Informationssicherheit

Hackerangriffe, gesetzliche Anforderungen oder die Digitalisierung machen es notwendig, dass sich auch kleine und mittelständische Unternehmen intensiv mit dem Thema Informationssicherheit auseinandersetzen müssen. Häufig verschwimmen Anforderungen zwischen Datenschutz und Informationssicherheit in der praktischen Umsetzung und werden einzeln betrachtet. Ein ganzheitliches Verständnis und die große Expertise von NNW Consulting sowohl im Bereich der Informationssicherheit als auch im Datenschutz, ermöglichen ein abgestimmtes und effizientes Vorgehen bei der Umsetzung und Etablierung der entsprechenden Vorgaben.  

Die diversen ISO-2700x Normen spezifizieren die Anforderungen an Unternehmen, die ein Informationssicherheits-Managementsystem (ISMS) aufbauen, betreiben, überprüfen und verbessern und Konformität zur ISO/IEC 27001 herstellen möchten. Diese Anforderungen bilden den Maßstab für eine Zertifizierung eines ISMS für Unternehmen.

Das gleiche gilt für die IT-Grundschutz Kataloge des BSI. Egal ob mit den einzelnen Katalogen oder mit dem Grundschutzkompendium - bei Anwendung erreichen Sie einen Standard in zweierlei Hinsicht. Einerseits folgt man einer bewährten Methodik, um das Niveau der Informationssicherheit für das eigene Unternehmen jeder Größenordnung zu erhöhen. Die Angebote des IT-Grundschutzes gelten in Verwaltung und Wirtschaft als Maßstab, wenn es um die Absicherung von Informationen und den Aufbau eines Managementsystems für Informationssicherheit geht. Dabei ist der IT-Grundschutz durch seine Kompatibilität zu ISO 27001 zusätzlich auch international angesehen. Besonders in Zeiten steigender Cyber-Kriminalität fordern Geschäftspartner einen Zertifizierungsnachweis und ein funktionierendes Informationssicherheitsmanagementsystem.  

Auch neue Themen rollen bereits 2024 und 2025 auf Privatbanken, Volksbanken und Sparkassen zu. Neben der methodischen und operativen Einführung von RiMaGo steht der Digital Operational Resilience Act (DORA) in den Startlöchern. Die Anforderungen sind bis zum 17. Januar 2025 ohne nationale Umsetzung vollständig einzuhalten. DORA greift Anforderungen bestehender Verordnungen wie der BaFin oder des BSI auf, konkretisiert sie und ergänzt sie um neue Elemente. Im Wesentlichen lassen sich die Anforderungen des Digital Operational Resilience Acts in diese sechs Themengebiete unterteilen:

• Etablierung eines Rahmenwerks für das IKT-Risikomanagement Art.15
• Steuerung des IKT-Drittparteienrisikos Art. 28
• Behandlung, Klassifizierung und Berichterstattung von IKT-Vorfällen Art. 18
• Testen der operativen Resilience Art. 26
• Schaffung eines Überwachungsrahmens für kritische IKT-Drittdienstleister Art. 31
• Informationsaustausch Art.45

DORA hat zum Ziel die Sicherheit und die operationelle Resilienz der Banken und Sprakssen inklusive der IKT-Drittdienstleister zu stärken. Innerhalb des Finanzsektors soll die Anfälligkeit für IKT-Störungen und Cyberbedrohungen reduziert werden. Darüber hinaus ist es Ziel der Verordnung, nationale Vorschriften für die IKT-Sicherheit im Finanzsektor EU-weit zu harmonisieren und einen einheitlichen Aufsichts- und Rechtsrahmen zu schaffen. Der Digital Operational Resilience Act (DORA) soll sicherstellen, dass der Banken- & Sparkassensektor sowie ihre IKT-Dienstleister auf Bedrohungen und Störungen der IKT angemessen reagieren und negative Auswirkungen minimiert werden.