Anforderungen...Siehe VERORDNUNG (EU) 2022/2554 KAPITEL I Allgemeine Bestimmungen Artikel 1

• Management System welches die Aufgaben steuert (Governance),
• Risikomanagement, und Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaß-nahmen im Bereich der Cybersicherheit,
• Bewältigung von Sicherheitsvorfällen,
• Meldewesen: Meldung von größeren Vorfällen an Behörden,
• Aufrechterhaltung des Betriebs: Prüfung der digitalen operativen Belastbarkeit (Krisenmanagement, Notfallmanagement, Wiederherstellung, Wiederanlauf, Backups...),
• Testen der digitalen operationalen Resilienz,
• Supply Chain / Lieferantenbeziehungen: Risikomanagement für Dritte, Überwachung von Drittanbietern bezüglich Risiken, Klärung von Vertragsbestimmungen, Beaufsichtigung kritischer Drittanbieter, Aufsichtsrahmen für kritische IKT-Drittanbieter,
• Informationsaustausch, Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen
• Registrierung des Unternehmens, etc.

Befugnisse Europäischer / Nationaler Aufsichtsbehörden ab dem Januar 2025 gegenüber kritischen Informationsdient und Kommunikationstechnologie (IKT)-Drittdienstleistern:

(Details siehe ERORDNUNG (EU) 2022/2554 Artikel 35 - Befugnisse der federführenden Überwachungsbehörde)

• Informationen anzufordern,
• Prüfungen, Vor-Ort Prüfungen und Untersuchungen durchführen,
• Empfehlungen aussprechen Informationssicherheit z.B. Patching, Updates, Verschlüsselung,
• Empfehlungen zu Geschäftsbedingungen und Vergabe von Unteraufträgen
• öffentliche Bekanntgaben zu Unternehmen und deren Informationssicherheitsstatus und Sanktionsstatus,
• Aussetzung von Diensten!
  

Der einfache übersichtliche transparente Weg - lassen Sie uns darüber sprechen:

Die IEC/ISO 27001 und die ISO 22301 bieten hervorragende Ausgangspunkte

Ich begleite Sie, vom ersten Schritt an, mittendrinn, wenn Sie wünschen bis zur Zertifizierung, es ist kompliziert, aber es kann einfach werden, wenn der "Rote Faden" vorliegt, z.B.

• Handlungsbedarf festlegen
• Ziele und Akzeptanzkriterien festlegen
• Scope / Geltungsbereich festlegen
• Interessierte Parteien und Anforderungen definieren
• Ist-Soll Vergleich / Gap Analyse / Dokumentenprüfung / Internes Audit
• Liste der zu erarbeitende Ergebnisse definieren
• Projekt definieren
• Projektorganigramm / Projekt Mitarbeiter festlegen
• Kommunikationswege festlegen
• Begriffe definieren
• ISMS Basics festlegen, erarbeiten und definieren
• ISMS Leitlinie definieren, ISMS Rollen definieren
• Firmenorganisation / Kontext definieren
• ISMS Organisation, ISB, ISK, ISM, DSB
• Informations-Sicherheit Anforderungen
• Projekt Anforderungen / Projekt Management
• Dienstleister / Lieferantenmanagement
• Asset Management
• Risiko Management
• Prozessüberwachung / Monitoring
• Incident Mgmt / Problem Management / Playbooks / Event Management
• Schwachstellen Management / Patch Management / End Point Detection
• Personalführung / Schulungskonzept / ISMS vom Recruiting bis zur Trennung
• Physische Sicherheit
• IT Sicherheit / Cyber Security / Security Operations Center (SOC)
• Identity and Access Management
• Operations-Security / Betrieb / Produktion / Entwicklung / OT
• Business Continuity Management
• Business Impakt Analysen
• Notfallpläne / Testpläne
• Backup / Wiederherstellung
• Wiederanlaufpläne
• Datenschutz, DSGVO, AVZ
• Erarbeitung der Ergebnis-Dokumente (Vorgaben, Nachweise, Schulungen, Kommunikation, Arbeitsanweisungen, Mapping auf Normative Anforderungen, Übersicht für Audits)
• Begleitung bis hin zum Audit wenn gewünscht
• Lessons learned und Übergabe

Basierend auf der ISO/IEC 27001 und EN ISO 22301