NIS-2 Richtlinie
WEN BETRIFFT INFORMATION SECURITY COMPLIANCE?
Waren früher nur ausgewählte Branchen regulatorischen Vorgaben (KRITIS, DORA) zur Information Security Compliance unterworfen, weitet sich das Feld der betroffenen Unternehmen mit der Einführung der NIS2 Richtlinie massiv aus. Und selbst Unternehmen, die nicht direkt selber gesetzlich betroffen sind, werden indirekt über Anforderungen über die Lieferkette zur Einhaltung derselben Vorgaben gezwungen werden.
Neben den gesetzlichen Vorgaben zur Cybersecurity sind ausgewählte Branchen schon lange über Branchenstandards, wie den VDA TISAX oder PCI DSS, verpflichtet, Standards einzuhalten, was die Frage aufwirft, wie sich Unternehmen in diesem Umfeld aufstellen sollten.
STANDARDS BIETEN ORIENTIERUNG
So vielfältig die gesetzlichen Vorgaben oder Branchenstandards auf den ersten Blick erscheinen, orientieren sich letztlich alle an denselben Best Practices, die ein Information Security Management System (ISMS) beschreiben, um die Information Security Risiken durch einschlägige Kontrollen zu reduzieren. Der am weitesten verbreitete Standard für ein solches ISMS findet sich im ISO Standard 27001/27002, der organisatorische und technische Kontrollziele und Kontrollen, sowie die organisatorische Verankerung des ISMS beschreibt.
DAS ZIEL IST KOSTENOPTIMIERUNG
Der zentrale Aspekt eines ISMS ist das Information Security Risikomanagement, das zum Ziel hat, die Risikokosten unter Berücksichtigung der Kosten für die Sicherheitsmaßnahmen zu minimieren. Dazu ist wichtig zu verstehen, dass sämtliche Standards und Gesetze zwar Kontrollziele und Kontrollen beschreiben, aber in den seltensten Fällen ihre konkrete Ausgestaltung. Der grundlegende Ansatz ist immer, dass die Kontrollen zum konkreten Risiko, das zu vermeiden ist, angemessen sein müssen. Die Angemessenheit bemisst sich letztlich in EUR, d.h. Kosten für ein Schadenereignis vs. Kosten für die Implementation und den Betrieb von Kontrollen.
Aus dieser Sicht ist die Etablierung eines ISMS im ureigensten Interesse eines jeden Unternehmens mit dem Ziel der betriebswirtschaftlichen Kostenoptimierung.
DER WEG ZUR KOSTENOPTIMIERTEN COMPLIANCE
Die erstmalige Etablierung eines ISMS in ein Unternehmen ist typischerweise ein mehrjähriges Programm, das in mehreren Etappen Zwischenziele erreichen muss, die schnellstmöglich einen messbaren Unternehmensnutzen bringen.
Die Prioritäten und Etappenziele ergeben sich typischerweise aus der Risiko- und Gap-Analyse. Die Risiko-Analyse beleuchtet, welche Bedrohungszenarien das Unternehmen konkret gefährden. Die Gap-Analyse fokussiert den formalen Implementationsgrad der Kontrollen gegen den anzuwendenden Standard und den gesetzlichen Vorgaben, z.B. die ISO 27001 und NIS2. Beide Dimensionen zusammen ergeben eine Heat-Map entlang derer der Entwicklungspfad des ISMS und der Kontrollimplementation geplant werden kann.
Die Planung des Entwicklungspfades und der Etappenziele erfordert breites Verständnis sowohl des eher organisatorisch getriebenen Teils des ISMS als auch der notwendigen technischen Kontrollen, die aus vielen aufeinander abgestimmten Bausteinen besteht.
Das Ziel ist InfoSec Compliance und Cybersecurity bei gleichzeitiger Kostenoptimierung.
Information Security Compliance
Ein strategischer Ansatz für Ihre Informationssicherheit
Unsere Services
Erhebung der Anforderungen: Gap-Analyse
Erstellen der Lösungsarchitektur
-
Wir erstellen eine Gap-Analyse gegen Security Best Practices und spezifischen Standards
-
Durchfphrung einer Risiko-Analyse zur Bewertung der konkreten Cyber Security Risiken durch.
-
Das Ergebnis wird als Heatmap über den gesamten Kontrollstandard aufgearbeitet.
-
Wir erstellen einen Maßnahmenplan mit Priorisierung und und Etappenziele.
-
Beratung und Umsetzungsplanung zur Behebung von Audit-Issues
-
IS Policies: Erstellung unternehmensangepasster Information Security Vorgaben
Projektmanagement
-
Roadmap-Planung,
-
Projekt-Management,
-
Programm-Management,
-
Kostenplanung
Zertifikate:
Prince2 (classic & agil)
Scrum Product Owner
Scrum Master
ITIL4
CISSP
Business Analysis
Requirements Engineering
Vereinbaren Sie eine Beratungstermin
Dr. Johannes Faassen
mobil: +49 170 4168039