survial555
Goto Top

NIS2 - verständlich erklärt?

Guten Abend,
momentan hört und ließt man viel von NIS2. Was dies grundsätzlich ist, ist mir klar.
Ich hab auch schon ein paar Webinare dazu gesehen.
Aber kann mir jemand konkret sagen WAS genug ich für Punkte zu erfüllen habe? Beispiele…
Was für Systeme brauche ich?
Jetzt keine Markennamen, sondern welche Aufgaben müssen sie erfüllen.
Bei allen Infos oder Webinare bekommt man nur das Gefühl, dass man das selbst gar nicht umsetzen kann…
Wäre da für Tips dankbar.

Content-Key: 7280975985

Url: https://administrator.de/contentid/7280975985

Printed on: May 20, 2024 at 12:05 o'clock

Member: Mystery-at-min
Mystery-at-min Apr 17, 2024 at 22:15:40 (UTC)
Goto Top
Kommt auch darauf an, wo du sitzt. Gewerk, Branche usw
Member: kpunkt
kpunkt Apr 18, 2024 updated at 05:06:49 (UTC)
Goto Top
Bei NIS2 ghts jetzt mal darum, dass man eine Risikomanagement anpasst.
Als erstes macht man eine Gefahrenanalyse (physisch und digital). Diese Analyse muss ständig durchgeführt und überwacht werden.
Und dann gehts darum, die gefundenen Schwachstellen auszumerzen. Mn muss Schutzmaßnahmen einführen. Das heißt, es braucht ein aktives Risikomanagement. TOMs einführen/anpassen um die Gefahren zu verhindern oder zumindest die Auswirkungen zu schmälern. Im Grunde liegt man da bei ISO 27001/2.
Die genauen Anforderungen dürften dann im Oktober bekannt sein.

"Konkret" heißt das

Konzept für Risikoanalyse und die IT-Security
Incident Management. Was mache ich im Fall X genau?
Prevention & Detection. Absichern schon bei Erwerb, Entwicklung und Wartung von IT-Systemen
Business Continuity. Backup und Notfallmagement, damit der Betrieb weitergehen kann.
Supply Chain. Sicherheit in der Lieferkette.
Zero Trust (MFA, cert)
Verschlüsselungskonzept
Awareness. Schulung eigener Mitarbeiter. Schlagwort: Cyberhygiene
Access Control. Auswahl der betroffenen Mitarbeiter (keine bösen Buben) und Zutrittskontrolle
Risk & Compliance. Risikoanalyse mit Bewertung und pipapo.

Insgesamt soll man sich an dem hier orientieren:
IT-Grundschutz nach BSI und BSI-Gesetz
ISO-Reihe 27000 (explizit 27001/2)
Zero Trust nach CISA
NIST Framework
CIS Critical Security Control
Member: MayBeSec
MayBeSec Apr 18, 2024 at 05:07:16 (UTC)
Goto Top
Die erste Frage ist doch, ob dein Unternehmen überhaupt darunter fällt bzw. fallen wird.

Und mal von NIS2 abgesehen, sollte von gewissen erhöhten Anforderungen, das meiste schon umgesetzt sein, sofern man im Unternehmen ein ISMS nach der Normenreihe ISO 27X oder ähnlichen implementiert hat.

Wenn ihr euch allerdings schon bisher nicht damit befasst habt, dann wird die NIS2-Umsetzung für euch tatsächlich eine Herausforderung gigantischen Ausmaßes und ihr stochert weiterhin im Nebel, was denn nun zu tun sei.

Als Startpunkt für NIS2 / Kritis / BSI-Dachgesetz etc.
https://www.openkritis.de
Member: MysticFoxDE
MysticFoxDE Apr 18, 2024 updated at 05:18:02 (UTC)
Goto Top
Moin @MayBeSec,

Die erste Frage ist doch, ob dein Unternehmen überhaupt darunter fällt bzw. fallen wird.

👏👏👏

Und mal von NIS2 abgesehen, sollte von gewissen erhöhten Anforderungen, das meiste schon umgesetzt sein, sofern man im Unternehmen ein ISMS nach der Normenreihe ISO 27X oder ähnlichen implementiert hat.

👍👍👍

Wenn ihr euch allerdings schon bisher nicht damit befasst habt, dann wird die NIS2-Umsetzung für euch tatsächlich eine Herausforderung gigantischen Ausmaßes und ihr stochert weiterhin im Nebel, was denn nun zu tun sei.

Definitiv ja, sprich ... 😱

Gruss Alex
Member: nachgefragt
nachgefragt Apr 18, 2024 updated at 05:53:37 (UTC)
Goto Top
Guten Morgen.

Zitat von @survial555:
momentan hört und ließt man viel von NIS2.
Da bist du aber spät dran face-smile
Aber kann mir jemand konkret sagen WAS genug ich für Punkte zu erfüllen habe? Beispiele…
Schau mal hier, z.B. Artikel 21
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L255 ...
Bei allen Infos oder Webinare bekommt man nur das Gefühl, dass man das selbst gar nicht umsetzen kann…
Ich trenne hier kostenlose Werbeveranstaltung von bezahlten Webinaren:
Bei Werbeveranstaltung geh ich einfach aus dem Online Meeting oder vor Ort auf die Toilette ohne wiederzukehren. Klar, der normal IT Angestellte hält es bis zum Ende durch, schließlich eine Abwechslung. face-wink
Bei letzterem steige ich aus sobald es (für mich) Quatsch wird bzw. nicht (mehr) gewinnbringend und zahle auch nicht den Vollpreis. Aber bei sowas ist die Zielgruppe eher der Zertifikatsjäger und -sammler.