Das NIS-2-Assessment zielt darauf ab, eine Einschätzung über den Reife- bzw. Erfüllungsgrad des Unternehmens hinsichtlich der im Unternehmen umgesetzten Sicherheitsmaßnahmen (Risikomanagementmaßnahmen) hinsichtlich der Anforderungen der EU NIS-2-Richtlinie durchzuführen.
Wesentliche Themenbereiche der Analyse umfassen ausgewiesene Anforderungen der EU NIS-2-Richtlinie Artikel 20 (Governance) und Artikel 21 (Risikomanagementmaßnahmen im Bereich der Cybersicherheit):
- Verantwortlichkeiten der Leitungsorgane
- Cyber Security Schulungsmaßnahmen
- Risikomanagement sowie Beurteilung der Verhältnismäßigkeit technischer, operativer und organisatorischer Maßnahmen
Die Einschätzung über technische, operative und organisatorische Maßnahmen umfasst zumindest folgende Themengebiete:
- Elemente eines Informationssicherheitsmanagementsystems (ISMS)
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
- Bewältigung von Sicherheitsvorfällen;
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Benefits
- Erhebung des IST-Stands in Form von Workshops gemeinsam mit dem Kernteam des Auftraggebers.
- Standortbestimmung in der Umsetzung der von der NIS-2-Richtlinie geforderten Risikomanagementmaßnahmen sowie die Einschätzung des Reife- bzw. Erfüllungsgrad dieser Anforderungen.
- Die Ergebnisse werden in Form einer Managementpräsentation aufbereitet bzw. als Maßnahmenkatalog zur Verfügung gestellt.
- Management-Awareness für Sicherheitsprobleme durch Aufzeigen von blinden Flecken.