Programm NIS-2-Congress

Benjamin Kahler | Teamleiter GRC/IT-Security | IT4IPM GmbH

Die 10 Risikomanagementmaßnahmen gem. §30 bilden einen wesentlichen Bestandteil der Richtlinie und sind von entscheidender Bedeutung für die Sicherheit digitaler Infrastrukturen und Dienste. Unter diesen Maßnahmen versteht man eine Reihe von Schritten und Strategien, die darauf abzielen, Risiken zu identifizieren, zu bewerten und angemessen zu behandeln, um die Widerstandsfähigkeit gegenüber Cyberbedrohungen zu stärken. Bei der Umsetzung dieser Maßnahmen haben Unternehmen die Wahl zwischen der Entwicklung eigener Methoden oder der Orientierung an bewährten Verfahren und Standards. Eigenentwickelte Ansätze bieten möglicherweise eine bessere Anpassungsfähigkeit an spezifische Anforderungen, können jedoch mit höheren Kosten und einem erhöhten Risiko unzureichender Wirksamkeit verbunden sein. Die Nutzung von Best-Practice-Ansätzen hingegen bietet den Vorteil bewährter Methoden und kann eine effizientere Implementierung ermöglichen, birgt jedoch das Risiko einer mangelnden Flexibilität und möglicher Inkompatibilität mit vorhandenen Strukturen. Unternehmen müssen daher sorgfältig abwägen, welche Umsetzungsmöglichkeiten am besten zu ihren individuellen Bedürfnissen und Ressourcen passen.

Christian Böhm | Senior Consultant ISMS und IT-Sicherheit | ausecus GmbH

ISMS nach ISO 27001 gilt als der de facto Standard für Informationssicherheitsmanagementsysteme und bietet einen umfassenden Rahmen für die Entwicklung, Implementierung, Überwachung und kontinuierliche Verbesserung eines robusten Informationssicherheitsmanagements. Im Vergleich zu anderen Standards wie B3S, BSI IT-Grundschutz, IEC 62443 und dem NIST Cybersecurity Framework bietet ISO 27001 eine breite Anerkennung und Akzeptanz auf globaler Ebene. Die Bestandteile und der Aufbau eines ISMS nach ISO 27001 umfassen unter anderem die Festlegung des Anwendungsbereichs, die Risikobewertung und -behandlung, die Implementierung von Sicherheitskontrollen sowie die kontinuierliche Überwachung und Verbesserung des Systems. Bei der Einführung eines ISMS nach ISO 27001 ist eine strukturierte Vorgehensweise entscheidend, die die Einbeziehung der relevanten Stakeholder, eine gründliche Risikoanalyse und die Festlegung klarer Ziele und Verantwortlichkeiten umfasst. Wichtige Erfolgskriterien für die erfolgreiche Implementierung eines ISMS sind unter anderem die Unterstützung der Unternehmensleitung, die Bereitstellung angemessener Ressourcen, die Schulung der Mitarbeiter und die kontinuierliche Überprüfung und Anpassung des Systems an sich ändernde Anforderungen und Bedrohungen. Ein schlankes ISMS, das sich auf die wesentlichen Risiken und Kontrollen konzentriert, kann dazu beitragen, die Effizienz und Wirksamkeit des Systems zu verbessern und übermäßige Bürokratie zu vermeiden. Für Neueinsteiger empfiehlt sich ein schrittweiser Ansatz, der mit einer gründlichen Analyse der eigenen Situation und Bedürfnisse beginnt, gefolgt von der schrittweisen Implementierung und Anpassung des ISMS unter Berücksichtigung bewährter Praktiken und Erfahrungen.

Georg Hoerner | Technisches Büro Georg Hoerner GmbH

Wie betreibe und steuere ich meine Prozesse und die eingesetzten IT / OT -Technologien im Kontext der vielfältigen Anforderungen an die Informationssicherheit? 
Dieser Kontext ergibt sich beispielsweise aus den Anforderungen der produzierten Waren oder Dienstleistungen eines Unternehmens und den Anforderungen der interessierten Parteien (ISMS-Jargon): Behörden & Gesetze, Kunde, Lieferanten/ Partner, Mitarbeiter, Shareholder, Internes und externes Umfeld, Betriebsrat, etc…
Die Implementierung, Betrieb, sowie die Aufrechterhaltung eines Informationssicherheitsmanagementsystems (ISMS), im Spannungsfeld dieses Konglomerats an Anforderungen, erfordert die engagierte, kontinuierliche Unterstützung der Geschäftsleitung. Der Aufwand zum Betrieb eines ISMS kann je nach Größe und Komplexität des Unternehmens variieren, erfordert jedoch in der Regel – Budget, Tools, Personal und Zeit. Die Zertifizierung des ISMS kann für einige Unternehmen eine freiwillige Entscheidung sein, um ihr Engagement für Informationssicherheit zu demonstrieren oder um Wettbewerbsvorteile zu erlangen. Für andere Unternehmen kann die Zertifizierung jedoch eine verpflichtende Anforderung sein, die von Kunden, Partnern oder gesetzlichen Vorgaben vorgegeben wird. Unabhängig davon, ob eine Zertifizierung angestrebt wird oder nicht, erfordert der Betrieb eines ISMS einen kontinuierlichen Aufwand, um sicherzustellen, dass die Sicherheitsmaßnahmen aktuell sind, den sich ändernden Bedrohungen und Anforderungen gerecht werden und einen effektiven Schutz der Unternehmensdaten gewährleisten. 
Im Endeffekt dient ein ISMS auch dazu, Aufwand zu minimieren, den ein Unternehmen durch bestehende und neue Nachweispflichten zu erfüllen hat.

Heiko Hußmann | Informationssicherheitsbeauftragter | Stadt Hannover

Ein effektives Risikomanagementsystem ist ein integraler Bestandteil eines ganzheitlichen Informationssicherheitsmanagementsystems (ISMS). Es gibt verschiedene Standards, die Unternehmen bei der Implementierung ihres Risikomanagements unterstützen können, darunter BSI 200-3, ISO 27005 und ISO 31000. Jeder dieser Standards bietet einen Rahmen für die Identifikation, Bewertung, Behandlung und Überwachung von Risiken, jedoch mit unterschiedlichen Schwerpunkten und Ansätzen. Der BSI 200-3-Standard konzentriert sich speziell auf die Informationssicherheit und bietet detaillierte Anleitungen und Empfehlungen für die Umsetzung eines Risikomanagementsystems in diesem Kontext. Die ISO 27005 bietet ebenfalls eine umfassende Anleitung zur Risikobewertung und -behandlung im Bereich der Informationssicherheit, während die ISO 31000 einen allgemeinen Rahmen für das Risikomanagement in allen Bereichen eines Unternehmens bereitstellt. Unser Handlungsvorschlag für Neueinsteiger besteht darin, zunächst eine gründliche Analyse der eigenen Risikosituation durchzuführen und dann den für ihre spezifischen Anforderungen am besten geeigneten Standard auszuwählen. Anschließend ist es wichtig, klare Ziele und Verantwortlichkeiten festzulegen, um das Risikomanagementsystem erfolgreich zu implementieren und kontinuierlich zu verbessern. Durch eine systematische und proaktive Herangehensweise können Unternehmen ihre Risiken effektiv managen und die Sicherheit ihrer Informationen langfristig gewährleisten.

Christian Böhm | Senior Consultant ISMS und IT-Sicherheit | ausecus GmbH

IT-Notfallmanagement und BCM (Business Continuity Management) sind zwei eng miteinander verbundene Konzepte, die darauf abzielen, die Widerstandsfähigkeit von Organisationen gegenüber Störungen und Notfällen zu stärken. Während das IT-Notfallmanagement sich auf die Wiederherstellung der IT-Infrastruktur und -Dienste nach einem Zwischenfall konzentriert, um den Geschäftsbetrieb aufrechtzuerhalten, umfasst BCM einen ganzheitlicheren Ansatz, der auch die Wiederherstellung geschäftsrelevanter Prozesse und Funktionen sowie die Bewältigung von betrieblichen, finanziellen und reputationsbezogenen Risiken umfasst. Verschiedene Standards wie BSI 200-4 und ISO 22301 bieten Rahmenwerke für die Implementierung von IT-Notfallmanagement und BCM und ermöglichen es Unternehmen, ihre Resilienz gegenüber Störungen zu verbessern. Der Nutzen und Aufwand für die Implementierung von IT-Notfallmanagement und BCM können je nach Umfang und Komplexität der Organisation variieren, jedoch können die Investitionen in diese Bereiche dazu beitragen, potenzielle Schäden zu minimieren und die Geschäftskontinuität zu gewährleisten. Unser Handlungsvorschlag für Neueinsteiger besteht darin, zunächst eine gründliche Risikoanalyse durchzuführen, um die wesentlichen Geschäftsprozesse und IT-Systeme zu identifizieren, und dann schrittweise IT-Notfallmanagement- und BCM-Maßnahmen zu implementieren, die auf die spezifischen Bedürfnisse und Risiken der Organisation zugeschnitten sind. Eine kontinuierliche Überprüfung und Anpassung dieser Maßnahmen ist entscheidend, um sicherzustellen, dass sie wirksam und angemessen bleiben.