Einblick in unser NIS-2 Audit Coaching

EU-NIS 2 (EU 2022/2555) Requirement

ISO/IEC 27001:2022 M=Main A=Annex

⚠️ Fokus in unserem Coaching (DE-Delta)

Article 20: Governance

M.5.1; M.5.2; M.5.3; A.5.1; A.5.31; A.5.34; A.5.35; A.5.36; A.6.3

§ 38 BSIG n.F.: Wir prüfen die Nachweise über die Schulung der Geschäftsleitung und validieren ob die Billigung der Maßnahmen dokumentiert ist.

Article 21: Cyber security risk

management measure - (A) Policies on risk analysis and information system security

M.4.1; M.4.2; M.4.3; M.4.4; M.5.2; M.6.1.2; M.6.1.3; M.8.2; M.8.3; A.5.1

Wir analysieren ob der geforderte „All-Gefahren-Ansatz“ in der Risikoanalyse explizit berücksichtigt wurde.

Article 21: Cyber security risk

management measures - (B) Incident handling

A.5.24; A.5.25; A.5.26; A.5.27; A.5.28; A.6.8; A.8.16

§ 32 BSIG n.F.: Wir simulieren die Meldewege. Fokus liegt auf der Einhaltung der strikten Fristen (24h Erstmeldung / 72h Bewertung).

Article 21: Cyber security risk

management measures - (C) Business continuity, such as backup managemen and disaster recovery, and crisis management

M.8.1; M.10.1; A.5.29; A.5.30; A.8.13; A.8.14; A.8.15; A.8.16

Wir hinterfragen die Wiederherstellbarkeit im Krisenfall jenseits reiner Backups.

Article 21: Cyber security risk

management measures - (D) Supply chain security, including security-related aspects concerning the relationships between each entity and its direct suppliers or service providers

A.5.8; A.5.19; A.5.20; A.5.21; A.5.22; A.5.23; A.8.21

Wir prüfen ob unmittelbare Zulieferer in der Risikobewertung konkret erfasst sind.

Article 21: Cyber security risk

management measures - (E) Security in network and information systems acquisition, development and maintenance, including vulnerability handling and disclosure

A.5.20; A.5.24; A.5.37; A.6.8; A.8.8; A.8.9; A.8.20; A.8.21; A.8.25; A.8.26; A.8.27; A.8.28; A.8.29; A.8.30; A.8.31; A.8.32; A.8.33; A.8.34

Wir checken ob ein Prozess für Vulnerability Disclosure etabliert ist.

Article 21: Cyber security risk

management measures - (F) Policies and procedures to assess the effectiveness of cybersecurity risk- management measures

M.9.1; M.9.2; M.9.3; A.5.35; A.5.36

Wir sichten die Berichte über regelmäßige Audits und Tests.

Article 21: Cyber security risk

management measures - (G) Basic cyber hygiene practices and cybersecurity training

M.7.3; M.7.4; A.5.15; A.5.16; A.5.18; A.5.24; A.6.3; A.6.5; A.6.8; A.8.2; A.8.3; A.8.5; A.8.7; A.8.9; A.8.13; A.8.15; A.8.19; A.8.22

Wir kontrollieren die Schulungsnachweise über die Breite der Belegschaft.

Article 21: Cyber security risk

management measures - (H) Policies and procedures regarding the use of cryptography and, where appropriate, encryption

A.8.24

Wir bewerten den Einsatz von Ende-zu-Ende-Verschlüsselung auf Angemessenheit.

Article 21: Cyber security risk

management measures - (I) Human resources security, access control policies and asset management

A.5.9; A.5.10; A.5.11; A.5.12; A.5.13; A.5.14; A.5.15; A.5.16; A.5.17; A.5.18; A.6.1; A.6.2; A.6.4; A.6.5; A.6.6

Wir gehen die Konzepte für Onboarding und Offboarding durch.

Article 21: Cyber security risk

management measures - (J) The use of multi-factor authentication or continuous authentication solutions, secured voice, video and text communications 5and secured emergency communication systems within the entity, where appropriate

A.5.14; A.5.16; A.5.17; A.8.5

Wir prüfen ob MFA für Fernzugriffe und privilegierte Konten durchgängig aktiv ist.

Article 23: Reporting obligations

A.5.14; A.5.25; A.5.26; A.5.27; A.6.8

Siehe Art. 21 (b). Die praktische Funktionsfähigkeit der Meldewege zum BSI steht im Fokus.

Article 24: Use of European cybersecurity certification schemes

A.5.20; A.5.31; A.5.36

Aktuell eingeschränkt mangels EU-Schema.