01
Prüfung der Rechtslage
Sind Sie von der NIS-2-Richtlinie betroffen? Im Rahmen einer Analyse wird geprüft, ob Ihr Unternehmen mit seinem Angebot in einen der 18 Sektoren des Gesetzes fällt. Ergänzend ist zu empfehlen, eine Prüfung durchzuführen, ob ihre wichtigsten Kunden dies tun. Denn auch wenn Sie selbst nicht betroffen sind, könnten indirekt ggf. durch deren Berichtspflicht zur Lieferkette wiederum Anforderungen an Sie gestellt werden.
02
Gap-Analyse
Auf Basis der Anforderungen des Gesetzes werden die gegebenen Bedingungen, Richtlinien, Prozesse und Cybersicherheitsvorkehrungen der Organisation auf ausreichende Eignung hinsichtlich der Erfüllung der gesetzlichen Anforderungen geprüft. Sofern die Konformität mit den Anforderungen festgestellt wird, wird dies dokumentiert und zur Wahrung der Berichtspflicht verwendet. Bei festgestellten Abweichungen sind konkrete und zielgerichtete Maßnahmen erforderlich, die auf der Grundlage der gesetzlichen Anforderungen und betrieblichen Rahmenbedingungen zeitnah umgesetzt werden sollten.
03
Maßnahmen
Wir konzipieren, planen und begleiten Sie bei der Umsetzung der Anforderungen in der vorliegenden Umgebung und bringen dabei unsere ISO27001-, TISAX®, Notfallmangement- und IT-Erfahrungen ein. Es erfolgt eine umfassende Definition konkreter organisatorischer und technischer Maßnahmen inkl. Umsetzung in einem starken Cybersicherheitsrahmen (ggf. mit einem ISMS-Tool).
04
Betrieb und laufende Optimierung
Das einmal definierte und eingeführte NIS-2-konforme System muss initial dokumentiert sein und ist laufend anzupassen. Daher ist die Entwicklung und Implementation von Überwachungsmechanismen zur kontinuierlichen Überprüfung der Wirksamkeit erforderlich. Wit definieren Übungen, trainieren die in den Plänen beschriebenen Abläufe, schaffen routinierte Handlungsabläufe und verifizieren die effiziente Funktionalität der Lösungen. Damit verbessert sich die Reaktionsfähigkeit sowie die Handlungssicherheit der Mitarbeiter. Neben dem Test der realen Lösung sind auch Verbesserungsmöglichkeiten zu prüfen. Wichtig ist vor allem die Sicherstellung der Berichtspflichten, da es hier konkrete inhaltliche und enge zeitliche Vorgaben gibt.
Gerne arbeite ich beim nächsten Projekt wieder mit Herrn Salvador und Team zusammen. Danke und alles Gute!
Andreas Freitag, BMW AG
Mein TISAX® Audit verlief reibungslos und war auf Anhieb erfolgreich, wir konnten unsere Informationssicherheit gemäß TISAX® nachweisen und können damit nun neue Automotive-Kunden gewinnen.
Lücken in unserer Vorbereitung bzw. Prüfung wurden zeitnah geschlossen und Dokumente in hoher Qualität wurden von Opexa geliefert. Das Team um Klaus Höllerer, Klaus Kilvinger und Thomas Salvador kann ich nur empfehlen.
Dr. Samir Kadunic, MAASU GmbH
Bei der Prüfung von Kundenanforderungen im Bereich TISAX® gab es dringenden Beratungsbedarf im Unternehmen. Dank der Hilfe der Opexa Advisory GmbH konnten wir unsere Kundenanforderungen erfüllen und zudem unsere Ziele mit einer deutlichen Kostenersparnis erreichen.
Die Opexa Advisory ist wegen der langjährigen Automotive-Erfahrung, dem Projekt Know-how und ihrer kompetenten, effizienten und unkomplizierten Unterstützung der ideale Partner.
Herbert Schmidt, Dennemeyer & Co. GmbH
Was unsere Kunden sagen
Häufige Fragen zur
NIS-2 - Richtlinie
Welchen Nutzen habe ich konkret im Unternehmen?
Wie verhält sich NIS-2 im Bereich der Lieferkette?
Die Verbesserung der Sicherheit von Lieferketten ist eines der Ziele der Richtlinie. Neben der internen Organisation ist auch die Cybersicherheit ihrer Lieferanten zu bewerten. Denn auch der Zulieferer ist wichtig, er soll sich ausreichend vor Cyberbedrohungen schützen und damit Folgeeffekte auf Ihre Organisation möglichst ausschliessen oder zumindest reduzieren.
Ohne einen effektiven Schutz der gesamten Lieferkette nützt auch die beste Absicherung von Einzelunternehmen wenig. Die NIS-2-Richtlinie hat damit eine noch breitere Wirkung auf das Umfeld! Diese Anforderung ist von vielen Unternehmen noch unterschätzt, trifft sie doch auch Organisationen, die nicht unter die kritischen Sektoren fallen.
Auf Basis der Vorgabe bauen Sie ihre Prozesse auf oder optimieren vorhandene Prozesse, z.B. im Risikomanagement, im Business Continuity Management, dem Vorfallmanagement und bei allgemeinen technischen und organisatorischen Maßnahmen sowie im Reporting.
Damit entgehen Sie Strafen durch die vereinfachte bzw. überhaupt erst mögliche Wahrnehmung von Berichtspflichten und erkennen Lücken und Ineffizienzen in der Organisation, sie sparen Kosten!
Und Sie schützen Ihr Unternehmen und minimieren die Wahrscheinlichkeit für einen Cyberangriff in der Zukunft. Sie reduzieren Ihre Cybersicherheitsrisiken, wenn im Notfall der - mit Ihnen gemeinsam vorab entwickelte - Vorfalls-Reaktionsplan vorliegt, der genau auf Ihr Unternehmen zugeschnitten ist, um schnell und effektiv auf Sicherheitsvorfälle zu reagieren.
Der Wert eines vorbereiteten Wiederanlaufplans zeigt sich in der Praxis sofort, wenn er gut geplant und geübt wurde!
Wir haben bereits ein ISMS nach ISO 27001 bzw. TISAX®, ist das ein Vorteil?
Mit dem „lebenden“ Betrieb eines solchen ISMS haben Sie bereits eine tragfähige Basis, um die Vorgaben z.B. im Risikomanagement, dem Vorfallmanagement und bei allgemeinen technischen und organisatorischen Maßnahmen sowie im Reporting zu erfüllen. Noch besser ist es, wenn das ISMS auch im Rahmen der Prüfung durch Dritte zertifiziert ist oder ein TISAX®-Label vorliegt. Im Rahmen einer Gap-Analyse sollten trotzdem mögliche Abweichungen, das Business Continuity Management und IT-spezifische Umsetzungen und Reporting geprüft werden. Der Bericht ist dann problemlos, die Anpassungen können dann nach Bedarf umgesetzt, optimiert und nachdokumentiert werden.
Was ist der effizienteste Weg?
Unsere Empfehlung für alle Unternehmen ist es, ein professionelles Informationssicherheitsmanagementsystem (ISMS) auf Basis der international anerkannten Normenreihe ISO/IEC 27000 einzuführen. Damit hat die Organisation ein System zu Abdeckung der nötigen Richtlinien, Prozesse und Nachweispflichten zur Hand. Denn im Rahmen von NIS-2 ist diese Normenreihe als Bezugsrahmen anerkannt! Die Zertifizierung gem. ISO/IEC 27001 ist das Optimum, behelfsweise kann auch der auf dieser Norm basierende umfassende Automotive-Standard TISAX® für die Vorbereitung genutzt werden (TISAX® wird in der Direktive nicht genannt). Und mit Hilfe einer digitalen ISMS-Lösung wird die Dauer und der Aufwand für die Implementierung der NIS-2-Maßnahmen reduziert. Die Lösung unterstützt Sie nicht nur dabei die Vorgaben zur Cyber- und Informationssicherheit einzuhalten, sondern auch Ihre Maßnahmen im operativen Betrieb zu managen und die Berichtspflichten zu erfüllen. Ein ISO/IEC27001-Zertifikat ist auch ein nicht zu unterschätzendes Zeichen für ihr Engagement für die Informationssicherheit an Kunden und Lieferanten sowie den Markt.
Die NIS-2-Richtlinie der EU soll das Cybersicherheitsniveau von Netz- und Informationssystemen in der Europäischen Union erhöhen, sie verpflichtet Organisationen in 18 Branchen, für ihre eigene Cybersicherheit aktiv zu werden. Die Richtlinie stellt eine Reihe von Anforderungen, darunter Berichtspflichten bei Sicherheitsvorfällen und Vorgaben zum Risikomanagement. Alle in der EU aktiven Unternehmen sollten sich daher mit den Anforderungen der NIS-2 auseinandersetzen, frühzeitig Maßnahmen ergreifen und die Vorgaben der NIS-2 – schon aus Eigeninteresse – möglichst rasch umsetzen. Opexa hilft Ihnen, Ihr Unternehmen schnell und effizient NIS-2-konform auszurichten. Nutzen Sie unsere kostenlose NIS-2-Readiness-Checkliste für NIS-2-Einrichtungen, um ihre Konformität zu prüfen!
