Zum Inhalt springen

Infomationssicherheit

Cover Themenfolge NIS2 in aller Kürze - Stephan Auge

NIS2-Pflichten für Unternehmen: Das musst du wissen – Stephan Auge im Datenschutz Talk

    Die EU-Richtlinie NIS2 verpflichtet künftig deutlich mehr Unternehmen zur Umsetzung von Maßnahmen der Informationssicherheit. Doch für wen gilt die Richtlinie eigentlich? Was ist jetzt konkret zu tun? Und wo liegen die Unterschiede zur bisherigen Kritis-Regulierung oder zur Datenschutz-Grundverordnung?

    In dieser Themenfolge des Datenschutz Talks gibt Stephan Auge, Teamleiter für Managementsysteme bei migosens, einen kompakten Überblick über die aktuelle Rechtslage, die Anforderungen der Richtlinie und praktische Umsetzungsfragen.

    Was du aus dieser Folge mitnimmst:

    Was ist NIS2?

    Ziel: Harmonisierung der Cybersicherheitsstandards in der EU

    Hintergrund: Richtlinie ist seit Dezember 2022 in Kraft

    Umsetzung in nationales Recht bis Mitte/Ende 2025 (geplant)

    Abgrenzung zur DSGVO und zum Cyber Resilience Act

    Für wen gilt NIS2?

    Gilt für besonders wichtige und wichtige Einrichtungen gemäß Anlage 1 und 2 der Richtlinie

    Betrifft neben KRITIS-Unternehmen auch kleinere Unternehmen aus TK, Gesundheitswesen, Energie, Transport, Entsorgung u. v. m.

    Keine generelle Schwellenwertgrenze: auch Kleinstunternehmen können betroffen sein

    BSI stellt ein Tool zur Betroffenheitsprüfung bereit

    Welche Pflichten entstehen?

    Selbstregistrierungspflicht beim BSI innerhalb von 3 Monaten nach Inkrafttreten

    Umsetzung technischer und organisatorischer Maßnahmen (z. B. Risikomanagement, Incident-Handling, Notfallmanagement)

    Aufbau eines Informationssicherheits-Managementsystems (ISMS) analog ISO 27001

    Einführung strukturierter Prozesse zur Meldung von Sicherheitsvorfällen

    Risikobasierte oder vorfallsbezogene Prüfungspflichten je nach Kategorisierung

    Was bedeutet das für bestehende KRITIS-Unternehmen?

    Grundanforderungen weitgehend deckungsgleich mit bisherigen BSI-Nachweisverfahren

    Erleichterung: Prüfpflicht künftig nur alle drei statt alle zwei Jahre

    Synergien zwischen NIS2, ISO 27001 und Datenschutzprozessen sinnvoll nutzbar

    Herausforderungen beim Lieferkettenmanagement

    Neue Anforderungen an Zulieferer und Dienstleister mit sicherheitsrelevanter Rolle

    Verpflichtung zur vertraglichen Übernahme von Sicherheitsvorgaben

    Notwendigkeit von Audits oder anderweitiger Steuerungsmaßnahmen

    Empfehlung: Business Impact Analyse zur Priorisierung kritischer Dienstleister

    Sanktionen und Wettbewerbsvorteile

    Sanktionsrahmen: bis zu 10 Mio. Euro oder 2 % vom weltweiten Umsatz (Anlage 1)

    Für Anlage 2: bis zu 7 Mio. Euro oder 1,4 % vom Umsatz

    Frühzeitige Umsetzung von ISMS als Wettbewerbsvorteil – z. B. bei Ausschreibungen

    Informationssicherheit wird zum geschäftskritischen Erfolgsfaktor

    Keywords, die in dieser Folge behandelt werden:

    NIS2 Richtlinie 2025

    NIS2 Anforderungen Unternehmen

    Informationssicherheit Pflicht

    Cybersecurity Gesetz EU

    NIS2 Umsetzung Deutschland

    Betroffenheitsanalyse NIS2

    ISMS NIS2 ISO 27001

    Datenschutz und NIS2

    Vorfallmeldung BSI

    Lieferkettensicherheit NIS2

    Managementsystem Informationssicherheit

    DORA vs. NIS2

    Cyber Resilience Act EU

    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

    Twitter: https://twitter.com/DS_Talk

    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

    Instagram: https://www.instagram.com/datenschutztalk_podcast/

    Folge hier kommentieren: https://migosens.de/nis2-pflichten-fuer-unternehmen-das-musst-du-wissen-stephan-auge-im-datenschutz-talk/

    Computer Security Day IT-Sicherheit für Zuhause

    Home Office – IT-Sicherheit für Zuhause

      Vor genau vier Jahren hat sich unser Leben durch Corona stark verändert: Einschränkungen, Lockdowns und die Umstellung auf Homeoffice prägten unseren Alltag. Heute sind die meisten Beschränkungen aufgehoben, aber das Arbeiten von zu Hause aus ist geblieben. Deshalb werfen wir einen Blick auf technische Schutzmaßnahmen für die Informationssicherheit im Homeoffice. In früheren Artikeln haben wir bereits dargestellt, welche Maßnahmen Organisationen im Zusammenhang mit dem Homeoffice ergreifen sollten. Heute geht es darum, wie jeder Einzelne die Arbeit seines Systemadministrators mit ein paar einfachen technischen Kniffen erleichtern und seine private IT-Sicherheit verbessern kann. Unsere Checkliste soll dabei helfen, das Thema auf breiter Ebene bekannt zu machen und konkrete Anleitungen zu geben. Alle genannten Maßnahmen sind mit überschaubarem Aufwand und ohne Expertenwissen umsetzbar.

      migo Blogartikel - Integrierte Managementsysteme

      Integrierte Managementsysteme: Was macht Sinn?

        Der Ausfall eines Lieferanten oder der Angriff auf die IT-Infrastruktur sind Risiken, denen jede Organisation ausgesetzt ist. Ein angemessenes Risikomanagement als Teil eines Managementsystems in den Bereichen Qualität, Informationssicherheit, Umwelt oder anderen hilft dabei, Resilienz gegenüber derartigen Ereignissen aufzubauen.
        Die Herausforderung ist, die einzelnen Managementsysteme sinnvoll miteinander zu verbinden. Genau hier setzt ein Integriertes Managementsystem (IMS) an. Es stellt gemeinsame Management-Prozesse für mehrere Einzelsysteme bereit.

        Risikomanagement in der Informationssicherheit

        Risikomanagement in der Informationssicherheit

          Grundsätzlich befasst sich das Risikomanagement mit allen Arten von Risiken, die bei einem Unternehmen Planabweichungen auslösen können, also z.B. mit strategischen Risiken, Marktrisiken, Ausfallrisiken sowie Compliance-Risiken und Risiken der Leistungserstellung. Die Anforderungen an das Risikomanagement werden in Deutschland geprägt durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) aus dem Jahr 1998 und dem darauf aufbauenden IDW Standard zur Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB (IDW PS 340). Demnach ist jedes Unternehmen in Deutschland verpflichtet, ein unternehmerisches Risikomanagement zu betreiben.

          Episodencover Ralf Stodt Teil 2

          Wie bereite ich mich auf eine Cybersecurity-Krise vor – Dr. Ralf Stodt im Datenschutz Talk

            Im zweiten Teil unserer Mini-Serie mit Dr. Ralf Stodt sprechen wir über die Vorbereitung auf den Ernstfall. Ausgehend von der Annahme, dass es keine Frage des „ob“, sondern nur des „wann“ man selbst betroffen ist, klären wir, wie man sich auf den Ernstfall vernünftig vorbereitet. Mit guter Vorbereitung vermeidet man Fehler, die den Schaden vergrößern und/oder eine Aufklärung verhindern könnten.
            Dabei besprechen wir auch die Sinnhaftigkeit von Cybersecurity-Versicherungen, welchen Vorteil virtualisierte Systeme mit sich bringen und warum auch für Mitarbeitende eine Notfallkarte sehr wertvoll ist. Last but not least klären wir auch, wie die Wichtigkeit von Recovery-Tests (Wiederherstellungstests von erstellten Backups) einzustufen ist und worauf man sich dabei konzentrieren sollte.

            Dr. Ralf Schodt im Datenschutz-Talk

            Verbesserung der Cybersicherheit in KMU – Dr. Ralf Stodt im Datenschutz Talk

              Die Verbesserung der Cybersicherheit ist auch in kleinen und mittelständischen Unternehmen zunehmend wichtiger. Viele Unternehmer mussten das in den letzten Jahren schmerzlich lernen, die meisten können aber noch vorsorgen. Heiko Gossen geht in dieser Episode gemeinsam mit seinem Gast Dr. Ralf Stodt – Head of Security Operations bei MAGELLAN Netzwerken – der Frage nach, wie können KMU ihre Cybersicherheit auch bei kleinem Budget sinnvoll verbessern.

              Unternehmen aller Größenordnungen haben Schwachstellen. Gegenüber großen Unternehmen stehen IT-Verantwortliche in kleinen und mittelständischen Unternehmen oft vor der Herausforderung, vom ohnehin engen Budget auch einen angemessenen Security Betrieb sicherstellen zu können. Daher gehen Heiko Gossen und Dr. Ralf Stodt das Thema mal speziell für Betriebe mit limitiertem Security-Budget an. Neben der Frage, wie und wo man sich über die Bedrohungslage informieren kann, geht es auch um Aufgaben die man teilweise intern lösen kann und wie man Angriffe früh erkennen kann. Die Aufnahme erfolgte bereits im Dezember 2021.
              Kapitel:
              ▪ 00:00:00.000 Willkommen
              ▪ 00:00:20.001 Begrüßung und Vorstellung Dr. Ralf Stodt
              ▪ 00:02:44.569 Herangehensweise zur Bewertung der Bedrohungslage
              ▪ 00:07:20.524 Informationsquellen
              ▪ 00:11:43.663 Laufende Überwachung – auch von smarten Komponenten
              ▪ 00:16:11.753 Zwischensumme
              ▪ 00:17:23.099 Operational Security
              ▪ 00:19:31.248 Zwei Komponenten des Sicherheitskonzepts
              ▪ 00:22:19.301 Alarme einstellen
              ▪ 00:28:17.895 Erste Schritte zur Umsetzung
              ▪ 00:37:53.863 Angriffsziele
              ▪ 00:41:37.034 Zusammenfassung
              ▪ 00:45:01.075 Externer Support
              ▪ 00:47:55.136 Kostenlose Tools
              ▪ 00:49:38.448 Verabschiedung
              Anfang Februar folgt der zweite Teil dieser Reihe, in der die beiden sich auf eine Cybersecurity Krise vorbereiten.

              System Administrator Appreciation Day

              Informationssicherheits-Anforderungen an Systemadministratoren

                Donnerstagnacht, kurz vor 23 Uhr. Das ganze Unternehmen schläft. Das ganze Unternehmen? Nein, ein unerschrockener Held trotzt seiner Müdigkeit und installiert Server-Updates, damit seine Kollegen sicher sind, ohne ihre Arbeit unterbrechen zu müssen.
                Ungefähr so könnte die Dramaturgie am Beginn der Geschichte desjenigen Protagonisten aufgebaut werden, um den es heute geht: den Systemadministrator.
                Seit dem Jahr 2000 wird am letzten Freitag im Juli diese geschäftskritische Rolle mit ihrem eigenen, inoffiziellen Feiertag gewürdigt, dem Tag des Systemadministrators. Die englische Originalbezeichnung ist sehr viel treffender: System Administrator Appreciation Day. Und Wertschätzung haben Systemadministratoren allemal verdient.

                Standarddatenschutzklauseln

                BayLDA sieht Einsatz von Mailchimp als unzulässig an – Prüfpflichten beim Einsatz der Standarddatenschutzklauseln

                  Der EuGH erklärte im Juli 2020 nicht nur das Privacy Shiel Abkommen zwischen der EU und den USA für unwirksam – er hat den Verantwortlichen auch besondere Prüfungspflichten bei Verwendung der sogenannten Standarddatenschutzklauseln auferlegt. So müssen alle Unternehmen die bisher abgeschlossenen Verträge mit den Dienstleistern beziehungsweise Subdienstleistern außerhalb der EU und EWR neu bewerten, um festzustellen, ob bei der jeweiligen Datenübermittlung ein angemessenes Datenschutzniveau sichergestellt werden kann.

                  Starke Authentisierung statt Passwortwechsel

                  Starke Authentisierung statt Passwortwechsel

                    Heute, am 01. Februar, ist der „Ändere dein Passwort“-Tag. Wir erläutern, warum dieser Tag kaum noch Existenzberechtigung hat. Außerdem erläutern wir verschiedene für Endanwender praktikable Authentisierungsmethoden samt ihren Vor- und Nachteilen und geben Tipps für eine einfache und trotzdem sichere Authentisierung.

                    Nur noch 1 Jahr Umsetzungsfrist: IT-Sicherheitskatalog für Energieanlagen

                    IT-Sicherheitskatalog für Energieanlagen

                      Der Countdown läuft. Für Betreiber von Energieanlagen, die als kritische Infrastrukturen gelten, hat das letzte Jahr für die Umsetzung aller Anforderungen des IT-Sicherheitskataloges begonnen. Konkret bedeutet dies, dass die durch die Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung) als kritische Infrastruktur festgelegten und einem Energieversorgungsnetz angeschlossenen Betreiber die Anforderungen des IT-Sicherheitskataloges gemäß §11 (1b) EnWG umzusetzen haben.