5
NIS2 - verständlich erklärt?
Guten Abend,
momentan hört und ließt man viel von NIS2. Was dies grundsätzlich ist, ist mir klar.
Ich hab auch schon ein paar Webinare dazu gesehen.
Aber kann mir jemand konkret sagen WAS genug ich für Punkte zu erfüllen habe? Beispiele…
Was für Systeme brauche ich?
Jetzt keine Markennamen, sondern welche Aufgaben müssen sie erfüllen.
Bei allen Infos oder Webinare bekommt man nur das Gefühl, dass man das selbst gar nicht umsetzen kann…
Wäre da für Tips dankbar.
momentan hört und ließt man viel von NIS2. Was dies grundsätzlich ist, ist mir klar.
Ich hab auch schon ein paar Webinare dazu gesehen.
Aber kann mir jemand konkret sagen WAS genug ich für Punkte zu erfüllen habe? Beispiele…
Was für Systeme brauche ich?
Jetzt keine Markennamen, sondern welche Aufgaben müssen sie erfüllen.
Bei allen Infos oder Webinare bekommt man nur das Gefühl, dass man das selbst gar nicht umsetzen kann…
Wäre da für Tips dankbar.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7280975985
Url: https://administrator.de/contentid/7280975985
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
5 Kommentare
Neuester Kommentar
Kommt auch darauf an, wo du sitzt. Gewerk, Branche usw
Bei NIS2 ghts jetzt mal darum, dass man eine Risikomanagement anpasst.
Als erstes macht man eine Gefahrenanalyse (physisch und digital). Diese Analyse muss ständig durchgeführt und überwacht werden.
Und dann gehts darum, die gefundenen Schwachstellen auszumerzen. Mn muss Schutzmaßnahmen einführen. Das heißt, es braucht ein aktives Risikomanagement. TOMs einführen/anpassen um die Gefahren zu verhindern oder zumindest die Auswirkungen zu schmälern. Im Grunde liegt man da bei ISO 27001/2.
Die genauen Anforderungen dürften dann im Oktober bekannt sein.
"Konkret" heißt das
Konzept für Risikoanalyse und die IT-Security
Incident Management. Was mache ich im Fall X genau?
Prevention & Detection. Absichern schon bei Erwerb, Entwicklung und Wartung von IT-Systemen
Business Continuity. Backup und Notfallmagement, damit der Betrieb weitergehen kann.
Supply Chain. Sicherheit in der Lieferkette.
Zero Trust (MFA, cert)
Verschlüsselungskonzept
Awareness. Schulung eigener Mitarbeiter. Schlagwort: Cyberhygiene
Access Control. Auswahl der betroffenen Mitarbeiter (keine bösen Buben) und Zutrittskontrolle
Risk & Compliance. Risikoanalyse mit Bewertung und pipapo.
Insgesamt soll man sich an dem hier orientieren:
IT-Grundschutz nach BSI und BSI-Gesetz
ISO-Reihe 27000 (explizit 27001/2)
Zero Trust nach CISA
NIST Framework
CIS Critical Security Control
Als erstes macht man eine Gefahrenanalyse (physisch und digital). Diese Analyse muss ständig durchgeführt und überwacht werden.
Und dann gehts darum, die gefundenen Schwachstellen auszumerzen. Mn muss Schutzmaßnahmen einführen. Das heißt, es braucht ein aktives Risikomanagement. TOMs einführen/anpassen um die Gefahren zu verhindern oder zumindest die Auswirkungen zu schmälern. Im Grunde liegt man da bei ISO 27001/2.
Die genauen Anforderungen dürften dann im Oktober bekannt sein.
"Konkret" heißt das
Konzept für Risikoanalyse und die IT-Security
Incident Management. Was mache ich im Fall X genau?
Prevention & Detection. Absichern schon bei Erwerb, Entwicklung und Wartung von IT-Systemen
Business Continuity. Backup und Notfallmagement, damit der Betrieb weitergehen kann.
Supply Chain. Sicherheit in der Lieferkette.
Zero Trust (MFA, cert)
Verschlüsselungskonzept
Awareness. Schulung eigener Mitarbeiter. Schlagwort: Cyberhygiene
Access Control. Auswahl der betroffenen Mitarbeiter (keine bösen Buben) und Zutrittskontrolle
Risk & Compliance. Risikoanalyse mit Bewertung und pipapo.
Insgesamt soll man sich an dem hier orientieren:
IT-Grundschutz nach BSI und BSI-Gesetz
ISO-Reihe 27000 (explizit 27001/2)
Zero Trust nach CISA
NIST Framework
CIS Critical Security Control
2
Die erste Frage ist doch, ob dein Unternehmen überhaupt darunter fällt bzw. fallen wird.
Und mal von NIS2 abgesehen, sollte von gewissen erhöhten Anforderungen, das meiste schon umgesetzt sein, sofern man im Unternehmen ein ISMS nach der Normenreihe ISO 27X oder ähnlichen implementiert hat.
Wenn ihr euch allerdings schon bisher nicht damit befasst habt, dann wird die NIS2-Umsetzung für euch tatsächlich eine Herausforderung gigantischen Ausmaßes und ihr stochert weiterhin im Nebel, was denn nun zu tun sei.
Als Startpunkt für NIS2 / Kritis / BSI-Dachgesetz etc.
https://www.openkritis.de
Und mal von NIS2 abgesehen, sollte von gewissen erhöhten Anforderungen, das meiste schon umgesetzt sein, sofern man im Unternehmen ein ISMS nach der Normenreihe ISO 27X oder ähnlichen implementiert hat.
Wenn ihr euch allerdings schon bisher nicht damit befasst habt, dann wird die NIS2-Umsetzung für euch tatsächlich eine Herausforderung gigantischen Ausmaßes und ihr stochert weiterhin im Nebel, was denn nun zu tun sei.
Als Startpunkt für NIS2 / Kritis / BSI-Dachgesetz etc.
https://www.openkritis.de
2
Moin @11020714020,
👏👏👏
👍👍👍
Definitiv ja, sprich ... 😱
Gruss Alex
Die erste Frage ist doch, ob dein Unternehmen überhaupt darunter fällt bzw. fallen wird.
👏👏👏
Und mal von NIS2 abgesehen, sollte von gewissen erhöhten Anforderungen, das meiste schon umgesetzt sein, sofern man im Unternehmen ein ISMS nach der Normenreihe ISO 27X oder ähnlichen implementiert hat.
👍👍👍
Wenn ihr euch allerdings schon bisher nicht damit befasst habt, dann wird die NIS2-Umsetzung für euch tatsächlich eine Herausforderung gigantischen Ausmaßes und ihr stochert weiterhin im Nebel, was denn nun zu tun sei.
Definitiv ja, sprich ... 😱
Gruss Alex
Guten Morgen.
Da bist du aber spät dran
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L255 ...
Bei Werbeveranstaltung geh ich einfach aus dem Online Meeting oder vor Ort auf die Toilette ohne wiederzukehren. Klar, der normal IT Angestellte hält es bis zum Ende durch, schließlich eine Abwechslung.
Bei letzterem steige ich aus sobald es (für mich) Quatsch wird bzw. nicht (mehr) gewinnbringend und zahle auch nicht den Vollpreis. Aber bei sowas ist die Zielgruppe eher der Zertifikatsjäger und -sammler.
Da bist du aber spät dran
Aber kann mir jemand konkret sagen WAS genug ich für Punkte zu erfüllen habe? Beispiele…
Schau mal hier, z.B. Artikel 21https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L255 ...
Bei allen Infos oder Webinare bekommt man nur das Gefühl, dass man das selbst gar nicht umsetzen kann…
Ich trenne hier kostenlose Werbeveranstaltung von bezahlten Webinaren:Bei Werbeveranstaltung geh ich einfach aus dem Online Meeting oder vor Ort auf die Toilette ohne wiederzukehren. Klar, der normal IT Angestellte hält es bis zum Ende durch, schließlich eine Abwechslung.
Bei letzterem steige ich aus sobald es (für mich) Quatsch wird bzw. nicht (mehr) gewinnbringend und zahle auch nicht den Vollpreis. Aber bei sowas ist die Zielgruppe eher der Zertifikatsjäger und -sammler.
