Kontakt
Startseite » Leistungen » NIS-2-Richtlinie » Pakete & Maßnahmen

Pakete & Maßnahmen der NIS-2

Neben einer Reihe von softwarebasierten Risikomaßnahmen müssen auch diverse Beratungsleistungen implementiert werden.

11 Risikomanagement-Pakete

Unternehmen müssen Schritte ergreifen, um Risiken zu identifizieren, zu analysieren und zu bewältigen. Viele Betriebe haben dazu schon Maßnahmen gesetzt, die sie vor digitalen Bedrohungen schützen und Reaktionszeiten im Notfall beschleunigen.

Im Rahmen der NIS-2-Regelung werden universal gültige Anforderungen in 11 formale Pakete mit einer Reihe von Maßnahmen gegliedert. Die Schwerpunkte gliedern sich in softwarebasierte Maßnahmen als auch Beratungsleistungen. Der Fokus liegt somit nicht nur auf der Abwehr von Cyberangriffen, sondern auch auf der Prävention und Optimierung im Schadensfall.

wichtig!

Unternehmen sollten ALLE Maßnahmen der Risikomanagement-Pakete beleuchten. Dieses Vorgehen erleichtert nicht nur die Forensik, sondern ist auch aufgrund der divers gültigen Meldepflichten vorteilhaft.

Paket 1: Risikoanalyse und Sicherheit für Informationssysteme

  • Verfahren zur regelmäßigen Risikoanalyse und Bewertung der Schwachstellen einführen
    Software
  • Asset Discovery, Beschreibung und Softwareinventarisierung
    Software
  • Bestehende Schwachstellen und Sicherheitslücken identifizieren
    Software
  • Regelmäßige Penetrationstest der eigenen Infrastruktur und bisher ergriffen Sicherheitsmaßnahmen
    Software
  • ISMS nach ISO 27001 etc. umsetzen
    Beratung

Paket 2: Bewältigung von Sicherheitsvorfällen

  • End-to-end Anomalie- und Angriffserkennung umsetzen. Protokollierung aller Ereignisse und Ableitung automatischer Reaktionen.
    Software
  • Angriffe, böswillige, fehlerhafte oder andere Aktivitäten im Netz, die sich auf kritische Dienste auswirken könnten, frühzeitig zu erkennen
    Software
  • Schnelle Reaktion auf Cybervorfälle sicherstellen (Incident Response) ermöglichen
    Software
  • Schnelle forensische Analyse und Abschätzung der Auswirkungen nach Vorfall sicherstellen
    Software
  • Schadsoftware und Angreifende an Netzwerkgrenzen bestmöglich abwehren
    Software
  • Managed Detection and Response Services
    Beratung

Paket 3: Aufrechterhaltung und Wiederherstellung, Backup- Management, Krisen-Management

  • Störung der Prozesse durch Sicherheitsmaßnahmen vermeiden
    Software
  • Business-Continuity-Plan erstellen
    Beratung
  • Mehrstufiges Backup-Management etablieren
    Beratung
  • Schnelle Notfallwiederherstellung ermöglichen
    Beratung
  • Professionelle Krisenbewältigung und -kommunikation einrichten
    Beratung

Paket 4: Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit

  • Die technische Kommunikation der Schnittstellen überwachen, auswerten und ggf. automatisierte Maßnahmen etablieren.
    Software
  • Least Privilege Access für Lieferanten etablieren
    Beratung
  • Sicheren Lieferanten-Zugang zum Netzwerk gewährleisten (z. B. sichere Passwörter, VPN)
    Beratung

Paket 5: Sicherheit in der Entwicklung, Beschaffung und Wartung; Management von Schwachstellen

  • Regelmäßige Penetrationstest eigener Software und Infrastruktur
    Software
  • Dauerhaftes Monitoring von Schwachstellen
    Software
  • Effektive und sichere Behandlung und von Schwachstellen sicherstellen
    Beratung

Paket 6: Bewertung der Effektivität von Cybersicherheit und Risikomanagement

  • Die Wirksamkeit des Cybersicherheit- Systems fortlaufend überprüfen und verbessern mit Hilfe von automatisierten Pentests
    Software
  • Cybersicherheitslage und Risikoexposition regelmäßig neu bewerten
    Beratung

Paket 7:Schulungen Cybersicherheit und Cyberhygiene

  • Defense-in-Depth-Architektur aufbauen, um Versagen der Perimetersicherung frühzeitig zu erkennen und interne Netzwerk Kommunikation umfang zu überwachen
    Software
  • Gefährdete Assets überwachen und abschirmen, bei denen Patches/Aktualisierungen nicht möglich sind
    Software
  • Ausbreitung von Angriffen eindämmen (z. B. durch Netzsegmentierung)
    Software
  • Digitale Ressourcen in Bezug auf Firmware, Betriebssystem usw. auf dem neusten Stand halten
    Software
  • Starke Passwortrichtlinien festlegen und umsetzen
    Beratung
  • Regelmäßige Cybersicherheitsschulungen für das Personal umsetzen
    Beratung

Paket 8: Kryptografie und Verschlüsselung

  • Überwachung und Überprüfung verschlüsselter Verbindungen nach aktuellem Stand der Technik. Abgleich TLS nach TR-03116-4 Checkliste des BSI
    Software
  • Einrichtung und Sicherstellung einer durchgehenden verschlüsselten Kommunikation im internen Netz
    Beratung

Paket 9: Personalsicherheit, Zugriffskontrolle und Anlagenmanagement

  • Zugriffe auf kritische Dateien und Verzeichnisse Unternehmensweit überwachen
    Software
  • Sicherheitsüberprüfungen und -sensibilisierung in das Einstellungs- und Vertragsvergabeverfahren integrieren
    Beratung
  • Unbefugten physischen Zugriff auf Assets verhindern
    Beratung

Paket 10: Multi-Faktor Authentisierung und kontinuierliche Authentisierung

  • Unbefugten Zugriff auf digitale Assets verhindern. Überwachung aller Logins und Loginversuche
    Software
  • Personalisierte Multi-Faktor- Authentifizierung sicherstellen
    Beratung
  • Sichere digitale Kommunikation gewährleisten
    Beratung

Paket 11: Sichere Kommunikation
(Sprache, Video und Text)

  • Überwachung sämtlicher Kommunikationssysteme und der Verschlüsselten Verbindungen
    Software
  • Innerhalb von 24 Stunden nach einem Vorfall Frühwarnung an CSIRT übermitteln
    Beratung
  • Innerhalb von 72 Stunden erste Bewertung an CSIRT übermitteln (inkl. Aussagen zu Schweregrad, Auswirkungen, Quelle)
    Beratung
  • Auf Anfrage des CSIRT Aktualisierungen zum Status des Vorfallsmanagements bereitstellen
    Beratung
  • Innerhalb eines Monats detaillierten Berichts an das CSIRT übermitteln (inkl. Informationen zu Schweregrad, interne und grenzüberschreitende Auswirkungen, Ursache, Abhilfemaßnahmen)
    Beratung

Grau = softwarebasierte Lösung | Weiß = Beratung & Konzeption

CSIRT (Computer security incident response team) = behördliches Computer-Notfallteam

Alles aus einer Hand!

Das zertifizierte Team von solbytech begleitet Ihr Unternehmen umfassend im Prozess NIS-2. Neben den softwarebasierten Paketen, ist es uns auch möglich die Beratungsleistungen zu erfüllen. Jetzt Kontakt aufnehmen & Details einholen.

Rechtzeitig aktiv werden & Ressourcen einplanen!

Die NIS 2 Richtlinie der EU hat das Ziel, ein hohes gemeinsames Cybersicherheitsniveau zu schaffen – und das möglichst bald. Bereits am 16. Jänner 2023 trat die neue Richtlinie zur Netz- und Informationsystemsicherheit in Kraft. Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die nötigen Maßnahmen umzusetzen. Bei Nichteinhaltung drohen empfindliche Strafen.

Darum informieren Sie sich rechtzeitig und entgehen Sie empfindlichen Strafen. Das Team von solbytech steht ihnen gerne in allen Belangen rund um die NIS-2-Regelung mit Rat & Tat zur Seite!

Erstinfo

Was ist NIS-2 und warum wurde die Richtlinie eingeführt?
Betroffenheit

Fällt Ihr Unternehmen unter die neuen Regelungen? Machen Sie jetzt den Check!
Registrierung & Meldepflichten

Welche Pflichten müssen betroffene Unternehmen erfüllen?
Strafen & Kontrollen

Welche Mechanismen zur Aufsicht und Durchsetzung gelten?
Service

Wie wir Ihnen weiterhelfen können.