Flyout Menu

IS-Implementierung

  • Aufbau von ISMS nach ISO 27001

Die Nutzung und der Betrieb von IT beinhalten auch die Verpflichtung zur Einhaltung unternehmerischer, gesetzlicher, behördlicher und vertraglicher Anforderungen. Hierbei spielt der Schutz der eigenen Informationswerte eine entscheidende Rolle. Dabei ist ein wirksames Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 unverzichtbar.

Mit einem ISMS schaffen Sie einen unternehmensweit einheitlichen Prozess zum Identifizieren und Managen Ihrer Informationssicherheitsrisiken, sowie zur Überwachung und kontinuierlichen Verbesserung. Wir unterstützen Sie beim Aufbau eines ISMS mit unserem fachspezifischen Know-how und einer effektiven und effizienten Vorgehensweise.

Ihr Nutzen

  • Schutz Ihrer kritischen Geschäftsprozesse
  • Überblick über Ihre IT-Risiken und damit die Möglichkeit, gezielte Sicherheitsmaßnahmen einzuführen
  • Steigerung von Effektivität, Effizienz und Nachhaltigkeit der Informationssicherheit
  • Zielgerichteter Einsatz von Investitionen
  • Erfüllung von relevanten gesetzlichen oder behördlichen Anforderungen
  • Nach erfolgreicher Zertifizierung: Qualitätsnachweis und Wettbewerbsvorteil
Jetzt anfragen
  • ISO 27001 Bebauungsplan

Eine Zertifizierung nach ISO 27001 bestätigt ein wirksames Informationssicherheitsmanagementsystem (ISMS) und damit auch ein hohes Niveau der Informationssicherheit. Doch der Weg bis zu einer Zertifizierung kann eine große Herausforderung darstellen. Neben einem hohen Zeitaufwand und immensen Kosten sind auch die Motivation der beteiligen Mitarbeiter und die kontinuierliche Unterstützung der Geschäftsführung wichtige Faktoren für ein erfolgreiches Projekt.

Mit dem ISO 27001 Bebauungsplan unterstützt Sie die TÜV TRUST IT mit einer Methodik, mit der Sie diese Herausforderungen erfolgreich meistern können und in einem überschaubaren Rahmen ein wirksames und zertifizierungsfähiges ISMS Schritt für Schritt aufbauen zu können.

Ihr Nutzen

  • Masterplan, der Ihr ISMS-Projekt optimal strukturiert und in überschaubare Teilprojekte unterteilt
  • Aufbau eines ISMS in einem betriebswirtschaftlich angemessenen Rahmen und überschaubarer Zeit
  • Strukturierte und risikobasierte Priorisierung, mit der nach und nach Teile des Geltungsbereichs unter die Kontrolle des ISMS gebracht werden
  • Regelmäßige Erfolgsnachweise gegenüber der Geschäftsführung und zur Motivation der Mitarbeiter
  • Optimaler Ausgangspunkt für eine Zertifizierung nach ISO 27001
Jetzt anfragen
Datenblatt herunterladen
  • Gap-Analyse nach ISO 27001

Mit der Einführung eines Informationssicherheits-managementsystems (ISMS) nach ISO 27001 werden Prozesse etabliert, um Informationen hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit zu schützen. Doch vor dem Start eines ISMS-Projekts gilt es zu untersuchen, ob und inwiefern bereits Prozesse und dazugehörige Maßnahmen etabliert sind.

Deshalb sollte zunächst eine Gap-Analyse (auch ISMS-Bestandsaufnahme genannt) durch eine unabhängige Instanz durchgeführt werden. Hierfür hat die TÜV TRUST IT ein standardisiertes Vorgehen entwickelt, das es ermöglicht, Abweichungen zwischen SOLL und IST (das „Gap“ oder die „Lücke“) zu erkennen und Optimierungspotenziale aufzuzeigen.

Ihr Nutzen

  • Umfassende Bestandsaufnahme mit übersichtlichem Aufwand und minimaler Ressourcenbildung
  • Überblick über den Reifegrad der ISMS-Prozesse und Maßnahmen
  • Abschlussbericht mit Empfehlungen zur weiteren Vorgehensweise
  • Optimale Basis für den Aufbau eines ISMS
Jetzt anfragen
  • IT-Sicherheitsgesetz & KRITIS

Am 25. Juli 2015 ist das IT-Sicherheitsgesetz (IT-SiG) in Kraft getreten. Mit dem IT-SiG soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) in Deutschland erreicht werden. Besondere Bedeutung kommt den Kritischen Infrastrukturen (KRITIS) zu, die für das Funktionieren des Gemeinwesens zentral sind. Die Sektoren und Branchen der Kritischen Infrastrukturen sind vom Bundesamt für die Sicherheit in der Informationstechnik (BSI) festgelegt und umfassen aktuell zehn Sektoren.

Darüber hinaus sind KRITIS-Unternehmen ab Mai 2023 zur Implementierung und aktiven Nutzung von Systemen zur Angriffserkennung (SzA) verpflichtet. Und schließlich sollen KRITIS-Unternehmen den Einsatz von Business Continuity Management Systemen (BCMS) nachweisen.

Pflichten von KRITIS-Betreibern, u.a.

  • Nennung einer jederzeit erreichbaren Kontaktstelle im Bereich der IT-Sicherheit gegenüber dem BSI
  • Unverzügliche Mitteilung von meldewürdigen IT-Störungen
  • Umsetzung von angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen nach dem „Stand der Technik“
  • Nachweis der Erfüllung der Anforderungen gegenüber dem BSI (alle zwei Jahre)
  • Ab Mai 2023 Einsatz eines Systems zur Angriffserkennung (SzA) und deren Nachweis
  • Aufbau eines Informationssicherheits-Managementsystems (ISMS)
  • Gestellung eines externen CISO/ISB oder Coaching des internen CISO/ISB
  • Implementierung eines Systems zur Angriffserkennung über die CSOC als SOCaaS
  • Prüfungen nach §8a (3) BSI-Gesetz
  • Schulungen (§8a BSIG)

 

Ihr Nutzen

  • Erfüllung der Anforderungen des IT-SiG
  • Nachweis eines systematischen Vorgehens bei der Absicherung gegen Gefährdungen der IT-Sicherheit gegenüber Kunden, Partnern und Versicherungen
  • Schutz Ihrer kritischen Geschäftsprozesse
  • Überblick über Ihre IT-Risiken und damit die Möglichkeit, gezielte Sicherheitsmaßnahmen einzuführen
  • Wirksame Steigerung der Informationssicherheit
  • Zielgerichteter Einsatz von Investitionen
  • Nach erfolgreicher Zertifizierung: Qualitätsnachweis und Wettbewerbsvorteil
Jetzt anfragen
  • KRITIS Dachgesetz

Parallel zur NIS-2 Richtlinie ist im Januar 2023 die EU CER Richtlinie (Critical Entities Resilience) in Kraft getreten. Die Fristen haben – wie bei der NIS-2 – eine Umsetzung durch die EU-Mitgliedsstaaten bis zum 17.10.2024 gefordert, und die CER soll innerhalb der EU ab dem 18.10.2024 angewendet werden. Das KRITIS-Dachgesetz ist das Umsetzungsgesetz der CER in Deutschland. Mit Datum vom 21.12.2023 ist zuletzt ein Referentenentwurf veröffentlicht worden, allerdings ist aus heutiger Sicht ein rechtzeitiges Inkrafttreten fraglich, ebenso wie bei der NIS-2. Es ist ein eigenständiges Gesetz, also kein Artikelgesetz wie z.B. das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Primäre Aufsichtsbehörde wird das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

Mit dem KRITIS-Dachgesetz soll die Resilienz kritischer Anlagen nach dem All-Gefahrenansatz gestärkt werden. In Abgrenzung zumNIS2UmsuCG, welches die IT-Sicherheit kritischer Anlagen und entsprechender Einrichtungen stärken soll, soll das KRITIS-Dachgesetz den physischen Schutz dieser Anlagen und deren Widerstandsfähigkeit stärken. Es tritt damit ergänzend neben das NIS2UmsuCG. Allerdings sollen alle Rechtsverordnungen betreffs KRITIS-Dachgesetz und NIS2UmsuCG harmonisiert werden.

Betreiber kritischer Anlagen, die analog zum IT-Sicherheitsgesetz (IT-SiG) durch Rechtsverordnung festgelegt werden, müssen erstmals 9 Monate nach Registrierung einer Anlage und danach alle 4 Jahre eine Risikoanalyse und -bewertung durchführen. Diese Risikoanalyse soll auf einer nationalen Risikoanalyse aufsetzen, die von der BBK erstmalig bis zum 17.01.2026 zur Verfügung gestellt werden soll.

Dabei sind alle, die Wirtschaftsstabilität beeinträchtigenden, naturbedingten, klimatischen und vom Menschen verursachten Risiken zu berücksichtigen. Auf Basis dieser Risikoanalysen müssen Betreiber kritischer Anlagen geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz nach dem Stand der Technik umsetzen. Diese Maßnahmen umfassen die Bereiche BCM / Notfallmanagement, physische Sicherheit, Personal sowie Risiko- / Krisenmanagement, sind in einem Resilienzplan zu dokumentieren.

Störungen sind vom Betreiber kritischer Anlagen unverzüglich an die Aufsichtsbehörde zu melden. Darüber hinaus sieht das KRITIS-Dachgesetz Bußgelder vor, die im letzten Referentenentwurf aber noch nicht quantifiziert sind. Schließlich sind Pflichten und Haftung der Geschäftsleitung im KRITIS-Dachgesetz analog zum NIS2UmsuCG vorgesehen.

Die wesentlichen Pflichten für Betreiber kritischer Anlagen, z.B. Risikoanalysen und Maßnahmenumsetzung, sollen erst am 17.06.2026 in Kraft treten. Damit ist derzeit eine nicht unerhebliche Übergangszeit vorgesehen.

Die Anforderungen aus dem KRITIS-Dachgesetz gelten verpflichtend nur für Betreiber kritischer Anlagen. Die Rechtsverordnung, in der kritische Anlagen festgelegt werden, soll für das KRITIS-Dachgesetz und das NIS-2-Umsetzungsgesetz gleich sein, um einen einheitlichen Regulierungsrahmen zu schaffen.

Wir bieten Ihnen ein spezielles Leistungsspektrum an. Kontaktieren Sie uns.

Jetzt anfragen
  • Systeme zur Angriffserkennung (SzA)

SzA beschreiben einen Service, Technik allein erfüllt nicht die Forderung des BSI

Mit der zunehmenden Digitalisierung steigen seit Jahren auch die Risiken durch Cyberangriffe. Daher gehören u.a. Prozesse, Kundendaten und Firmengeheimnisse schon lange zu kritischen Informationen. Viele Unternehmen haben diese Bedrohung erkannt und bereits stark in den Ausbau ihrer Security-Infrastruktur investiert. Mit diversen Rechtsvorschriften wird außerdem ein regulativer Rahmen geschaffen.

Problematisch ist, dass es häufig mehrere Monate dauert, bevor ein Cyberangriff entdeckt wird, sodass Angreifern viel Zeit bleibt, sich im Unternehmen umzusehen und wertvolle Informationen zu stehlen oder durch Verschlüsselung eine Erpressung vorzubereiten.

Durch ein System zur Angriffserkennung (SzA) ist es möglich einen Cyberangriff frühzeitig zu entdecken und sofort eine Reaktion einzuleiten. Das SzA fungiert dabei als Alarmanlage und durch seinen ganzheitlichen Ansatz werden die Informationen aller überwachten Systeme zentral zusammengeführt und ausgewertet. Diese schnelle Reaktion bewahrt vor Schaden und nimmt dem Angreifer Zeit. Nicht umsonst sind KRITIS-Betreiber zum Handeln gezwungen und müssen seit dem 1. Mai 2023 ein SzA einsetzen. Gerne unterstützen wir Sie mit einem großen Leistungsspektrum rund um dieses Thema.

Unsere Kunden profitieren von unterschiedlichen Leistungen zum Thema Systeme zur Angriffserkennung (SzA):

  • Vorprojekt SzA: Im Rahmen eines Vorprojektes unterstützen wir Sie bei der Vorbereitung Ihrer Ausschreibung zu einem SzA. Wir achten dabei auf die wesentlichen Aspekte und stellen die richtigen Fragen, um die bestehenden Rechtsvorschriften zu erfüllen und das passende SzA auszuwählen.
  • Bestandsprüfung/GAP-Analyse: Wir analysieren Ihren Umsetzungsstand gegenüber der Orientierungshilfe SzA. Sie erhalten eine ausgefüllte Checkliste mit Handlungsempfehlungen von uns, um Ihr Unternehmen effektiv abzusichern. Hieraus ist auch ersichtlich welchen Reifegrad Ihr Unternehmen gegenüber den Anforderungen der BSI Orientierungshilfe hat.
  • IT-Security Beratung: Wir beraten Sie auf Ihrem Weg zur bestmöglichen Absicherung gegen Cyberangriffe. Wir unterstützen Sie bei der Umsetzung der prozessualen und konzeptionellen Umsetzung der Anforderungen aus der Orientierungshilfe SzA und definieren die Schritte zu einer optimierten IT-Security Landschaft. Hierbei gehen wir sowohl auf die technischen als auch auf die prozessualen bzw. konzeptionellen Herausforderungen ein und können Sie hierbei mit unseren unterschiedlichen Expertisen optimal unterstützen.
  • BSI-Gesetz §8a Prüfung: KRITIS-Betreiber sind aufgefordert im Rahmen von BSIG §8a (3) auch den Einsatz eines Systems zur Angriffserkennung alle zwei Jahre gegenüber dem BSI nachzuweisen. Wir führen diese Prüfung gerne für Sie durch. 
  • SzA-Prüfungen: Wir führen SzA-Prüfungen für Unternehmen in allen KRITIS-Sektoren als Teil der Prüfung gemäß § 8a (3) BSIG  durch. Für Energieversorger und -erzeuger wird die SzA-Prüfung gemäß § 11 (1f) EnWG durchgeführt.
  • SOCaaS für IT und/oder OT (Security Operations Center as a Service der CSOC) – Gerne überwachen wir Ihre IT- und/oder OT-Infrastruktur rund um die Uhr mit einem SOCaaS. Die Certified Security Operations Center GmbH bietet Leistungen und Services speziell für den Mittelstand, basierend auf einem ganzheitlichen Ansatz zum Schutz gegen Cyberkriminalität. 

 

Ihr Nutzen

  •  Wettbewerbsvorteil und Qualitätsnachweis gegenüber Kunden und Geschäftspartnern
  •  Erfüllung aktueller gesetzlicher Anforderungen
  • Absicherung Ihrer Prozesse nach aktuellem Stand der Technik
  • Weiterentwicklung Ihrer ISMS-Dokumentation durch Best-Practices und des weiterentwickelten ISMS-Frameworks
Jetzt anfragen
Kontakt

*“ zeigt erforderliche Felder an

Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Name*
Datenschutz*