bridgingIT - Menschen Methoden Lösungen

craftingIT

INFORMATION SECURITY

Unsere Leistungen im Bereich Information Security umfassen Maßnahmen und Methoden, mit denen wir Sie beim Schutz Ihrer wichtigen Daten unterstützen.

Wir begleiten Sie auf dem Weg zu einer effektiven und effizienten Umsetzung Ihrer Information Security. Dabei sind wir von der Definition des Scopes über die Identifikation und Bewertung von Assets bis hin zur konkreten Ableitung und Umsetzung von Maßnahmen der Partner an Ihrer Seite. Wir schaffen Transparenz hinsichtlich bestehender Risiken für die Informationssicherheit und entwickeln risikobasiert Lösungen, um Ihre Geschäftsprozesse optimal zu schützen.

IHR NUTZEN

Unsere strukturierte und bewährte Methode zur Einführung und Weiterentwicklung Ihres Informationssicherheits-Managementsystems schafft Transparenz hinsichtlich Ihrer kritischen Geschäftsprozesse. Mit unserem prozessualen und technischen Know-how schaffen wir mit Ihnen die Strukturen, um Schwachstellen auf verschiedenen Ebenen zeitnah zu identifizieren und risikobasiert und gezielt zu beseitigen.

UNSERE SCHWERPUNKTE

  • Wir unterstützen Sie beim Aufbau und bei der Weiterentwicklung Ihres Informationssicherheits-Managementsystems (ISMS). Dabei begleiten wir Sie auch bei der Vorbereitung von Zertifizierungen und bei der Auswahl und Implementierung geeigneter ISMS-Werkzeuge.

  • Im Rahmen des IT Risk Managements identifizieren und bewerten wir von Bedrohungen und Schwachstellen, basierend auf den anerkannten Standards ISO 31000 und ISO 27005.

  • Unsere technischen Security Consultants unterstützen Sie bei der Konzeption und Implementierung von Sicherheitsarchitekturen, dem Härten von Umgebungen, der Nachverfolgung und Behebung von Findings aus Pentests und Audits sowie bei der systematischen Adressierung der Sicherheits- und Compliance-Anforderungen in Projekten.

  • Wir unterstützen Sie bei der Etablierung effektiver Steuerungsinstrumente in den Bereichen Posture-, Patch- und Vulnerability-Management sowie beim Aufbau und bei der Weiterentwicklung eines SOC.

  • Wir unterstützen Sie bei der Konzeption Ihres Business Continuity Managements (BCM) und bei der Prüfung seiner Funktionsfähigkeit, bei der Bewertung von Sicherheitsniveaus sowie bei der Planung von Wiederanlaufplänen.

  • Dem Faktor Mensch kommt beim Thema Informationssicherheit eine große Bedeutung zu. Mit Awareness-Maßnahmen und Security-Trainings unterstützen wir Sie dabei, Mitarbeiter zu sensibilisieren und für die Herausforderungen und Bedrohungen von heute fit zu bekommen.

IT-Sicherheitsgesetz 2.0

Das im Mai 2021 in Kraft getretene IT-Sicherheitsgesetz 2.0 bringt wesentliche Veränderungen für Unternehmen mit sich. Nicht nur für Betreiber kritischer Infrastrukturen, sondern auch für bisher nicht regulierte Unternehmen werden neue Pflichten vorgegeben. Der Kreis der betroffenen Unternehmen wurde um die Unternehmen im besonderen öffentlichen Interesse (UBI) erweitert. Welche Unternehmen von der neuen UBI-Regulierung betroffen sind und welche Pflichten mit dem IT-Sicherheitsgesetz 2.0 auf diese zukommen können, stellen wir im Folgenden kurz dar:


Unternehmen im besonderen öffentlichen Interesse

UBI sind Unternehmen, die dem Gesetzgeber aus verschiedenen Gründen als besonders schützenswert erscheinen. Beispielsweise weil diese einen besonders großen Einfluss auf die deutsche Volkswirtschaft haben, oder weil in ihren Betrieben besonders hohe Mengen an Gefahrstoffen lagern.

Eines vorweg: Es gibt keine feste Liste mit Unternehmen, die der Gesetzgeber als UBI definiert. Es obliegt den Unternehmen selbst, zu prüfen, ob sie in eine der drei vom Gesetzgeber definierten UBI-Kategorien fallen.

UBI 1: Unternehmen, die unter bestimmte Teile der Außenwirtschaftsverordnung fallen (hauptsächlich Rüstungsunternehmen)

UBI 2: Die nach inländischer Wertschöpfung größten Unternehmen Deutschlands und deren wesentliche Zulieferer

UBI 3: Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung oder nach § 1 Absatz 2 der Störfall-Verordnung gleichgestellte Unternehmen.

Pflichten für Unternehmen

UBI-1- und UBI-2-Unternehmen müssen sich beim BSI registrieren und eine Selbsterklärung zur IT-Sicherheit in ihrem Unternehmen einreichen. Zudem müssen sie Details zu bestimmten IT-Störungen an das BSI melden. UBI-3-Unternehmen müssen ebenfalls bestimmte IT-Störungen melden, sind jedoch nicht zur Registrierung oder Abgabe einer Selbsterklärung verpflichtet.

KRITIS-Betreiber müssen Systeme zur Angriffserkennung implementieren.

Inkrafttreten der Pflichten

Für UBI-1-Unternehmen treten die Pflichten zum 01.05.2023 in Kraft. Für UBI-2-Unternehmen treten diese zwei Jahre nach Bekanntgabe der Kriterien für die Einordnung als UBI-2-Unternehmen in Kraft. Die Pflicht zur Meldung von IT-Störungen in UBI-3-Unternehmen trat im November 2021 in Kraft.

Die Pflicht zum Einsatz von Angriffserkennungssystemen in KRITIS-Unternehmen tritt zum 01.05.2023 in Kraft.

Unterstützung durch bridgingIT

Wir als bridgingIT unterstützen Sie über den gesamten Prozess der Einführung des IT-Sicherheitsgesetzes 2.0. Zu Beginn dieses Prozesses analysieren wir mit Ihnen, ob und in welchem Umfang Ihr Unternehmen betroffen ist. Sollte sich herausstellen, dass das Gesetz konkrete Auswirkungen auf Sie hat und Sie z. B. bestimmte IT-Störungen an das BSI melden müssen, so evaluieren wir gemeinsam, an welche bereits bestehenden Prozesse angedockt werden kann, wo es neuer Prozesse bedarf und wie wir Ihnen bei deren Operationalisierung helfen können. Dabei bringen wir die jahrelange, aus den verschiedensten Branchen gewonnene Erfahrung unserer Consultants in den Bereichen Datensicherheit, IT-Sicherheit und Prozessgestaltung zum Tragen.

REFERENZEN