maßnahmen bewertet und eine Priorisierung aufgestellt, um mit wenig Aufwand in Zeit und Geld maximale Ergebnisse in Punkto Sicherheit zu erzielen. Der Projektplan sieht eine schrittweise Umsetzung über 2 Jahre vor und beinhaltet neben dem geplanten Budget auch eine Bewertung, welche Arbeitspakete die IT-Abteilung intern erledigt und wo externe Unterstützung eingebunden wird und wer nach der Implementierung die Betriebsverantwortung übernimmt. Da Sicherheit ein Prozess ist und sich sowohl Unternehmensanforderungen als auch die Bedrohungslage sowie der Stand der Technik zur Gefahrenminimierung kontinuierlich ändern, erfolgt jährlich ein erneutes Audit mit Nachverfolgung und Bewertung der vereinbarten Maßnahmen.
Alle von NIS2 betroffenen Unternehmen sind dazu verpflichtet, angemessene Cybersecurity-Maßnahmen einzuleiten, um die Risiken für Gefahren zu minimieren.
Dazu gehören beispielsweise:
Wirksamkeit: Strategien zur Bewertung der Wirksamkeit von Maßnahmen im Risikomanagement
Geschäftskontinuität: Backup-Management sowie Krisenmanagement
Authentifizierung: Lösungen für Multi-Faktor-Authentifizierungen
Kryptographie: für Maßnahmen und Einsatz von Kryptographie & Verschlüsselung
Lieferkette: Sicherheit der Lieferkette
Schulungen: Weiterbildungen auf dem Gebiet der Cybersecurity
Unternehmen und Organisationen kritischer Infrastrukturen müssen nach Verordnung der NIS2-Richtlinie alle erheblichen Sicherheitsvorfälle (schwerwiegende Betriebsstörungen) der nationalen Behörde sowie Empfängern der eigenen Dienste unverzüglich melden.
innerhalb von 24h
innerhalb von 72h
ein Monat nach Vorfallsmeldung
Die strengen Sicherheitsanforderungen, die mit NIS2 einhergehen, machen zu Beginn die folgenden Schritte erforderlich:
Schritt 1: Sicherheitsbewertung
Welche Schwachstellen gibt es im Unternehmen?
Wie steht es um die Cyberhygiene?
Welche Sicherheitspraktiken finden heute schon Anwendung?
Schritt 2: Risikomanagement
Betroffene Unternehmen sind gemäß der NIS2-Richtlinie verpflichtet, geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen zu ergreifen. Ein möglichst ganzheitlicher Ansatz soll sicherstellen, dass die Risiken für die Sicherheit von Netz- und Informationssystemen bewältigt werden können.
Schritt 3: Ransomware und Sicherheit in der Lieferkette
Eines der Hauptanliegen der NIS2-Richtlinie ist der proaktive Schutz vor Ransomware. Lösungen für die Endpunktsicherheit können hier Abhilfe schaffen. Auch Mitarbeiterschulungen helfen dabei, ein Bewusstsein für die Risiken zu schaffen und Cyberangriffe frühzeitig zu erkennen. Ein weiteres großes Problem sind Attacken auf Lieferketten. So gilt es für Unternehmen, die Sicherheitsmerkmale und -standards der Produkte und Dienstleistungen, die sie beziehen, sicherzustellen, sodass sie den aktuellen Sicherheitsanforderungen entsprechen.
Schritt 4: Zugriffsmanagement
Unternehmen, die unter die NIS2-Regelung fallen, sind angehalten, den Zugriff auf Konten auf Administratorebene zu beschränken. Ansonsten drohen Unterbrechungen des Geschäftsbetriebs und die Infiltrierung von Netzwerken und Systemen durch Cyberkriminelle.
Schritt 5: Aufrechterhaltung des Betriebs (Business Continuity)
Maßnahmen für das Business Continuity Management sind unumgänglich, wenn sichergestellt werden soll, dass kritische Systeme auch im Fall der Fälle aufrechterhalten werden können. Dazu gehören Backup Management, Disaster Recovery, Krisenmanagement und Notfallpläne.
Aktion: Schnelligkeit zahlt sich aus! Die ersten 50 Terminbucher profitieren: Nutzen Sie den Aktionscode „NIS2-jetzt“, um Ihr NIS2-Assessment
im Wert von 249,00 EUR kostenlos zu erhalten.
Wie geht es nach der Buchung weiter?
Um das NIS2-Assessment für alle Beteiligten effizient vorbereiten zu können, melden wir uns vorm Termin und stimmen Details mit Ihnen ab.
