NIS-2 Betroffenheitsprüfung des BSI  

Umsetzungsstand des Gesetzes zur Nis-2-Richtlinie  

 Unter der BSI Seite NIS 2 - was tun, steht ein Grundgerüst der Tätigkeiten und Prozesse, die zu tätigen und bedenken sind. 

Mit DORA, der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanz- und Versicherungssektor (Digital Operational Resilience Act), hat die Europäische Union eine finanzsektorweite Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen.

Wir haben mit bankrechtlichen IT und IT Sicherheitsvorgaben, IT-Risikomanagement und Compliance seit 2016 tiefgreifende Erfahrungen ,bis hin zum Betrieb eines ISMS für eine Bank mit den entsprechenden Auflagen und der Begleitung der IT- / IT-Sicherheit Jahresabschlüssen nach BAIT Vorgaben.

Dora ist die Fortführung dieser Vorgaben für alle regulierten Institute des Finanzsektors in Europa in sechs großen Kapiteln:

• IKT-Risikomanagement (Kapitel II, Artikel 5 bis 16)
• Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III, Artikel 17 bis 23)
• Testen der digitalen operationalen Resilienz einschließlich Threat-led Penetration Testing (TLPT) (Kapitel IV, Artikel 24 bis 27)
• Management des IKT-Drittparteienrisikos, einschließlich Informationsregister und Anzeigepflichten (Kapitel V, Abschnitt I, Artikel 28 bis 30)
• Überwachungsrahmen für kritische IKT-Drittdienstleister (Kapitel V, Abschnitt II, Artikel 31 bis 44)
• Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen (Kapitel VI, Artikel 44 und Artikel Kapitel VII, Artikel 49)

Der IT-Sicherheitskatalog für Energieanlagen wurde im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt und im Dezember 2018 veröffentlicht. Der Katalog dient dem Schutz gegen Bedrohungen der für einen sicheren Betrieb von Energieanlagen notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme. Adressaten des IT-Sicherheitskatalogs sind Betreiber von Energieanlagen, die

• durch die BSI-Kritisverordnung anhand von Schwellenwerten als Kritische Infrastrukturen bestimmt wurden

und

• an ein Energieversorgungsnetz angeschlossen sind.

Ziele des IT-Sicherheitskatalogs

• Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten
• Sicherstellung der Integrität der verarbeiteten Informationen und Systeme
• Gewährleistung der Vertraulichkeit der verarbeiteten Informationen

Der IT-Sicherheitskatalog verpflichtet Energieanlagenbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards. Kernforderung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN EN ISO/IEC 27001 und dessen Zertifizierung.

Wir begleiten Unternehmen seit mehreren Jahren auf Auditorenniveau bei der Umsetzung und dem Betrieb der entsprechenden ISMS Systeme nach IEC/ ISO 27.001 und 27.002 sowie der IEC/ISO 27.019 incl. der Teilnahme an Zertifizierungs- und Rezertifizierungsaudits.

Wir unterstützen seit ca. 2007 öffentliche Auftraggeber bei der Einführung von IT Sichehreit nach dem BSI Standard des IT Grundschutz. Dabei  führen wir das prozessuale Vorgehen nach BSI IT Grundschutz 200-2 ein, erstellen Sicherheitskonzepte nach IT Grundschutz, führen Risikoanalysen und Maßnahmenplanungen durch.

Dieses sowohl projekthaft unterstützend, als auch inLeitungspositionen auf ganzheitlichem Behördennievau für Bundesländer und Landesbehörden bis hin herunter zu komunalen Auftraggebern. 

Dieses gilt selbstredend auch für den IT Grundschutz Standard 200-4 und selbstverständlich sind unsere Mitarbeiter für solche Aufgaben sicherheitsüberprüft.