SlideShare ist ein Scribd-Unternehmen logo
1 von 32
Downloaden Sie, um offline zu lesen
Praxistage 2024
Wie NIS2 noch rechtzeitig
umgesetzt werden kann!
Doris Ingerisch
Solution Sales Cyber Security
CYBER SECURITY
Agenda
Eckdaten und Facts
Wer ist betroffen?
Anforderungen
Was ist zu tun?
Wie NIS2 noch rechtzeitig umgesetzt werden kann!
Axians' Weg zur NIS2 readiness
Workshop, Assessment, Projekte
Lösungen und Produkte zur
Erfüllung der Anforderungen im
Detail
aufgeschlüsselt pro Anforderung
CYBER SECURITY
NIS2 – Cyberisiken reduzieren
NIS2
Network and Information Security 2
Richtlinie – Umsetzung bis 17. Oktober 2024 in nationales Gesetz
Risikomanagementmaßnahmen und Meldepflichten
Unternehmen best. Sektoren: > 50 Beschäftigte > 10 Mio €
Digitale Infrastruktur
Lieferkette
CYBER SECURITY
Anhang I
Sektoren mit hoher Kritikalität
Anhang II
Sektoren mit sonstiger
Kritikalität
NIS2
Wer ist betroffen?
magenta – neu oder Ergänzung im Sektor gegenüber NIS1
Energi
e
Verkeh
r
Bankwese
n
Finanzmarkt-
struktur
Trinkwasse
r
Abwasse
r
digitale
Infrastruktur
Gesundheits-
wesen
Weltraum
öffentliche
Verwaltung
Verwaltung von
IKT-Diensten
Post- und
Kurierdienste
Abfallbe-
wirtschaftung
Chemie
Herst./Handel
Lebensmittel
Herst./Handel
verarbeitendes
Gewerbe
Anbieter
digitaler Dienste
Forschung
Wichtige
Einrichtunge
n
= große und
mittlere
Einrichtunge
n
Wichtige
Einrichricht
ungen
= mittlere
Einrichtunge
n
Wesentliche
Einrichricht
ungen
= große
Einrichtunge
n
Mittlere Unternehmen
> 50 Beschäftigte oder
> 10 Mio Eur Jahresumsatz oder
> 10 Mio Eur Jahresbilanz
CYBER SECURITY
Wer ist betroffen?
NIS2
Großunternehmen
> 250 Beschäftigte oder
> 50 Mio Eur Jahresumsatz oder
> 43 Mio Eur Jahresbilanz
Holschuld - Registrierungspflicht!
CYBER SECURITY
Normen und Best-Practices (CIS, ISO, NIST, uvm.)
• Konzepte Risikoanalyse und Sicherheit für
Informationssysteme
• Bewältigung von Sicherheitsvorfällen
• Backup & Wiederherstellung
• Lieferkettensicherheit
• Sicherheitsmaßnahmen bei Erwerb/
Entwicklung/Wartung von IKT
• Konzepte und Verfahren zur Bewertung der
Wirksamkeit von Risikomanagementmaßnahmen
• Cyberhygiene und Schulungen zur
Cybersicherheit
• Kryptografie und ggf. Verschlüsselung
• Sicherheit des Personals , Konzepte für die
Zugriffskontrolle
• MultiFaktor Authentifizierung
• Reporting von IKT-bezogenen Vorfällen
• Schulungen Leitungsorgane
NIS2
Anforderungen
Leitungsorgane (Geschäftsführer und Vorstand): verpflichtende
Schulungen und Verantwortung
CYBER SECURITY
Berichtspflichten und Fristen
ex-ante Aufsicht UND ex-post
Aufsicht
regelmäßige und gezielte Sicherheitsprüfungen nur bei begründetem Verdacht
Vor-Ort-Kontrollen und externe Stichprobenkontrollen
Vor-Ort-Kontrollen und externe nachträgliche
Aufsichtsmaßnahmen
10 Mio Eur oder 2% des weltweiten Jahresumsatzes 7 Mio Eur oder 1,4% des weltweiten Jahresumsatzes
NIS2
Wesentliche Einrichtungen Wichtige Einrichtungen
ex-post Aufsicht
Sanktionen
Persönliche Haftung für Leitungsorgane (Geschäftsführer, Vorstand) vorübergehender Ausschluss von Leitungspersonen
CYBER SECURITY
Berichtspflichten und Fristen
NIS2
Frühwarnung
unverzüglich bis 24 Stunden nach Kenntnis
Meldung
bis 72 Stunden nach Kenntnis
Abschlussmeldung
bis 1 Monat nach Meldung
NIS Behörde
keine Harmonisierung unter den Behörden
CYBER SECURITY
Was ist zu tun?
NIS2
• IST Zustand erheben (Gaps identifizieren)
• Planen und Umsetzen (Gaps schließen)
• Regulatorischen Verpflichtungen nachgehen
• Teste die Wirksamkeit deiner Sicherheitsmaßnahmen
• Sei vorbereitet für den Fall der Fälle
IMMER ALLES DOKUMENTIEREN & Begründen (Verhältnismäßigkeit)
Praxistage 2024
Wie NIS2 noch rechtzeitig
umgesetzt werden kann!
Doris Ingerisch
Solution Sales Cyber Security
CYBER SECURITY
Agenda
Eckdaten und Facts
Wer ist betroffen?
Anforderungen
Was ist zu tun?
Wie NIS2 noch rechtzeitig umgesetzt werden kann!
Axians' Weg zur NIS2 readiness
Workshop, Assessment, Projekte
Lösungen und Produkte zur
Erfüllung der Anforderungen im
Detail
aufgeschlüsselt pro Anforderung
Projekte
Maßnahmen treffen
und Lösungen
umsetzen
Assessmen
t
Gaps analysieren
und Roadmap
erstellen
Workshop
mit NIS2 vertraut
werden
CYBER SECURITY
Axians' Weg zur NIS2 readiness
17.10.202
4
NIS
2
CYBER SECURITY
NIS2 Workshop
ORGANIZATION
Deep Dive zum Thema NIS2
Workshop
Agenda:
Fakten und Eckdaten, ggf. Klärung der Betroffenheit
Meldepflichten
Anforderungen und deren Verhältnismäßigkeit
Sanktionen
Was ist zu tun?
Interaktiv: Diskussion, Fragen & Antworten
* coming soon
INFRASTRUCTURE
 Active Directory Audit
 Vulnerability Scanning
 Attack Surface Analysis
 Server Audit
 Client Audit
 PKI Audit
 Penetration Testing
HOLISTIC
 Framework-based Assessment
 NIS2 Assessment
PEOPLE
 User Awareness Training
 Simulated Phishing Campaign
 Secure Administration Workshop
ORGANIZATION
 NIS2 Workshop
 Incident Readiness Workshop*
 ISMS Readiness Workshop*
CYBER SECURITY
NIS2 Assessment
HOLISTIC
Basierend auf den CIS Controlls
Angepasst an die Anforderungen der NIS2
Ausarbeitung des aktuellen NIS2 Compliance Status
Ergebnis: Report inkl. Handlungsempfehlungen
Gemeinsame Reportbesprechung mit Diskussion
Ideal zur strategischen und budgetären Planung (Roadmap)
Übersicht der NIS2 readiness
Erste Dokumentationen für NIS2 Audits
* coming soon
INFRASTRUCTURE
 Active Directory Audit
 Vulnerability Scanning
 Attack Surface Analysis
 Server Audit
 Client Audit
 PKI Audit
 Penetration Testing
HOLISTIC
 Framework-based Assessment
 NIS2 Assessment
PEOPLE
 User Awareness Training
 Simulated Phishing Campaign
 Secure Administration Workshop
ORGANIZATION
 NIS2 Workshop
 Incident Readiness Workshop*
 ISMS Readiness Workshop*
CYBER SECURITY
CIS Controls
Das Center for Internet Security (CIS) ist ein Zusammenschluss von Organisationen und Einzelpersonen, um Materialien und Ressourcen
zum Thema Internet-Sicherheit zur Verfügung zu stellen. Besondere Beachtung finden dabei die sogenannten Benchmarks, thematische
Zusammenstellungen von Anweisungen und Tipps, um spezifische Computersysteme im Rahmen eines Einsatzes im Internet gegen
Bedrohungen abzusichern.
1) Erstellen und pflegen Sie ein Verzeichnis
der Dienstleister
2) Erstellen und pflegen Sie eine Richtlinie
zur Verwaltung von Dienstanbietern
3) Dienstanbieter klassifizieren
4) Stellen Sie sicher, dass die Verträge der
Dienstleister Sicherheitsanforderungen
enthalten
5) Bewerten Sie Dienstleister
6) Überwachen Sie Dienstanbieter
7) Sichere Stilllegung von Dienstanbietern
CYBER SECURITY
Framework-based Assessment
HOLISTIC
Holistisches IT-Security Assessment (IST-Stand Erhebung)
Basis: “CIS Critical Security Controls” Framework
Umfasst 18 Themengebietebereiche
Assessment in Gesprächen vor Ort (1-2 Tage)
Ergebnis: Report inkl. Handlungsempfehlungen
Gemeinsame Reportbesprechung mit Diskussion
Ideal zur längerfristigen Planung (Budget, Roadmap)
* coming soon
INFRASTRUCTURE
 Active Directory Audit
 Vulnerability Scanning
 Attack Surface Analysis
 Server Audit
 Client Audit
 PKI Audit
 Penetration Testing
HOLISTIC
 Framework-based Assessment
 NIS2 Assessment
PEOPLE
 User Awareness Training
 Simulated Phishing Campaign
 Secure Administration Workshop
ORGANIZATION
 NIS2 Workshop
 Incident Readiness Workshop*
 ISMS Readiness Workshop*
Projekte
Maßnahmen treffen
und Lösungen
umsetzen
Assessmen
t
Gaps analysieren
und Roadmap
erstellen
Workshop
mit NIS2 vertraut
werden
CYBER SECURITY
Axians' Weg zur NIS2 readiness
17.10.202
4
NIS
2
CYBER SECURITY
Normen und Best-Practices (CIS, ISO, NIST, uvm.)
• Konzepte Risikoanalyse und Sicherheit für
Informationssysteme
• Bewältigung von Sicherheitsvorfällen
• Backup & Wiederherstellung
• Lieferkettensicherheit
• Sicherheitsmaßnahmen bei Erwerb/
Entwicklung/Wartung von IKT
• Konzepte und Verfahren zur Bewertung der
Wirksamkeit von Risikomanagementmaßnahmen
• Cyberhygiene und Schulungen zur
Cybersicherheit
• Kryptografie und ggf. Verschlüsselung
• Sicherheit des Personals , Konzepte für die
Zugriffskontrolle
• MultiFaktor Authentifizierung
• Reporting von IKT-bezogenen Vorfällen
• Schulungen Leitungsorgane
NIS2
Anforderungen
Leitungsorgane (Geschäftsführer und Vorstand): verpflichtende
Schulungen und Verantwortung
CYBER SECURITY
Business Continuity und
Krisenmanagement
unterstützende Leistungen von Axians:
ISMS Readiness Workshop
Incident Readiness Workshop
Retainer Service
SOC & IR
gemeinsame Aufarbeitung CIS Control 17
NIS2
Maßnahme
organisatorisch und technisch
CIS Control 17
NIS2
Artikel 21 (2) a)
Konzepte in Bezug auf die
Risikoanalyse und Sicherheit für
Informationssysteme
geeignete Maßnahmen
europäische und internationale Normen
Artikel 25
Hersteller
CYBER SECURITY
Bewältigung von Sicherheitsvorfällen
unterstützende Leistungen von Axians:
Incident Readiness Workshop
SIEM
Retainer Service
SOC & IR
XDR
EDR
gemeinsame Aufarbeitung CIS Control 17
NIS2
Maßnahme
organisatorisch und technisch
CIS Control 17
NIS2
Artikel 21 (2) b)
Bewältigung von
Sicherheitsvorfällen
Artikel 6 8.: alle Maßnahmen und
Verfahren zur Verhütung, Erkennung,
Analyse und Eindämmung von
Sicherheitsvorfällen oder die Reaktion
darauf und die Erholung davon;
Artikel 11 (5) a)
geeignete Maßnahmen
europäische und internationale Normen
Hersteller
CYBER SECURITY
Backup und Wiederherstellung
unterstützende Leistungen von Axians:
Incident Readiness Workshop
Backuplösungen
Retainer Service
SOC & IR
gemeinsame Aufarbeitung CIS Control 11
NIS2
Maßnahme
organisatorisch und technisch
CIS Control 11
NIS2
Artikel 21 (2) c)
Aufrechterhaltung des Betriebs,
wie Backup-Management und
Wiederherstellung nach einem
Notfall, und Krisenmanagement
geeignete Maßnahmen
europäische und internationale Normen
Hersteller
CYBER SECURITY
Lieferkettensicherheit
unterstützende Leistungen von Axians:
Attack Surface Analysis
Secure Administration Workshop
3-Tier/PAM (3-Schichtige Architektur + Privileged Access Management)
gemeinsame Aufarbeitung CIS Control 15
NIS2
Maßnahme
organisatorisch und technisch
CIS Control 15
NIS2
Artikel 21 (2) d)
Sicherheit der Lieferkette
einschließlich
sicherheitsbezogener Aspekte der
Beziehungen zwischen den
einzelnen Einrichtungen und ihren
unmittelbaren Anbietern oder
Diensteanbietern;
(56, 59, 85, 86, 90, 91)
Artikel 22 (1)
Hersteller
CYBER SECURITY
Sicherheit bei
Erwerb/Entwicklung/Betrieb von IKT
unterstützende Leistungen von Axians:
PAM
SIEM
Attack Surface Analysis
gemeinsame Aufarbeitung CIS Control 15
NIS2
Maßnahme
organisatorisch und technisch
CIS Control 15
NIS2
Artikel 21 (2) e)
Sicherheitsmaßnahmen bei
Erwerb, Entwicklung und Wartung
von Netz- und
Informationssystemen,
einschließlich Management und
Offenlegung von Schwachstellen
geeignete Maßnahmen
europäische und internationale Normen
Hersteller
CYBER SECURITY
Wirksamkeit und Test
unterstützende Leistungen von Axians:
Simulated Phishing Campaign
Attack Surface Analysis
Vulnerability Scanning
Penetration Testing
WebApp Testing
Active Directory Audit
PKI Audit
Server Audit
Client Audit
gemeinsame Aufarbeitung CIS Control 17
NIS2 Maßnahme
organisatorisch und technisch
CIS Control 17
NIS2
Artikel 21 (2) f)
Konzepte und Verfahren zur
Bewertung der Wirksamkeit von
Risikomanagementmaßnahmen
im Bereich der Cybersicherheit
geeignete Maßnahmen
europäische und internationale Normen
Hersteller
CYBER SECURITY
Cyberhygiene und Schulungen
unterstützende Leistungen von Axians:
User Awareness Training
Secure Administration Workshop
CIS Blueprint for Ransomware
ZeroTrust Konzepte
Netzwerksegmentierung
SSO (Single Sign-on)
3-Tier/PAM (3-Schichtige Architektur + Privileged Access Management)
Framework based Assessment
NIS2 Maßnahme
organisatorisch und teschnisch
CIS Control 04, 05, 06, 08, 09, 10,
12, 13, 14, 16
NIS2
Artikel 21 (2) g)
grundlegende Verfahren im
Bereich der Cyberhygiene und
Schulungen im Bereich der
Cybersicherheit;
(49, 50, 89)
geeignete Maßnahmen
europäische und internationale Normen
Hersteller
CYBER SECURITY
Cyberhygiene und Schulungen
unterstützende Leistungen von Axians:
User Awareness Training
Secure Administration Workshop
CIS Blueprint for Ransomware
ZeroTrust Konzepte
Netzwerksegmentierung
SSO (Single Sign-on)
3-Tier/PAM (3-Schichtige Architektur + Privileged Access Management)
Framework based Assessment
NIS2 Maßnahme
organisatorisch und teschnisch
CIS Control 04, 05, 06, 08, 09, 10,
12, 13, 14, 16
NIS2
Artikel 21 (2) g)
grundlegende Verfahren im
Bereich der Cyberhygiene und
Schulungen im Bereich der
Cybersicherheit;
(49, 50, 89)
geeignete Maßnahmen
europäische und internationale Normen
Hersteller
(89) Die wesentlichen und wichtigen Einrichtungen sollten eine breite Palette
grundlegender Praktiken der Cyberhygiene anwenden, z. B. Zero-Trust-
Grundsätze, Software-Updates, Gerätekonfiguration, Netzwerksegmentierung,
Identitäts- und Zugriffsmanagement oder Sensibilisierung der Nutzer, Schulungen
für ihre Mitarbeiter organisieren und das Bewusstsein für Cyberbedrohungen,
Phishing oder Social-Engineering-Techniken schärfen. Außerdem sollten diese
Einrichtungen ihre eigenen Cybersicherheitskapazitäten bewerten und
gegebenenfalls die Integration von Technologien zur Verbesserung der
Cybersicherheit anstreben, etwa künstliche Intelligenz oder Systeme des
maschinellen Lernens, um ihre Kapazitäten und die Sicherheit von Netz- und
Informationssystemen zu erhöhen.
CYBER SECURITY
Kryptografie und ggf. Verschlüsselung
unterstützende Leistungen von Axians:
e-mail security
Verschlüsselung von Endgeräten
gemeinsame Aufarbeitung CIS Control 3
NIS2 Maßnahme
organisatorisch und technisch
CIS Control 3
NIS2
Artikel 21 (2) h)
Konzepte und Verfahren für den
Einsatz von Kryptografie und
gegebenenfalls Verschlüsselung;;
geeignete Maßnahmen
europäische und internationale Normen
Hersteller
CYBER SECURITY
Sicherheit des Personals, Konzepte für
die Zugriffskontrolle
unterstützende Leistungen von Axians:
User Awareness Training
Secure Administration Workshop
SSO (Single Sign-on)
ZeroTrust Konzepte
3-Tier/PAM (3-Schichtige Architektur + Privileged Access Management)
Cloud Access Security Broker (CASB)
gemeinsame Aufarbeitung CIS Control 5, 6 und 14
NIS2
Maßnahme
organisatorisch und technisch
CIS Control 5, 6, 14
NIS2
Artikel 21 (2) i)
Sicherheit des Personals,
Konzepte für die Zugriffskontrolle
und Management von Anlagen;
KRITIS Richtlinie (EU) 2022/2557:
Artikel 13 e) f)
Hersteller
CYBER SECURITY
Multifaktorauthentifizierung
unterstützende Leistungen von Axians:
Multifaktorauthentifierzierung
gemeinsame Aufarbeitung CIS Control 5, 6
NIS2 Maßnahme
technisch
CIS Control 5, 6
NIS2
Artikel 21 (2) j)
Verwendung von Lösungen zur
Multi-Faktor-Authentifizierung
oder kontinuierlichen
Authentifizierung, gesicherte
Sprach-, Video- und
Textkommunikation sowie
gegebenenfalls gesicherte
Notfallkommunikationssysteme
innerhalb der Einrichtung.;
geeignete Maßnahmen
europäische und internationale Normen
Hersteller
CYBER SECURITY
Berichtspflichten
unterstützende Leistungen von Axians:
Incident Readiness Workshop
SIEM
Retainer Service
SOC & IR
gemeinsame Aufarbeitung CIS Control 17
NIS2
Maßnahme
organisatorisch und technisch
CIS Control 17
NIS2
Artikel 21 und 23
Berichtspflichten
Hersteller
CYBER SECURITY
Verpflichtende Schulungen
Leitungsorgane
unterstützende Leistungen von Axians:
ISMS Readiness Workshop
gemeinsame Aufarbeitung CIS Control 17
NIS2
Maßnahme
organisatorisch
CIS Control 17
NIS2
Artikel 20 (1, 2)
Governance
(137)
Doris Ingerisch
Solution Sales Cyber Security
doris.ingerisch@axians.at
+43 664 / 851 8070
www.axians.at
The best of
ICT with a
human
touch

Weitere ähnliche Inhalte

Ähnlich wie Doris Ingerisch (Axians ICT Austria GmbH)

Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC
 
It Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungIt Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungBranding Maintenance
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Hans Peter Knaust
 
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018Bechtle
 
Datenschutz bei elektronischer Personalakte & Datensicherheit
Datenschutz bei elektronischer Personalakte & DatensicherheitDatenschutz bei elektronischer Personalakte & Datensicherheit
Datenschutz bei elektronischer Personalakte & DatensicherheitinPuncto GmbH
 
Ing. Martin Krejca (UPC Business)
Ing. Martin Krejca (UPC Business)Ing. Martin Krejca (UPC Business)
Ing. Martin Krejca (UPC Business)Praxistage
 
Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Sopra Steria Consulting
 
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...IBsolution GmbH
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...Symposia 360°
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Fujitsu Central Europe
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 
Lost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserLost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserDigicomp Academy AG
 
180122 ö sb cloud computing kollabsw (f)
180122 ö sb cloud computing kollabsw (f)180122 ö sb cloud computing kollabsw (f)
180122 ö sb cloud computing kollabsw (f)SebastianGeilon
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Holliday Consulting
 
Rethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRamona Kohrs
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorbhoeck
 

Ähnlich wie Doris Ingerisch (Axians ICT Austria GmbH) (20)

Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativ
 
It Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungIt Sicherheit in der Instandhaltung
It Sicherheit in der Instandhaltung
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
 
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
 
CWMC Insights 2020|12 - Einführung IIoT Architekturen
CWMC Insights 2020|12 - Einführung IIoT ArchitekturenCWMC Insights 2020|12 - Einführung IIoT Architekturen
CWMC Insights 2020|12 - Einführung IIoT Architekturen
 
Datenschutz bei elektronischer Personalakte & Datensicherheit
Datenschutz bei elektronischer Personalakte & DatensicherheitDatenschutz bei elektronischer Personalakte & Datensicherheit
Datenschutz bei elektronischer Personalakte & Datensicherheit
 
Ing. Martin Krejca (UPC Business)
Ing. Martin Krejca (UPC Business)Ing. Martin Krejca (UPC Business)
Ing. Martin Krejca (UPC Business)
 
Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting
 
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
 
CCPP
CCPPCCPP
CCPP
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
 
Lost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserLost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer Wegweiser
 
180122 ö sb cloud computing kollabsw (f)
180122 ö sb cloud computing kollabsw (f)180122 ö sb cloud computing kollabsw (f)
180122 ö sb cloud computing kollabsw (f)
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
 
Rethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event Report
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
 
Revisoren und hacker
Revisoren und hackerRevisoren und hacker
Revisoren und hacker
 

Mehr von Praxistage

Einladung zu den Praxistagen 2024 im virtuellen Landhaus
Einladung zu den Praxistagen 2024 im virtuellen LandhausEinladung zu den Praxistagen 2024 im virtuellen Landhaus
Einladung zu den Praxistagen 2024 im virtuellen LandhausPraxistage
 
Michael Jäger, MBA, Dipl. Wirtschaftsinformatiker (FH) Christian Kohler (Mait...
Michael Jäger, MBA, Dipl. Wirtschaftsinformatiker (FH) Christian Kohler (Mait...Michael Jäger, MBA, Dipl. Wirtschaftsinformatiker (FH) Christian Kohler (Mait...
Michael Jäger, MBA, Dipl. Wirtschaftsinformatiker (FH) Christian Kohler (Mait...Praxistage
 
Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)
Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)
Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)Praxistage
 
Mag.a Mary-Ann Hayes (Unicredit Bank Austria AG)
Mag.a Mary-Ann Hayes (Unicredit Bank Austria AG)Mag.a Mary-Ann Hayes (Unicredit Bank Austria AG)
Mag.a Mary-Ann Hayes (Unicredit Bank Austria AG)Praxistage
 
OR Dipl.-Ing. Bettina Gastecker, Bakk (Bundesministerium für Finanzen)
OR Dipl.-Ing. Bettina Gastecker, Bakk (Bundesministerium für Finanzen)OR Dipl.-Ing. Bettina Gastecker, Bakk (Bundesministerium für Finanzen)
OR Dipl.-Ing. Bettina Gastecker, Bakk (Bundesministerium für Finanzen)Praxistage
 
Dipl.-Ing. (FH) Bernd Stockinger (Citycom Telekommunikation GmbH)
Dipl.-Ing. (FH) Bernd Stockinger (Citycom Telekommunikation GmbH)Dipl.-Ing. (FH) Bernd Stockinger (Citycom Telekommunikation GmbH)
Dipl.-Ing. (FH) Bernd Stockinger (Citycom Telekommunikation GmbH)Praxistage
 
Dipl.-Verww. (FH) Christian Zierau (Stadtrat für Finanzen, Personal, Ordnung ...
Dipl.-Verww. (FH) Christian Zierau (Stadtrat für Finanzen, Personal, Ordnung ...Dipl.-Verww. (FH) Christian Zierau (Stadtrat für Finanzen, Personal, Ordnung ...
Dipl.-Verww. (FH) Christian Zierau (Stadtrat für Finanzen, Personal, Ordnung ...Praxistage
 
Bernd Schellnast (Sphinx IT Consulting GmbH)
Bernd Schellnast (Sphinx IT Consulting GmbH)Bernd Schellnast (Sphinx IT Consulting GmbH)
Bernd Schellnast (Sphinx IT Consulting GmbH)Praxistage
 
Werner Panhauser (Helvetia Versicherungen AG)
Werner Panhauser (Helvetia Versicherungen AG)Werner Panhauser (Helvetia Versicherungen AG)
Werner Panhauser (Helvetia Versicherungen AG)Praxistage
 
Michael Weilguny, Christian Schön (IVM Technical Consultants Wien Ges.m.b.H.)
Michael Weilguny, Christian Schön (IVM Technical Consultants Wien Ges.m.b.H.)Michael Weilguny, Christian Schön (IVM Technical Consultants Wien Ges.m.b.H.)
Michael Weilguny, Christian Schön (IVM Technical Consultants Wien Ges.m.b.H.)Praxistage
 
Dipl.-Ing. Bob Velkov (Huawei Technologies Austria GmbH)
Dipl.-Ing. Bob Velkov (Huawei Technologies Austria GmbH)Dipl.-Ing. Bob Velkov (Huawei Technologies Austria GmbH)
Dipl.-Ing. Bob Velkov (Huawei Technologies Austria GmbH)Praxistage
 
Dipl.-Ing. Werner Plessl (Hewlett Packard Enterprise)
Dipl.-Ing. Werner Plessl (Hewlett Packard Enterprise)Dipl.-Ing. Werner Plessl (Hewlett Packard Enterprise)
Dipl.-Ing. Werner Plessl (Hewlett Packard Enterprise)Praxistage
 
Dipl.-Ing. Marc Haarmeier (Prime Force Group Int. AG)
Dipl.-Ing. Marc Haarmeier (Prime Force Group Int. AG)Dipl.-Ing. Marc Haarmeier (Prime Force Group Int. AG)
Dipl.-Ing. Marc Haarmeier (Prime Force Group Int. AG)Praxistage
 
Josef Weissinger (Soroban IT-Beratung GmbH)
Josef Weissinger (Soroban IT-Beratung GmbH)Josef Weissinger (Soroban IT-Beratung GmbH)
Josef Weissinger (Soroban IT-Beratung GmbH)Praxistage
 
Fr. Vanessa Kluge, BA (Kontron AIS GmbH)
Fr. Vanessa Kluge, BA (Kontron AIS GmbH)Fr. Vanessa Kluge, BA (Kontron AIS GmbH)
Fr. Vanessa Kluge, BA (Kontron AIS GmbH)Praxistage
 
Ing. Boris Werner (Breitbandbüro des Bundesministeriums für Finanzen)
Ing. Boris Werner (Breitbandbüro des Bundesministeriums für Finanzen)Ing. Boris Werner (Breitbandbüro des Bundesministeriums für Finanzen)
Ing. Boris Werner (Breitbandbüro des Bundesministeriums für Finanzen)Praxistage
 
Praxistage 2024 im virtuellen Landhaus, St. Pölten
Praxistage 2024 im virtuellen Landhaus, St. PöltenPraxistage 2024 im virtuellen Landhaus, St. Pölten
Praxistage 2024 im virtuellen Landhaus, St. PöltenPraxistage
 
Hr. David Simon (Juniper Networks, Inc.)
Hr. David Simon (Juniper Networks, Inc.)Hr. David Simon (Juniper Networks, Inc.)
Hr. David Simon (Juniper Networks, Inc.)Praxistage
 
Mag. Michael Salat (Cisco Systems Austria GmbH)
Mag. Michael Salat (Cisco Systems Austria GmbH)Mag. Michael Salat (Cisco Systems Austria GmbH)
Mag. Michael Salat (Cisco Systems Austria GmbH)Praxistage
 
Marc Kroll (SERgroup Holding International GmbH)
Marc Kroll (SERgroup Holding International GmbH)Marc Kroll (SERgroup Holding International GmbH)
Marc Kroll (SERgroup Holding International GmbH)Praxistage
 

Mehr von Praxistage (20)

Einladung zu den Praxistagen 2024 im virtuellen Landhaus
Einladung zu den Praxistagen 2024 im virtuellen LandhausEinladung zu den Praxistagen 2024 im virtuellen Landhaus
Einladung zu den Praxistagen 2024 im virtuellen Landhaus
 
Michael Jäger, MBA, Dipl. Wirtschaftsinformatiker (FH) Christian Kohler (Mait...
Michael Jäger, MBA, Dipl. Wirtschaftsinformatiker (FH) Christian Kohler (Mait...Michael Jäger, MBA, Dipl. Wirtschaftsinformatiker (FH) Christian Kohler (Mait...
Michael Jäger, MBA, Dipl. Wirtschaftsinformatiker (FH) Christian Kohler (Mait...
 
Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)
Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)
Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)
 
Mag.a Mary-Ann Hayes (Unicredit Bank Austria AG)
Mag.a Mary-Ann Hayes (Unicredit Bank Austria AG)Mag.a Mary-Ann Hayes (Unicredit Bank Austria AG)
Mag.a Mary-Ann Hayes (Unicredit Bank Austria AG)
 
OR Dipl.-Ing. Bettina Gastecker, Bakk (Bundesministerium für Finanzen)
OR Dipl.-Ing. Bettina Gastecker, Bakk (Bundesministerium für Finanzen)OR Dipl.-Ing. Bettina Gastecker, Bakk (Bundesministerium für Finanzen)
OR Dipl.-Ing. Bettina Gastecker, Bakk (Bundesministerium für Finanzen)
 
Dipl.-Ing. (FH) Bernd Stockinger (Citycom Telekommunikation GmbH)
Dipl.-Ing. (FH) Bernd Stockinger (Citycom Telekommunikation GmbH)Dipl.-Ing. (FH) Bernd Stockinger (Citycom Telekommunikation GmbH)
Dipl.-Ing. (FH) Bernd Stockinger (Citycom Telekommunikation GmbH)
 
Dipl.-Verww. (FH) Christian Zierau (Stadtrat für Finanzen, Personal, Ordnung ...
Dipl.-Verww. (FH) Christian Zierau (Stadtrat für Finanzen, Personal, Ordnung ...Dipl.-Verww. (FH) Christian Zierau (Stadtrat für Finanzen, Personal, Ordnung ...
Dipl.-Verww. (FH) Christian Zierau (Stadtrat für Finanzen, Personal, Ordnung ...
 
Bernd Schellnast (Sphinx IT Consulting GmbH)
Bernd Schellnast (Sphinx IT Consulting GmbH)Bernd Schellnast (Sphinx IT Consulting GmbH)
Bernd Schellnast (Sphinx IT Consulting GmbH)
 
Werner Panhauser (Helvetia Versicherungen AG)
Werner Panhauser (Helvetia Versicherungen AG)Werner Panhauser (Helvetia Versicherungen AG)
Werner Panhauser (Helvetia Versicherungen AG)
 
Michael Weilguny, Christian Schön (IVM Technical Consultants Wien Ges.m.b.H.)
Michael Weilguny, Christian Schön (IVM Technical Consultants Wien Ges.m.b.H.)Michael Weilguny, Christian Schön (IVM Technical Consultants Wien Ges.m.b.H.)
Michael Weilguny, Christian Schön (IVM Technical Consultants Wien Ges.m.b.H.)
 
Dipl.-Ing. Bob Velkov (Huawei Technologies Austria GmbH)
Dipl.-Ing. Bob Velkov (Huawei Technologies Austria GmbH)Dipl.-Ing. Bob Velkov (Huawei Technologies Austria GmbH)
Dipl.-Ing. Bob Velkov (Huawei Technologies Austria GmbH)
 
Dipl.-Ing. Werner Plessl (Hewlett Packard Enterprise)
Dipl.-Ing. Werner Plessl (Hewlett Packard Enterprise)Dipl.-Ing. Werner Plessl (Hewlett Packard Enterprise)
Dipl.-Ing. Werner Plessl (Hewlett Packard Enterprise)
 
Dipl.-Ing. Marc Haarmeier (Prime Force Group Int. AG)
Dipl.-Ing. Marc Haarmeier (Prime Force Group Int. AG)Dipl.-Ing. Marc Haarmeier (Prime Force Group Int. AG)
Dipl.-Ing. Marc Haarmeier (Prime Force Group Int. AG)
 
Josef Weissinger (Soroban IT-Beratung GmbH)
Josef Weissinger (Soroban IT-Beratung GmbH)Josef Weissinger (Soroban IT-Beratung GmbH)
Josef Weissinger (Soroban IT-Beratung GmbH)
 
Fr. Vanessa Kluge, BA (Kontron AIS GmbH)
Fr. Vanessa Kluge, BA (Kontron AIS GmbH)Fr. Vanessa Kluge, BA (Kontron AIS GmbH)
Fr. Vanessa Kluge, BA (Kontron AIS GmbH)
 
Ing. Boris Werner (Breitbandbüro des Bundesministeriums für Finanzen)
Ing. Boris Werner (Breitbandbüro des Bundesministeriums für Finanzen)Ing. Boris Werner (Breitbandbüro des Bundesministeriums für Finanzen)
Ing. Boris Werner (Breitbandbüro des Bundesministeriums für Finanzen)
 
Praxistage 2024 im virtuellen Landhaus, St. Pölten
Praxistage 2024 im virtuellen Landhaus, St. PöltenPraxistage 2024 im virtuellen Landhaus, St. Pölten
Praxistage 2024 im virtuellen Landhaus, St. Pölten
 
Hr. David Simon (Juniper Networks, Inc.)
Hr. David Simon (Juniper Networks, Inc.)Hr. David Simon (Juniper Networks, Inc.)
Hr. David Simon (Juniper Networks, Inc.)
 
Mag. Michael Salat (Cisco Systems Austria GmbH)
Mag. Michael Salat (Cisco Systems Austria GmbH)Mag. Michael Salat (Cisco Systems Austria GmbH)
Mag. Michael Salat (Cisco Systems Austria GmbH)
 
Marc Kroll (SERgroup Holding International GmbH)
Marc Kroll (SERgroup Holding International GmbH)Marc Kroll (SERgroup Holding International GmbH)
Marc Kroll (SERgroup Holding International GmbH)
 

Doris Ingerisch (Axians ICT Austria GmbH)

  • 1. Praxistage 2024 Wie NIS2 noch rechtzeitig umgesetzt werden kann! Doris Ingerisch Solution Sales Cyber Security
  • 2. CYBER SECURITY Agenda Eckdaten und Facts Wer ist betroffen? Anforderungen Was ist zu tun? Wie NIS2 noch rechtzeitig umgesetzt werden kann! Axians' Weg zur NIS2 readiness Workshop, Assessment, Projekte Lösungen und Produkte zur Erfüllung der Anforderungen im Detail aufgeschlüsselt pro Anforderung
  • 3. CYBER SECURITY NIS2 – Cyberisiken reduzieren NIS2 Network and Information Security 2 Richtlinie – Umsetzung bis 17. Oktober 2024 in nationales Gesetz Risikomanagementmaßnahmen und Meldepflichten Unternehmen best. Sektoren: > 50 Beschäftigte > 10 Mio € Digitale Infrastruktur Lieferkette
  • 4. CYBER SECURITY Anhang I Sektoren mit hoher Kritikalität Anhang II Sektoren mit sonstiger Kritikalität NIS2 Wer ist betroffen? magenta – neu oder Ergänzung im Sektor gegenüber NIS1 Energi e Verkeh r Bankwese n Finanzmarkt- struktur Trinkwasse r Abwasse r digitale Infrastruktur Gesundheits- wesen Weltraum öffentliche Verwaltung Verwaltung von IKT-Diensten Post- und Kurierdienste Abfallbe- wirtschaftung Chemie Herst./Handel Lebensmittel Herst./Handel verarbeitendes Gewerbe Anbieter digitaler Dienste Forschung Wichtige Einrichtunge n = große und mittlere Einrichtunge n Wichtige Einrichricht ungen = mittlere Einrichtunge n Wesentliche Einrichricht ungen = große Einrichtunge n
  • 5. Mittlere Unternehmen > 50 Beschäftigte oder > 10 Mio Eur Jahresumsatz oder > 10 Mio Eur Jahresbilanz CYBER SECURITY Wer ist betroffen? NIS2 Großunternehmen > 250 Beschäftigte oder > 50 Mio Eur Jahresumsatz oder > 43 Mio Eur Jahresbilanz Holschuld - Registrierungspflicht!
  • 6. CYBER SECURITY Normen und Best-Practices (CIS, ISO, NIST, uvm.) • Konzepte Risikoanalyse und Sicherheit für Informationssysteme • Bewältigung von Sicherheitsvorfällen • Backup & Wiederherstellung • Lieferkettensicherheit • Sicherheitsmaßnahmen bei Erwerb/ Entwicklung/Wartung von IKT • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen • Cyberhygiene und Schulungen zur Cybersicherheit • Kryptografie und ggf. Verschlüsselung • Sicherheit des Personals , Konzepte für die Zugriffskontrolle • MultiFaktor Authentifizierung • Reporting von IKT-bezogenen Vorfällen • Schulungen Leitungsorgane NIS2 Anforderungen Leitungsorgane (Geschäftsführer und Vorstand): verpflichtende Schulungen und Verantwortung
  • 7. CYBER SECURITY Berichtspflichten und Fristen ex-ante Aufsicht UND ex-post Aufsicht regelmäßige und gezielte Sicherheitsprüfungen nur bei begründetem Verdacht Vor-Ort-Kontrollen und externe Stichprobenkontrollen Vor-Ort-Kontrollen und externe nachträgliche Aufsichtsmaßnahmen 10 Mio Eur oder 2% des weltweiten Jahresumsatzes 7 Mio Eur oder 1,4% des weltweiten Jahresumsatzes NIS2 Wesentliche Einrichtungen Wichtige Einrichtungen ex-post Aufsicht Sanktionen Persönliche Haftung für Leitungsorgane (Geschäftsführer, Vorstand) vorübergehender Ausschluss von Leitungspersonen
  • 8. CYBER SECURITY Berichtspflichten und Fristen NIS2 Frühwarnung unverzüglich bis 24 Stunden nach Kenntnis Meldung bis 72 Stunden nach Kenntnis Abschlussmeldung bis 1 Monat nach Meldung NIS Behörde keine Harmonisierung unter den Behörden
  • 9. CYBER SECURITY Was ist zu tun? NIS2 • IST Zustand erheben (Gaps identifizieren) • Planen und Umsetzen (Gaps schließen) • Regulatorischen Verpflichtungen nachgehen • Teste die Wirksamkeit deiner Sicherheitsmaßnahmen • Sei vorbereitet für den Fall der Fälle IMMER ALLES DOKUMENTIEREN & Begründen (Verhältnismäßigkeit)
  • 10. Praxistage 2024 Wie NIS2 noch rechtzeitig umgesetzt werden kann! Doris Ingerisch Solution Sales Cyber Security
  • 11. CYBER SECURITY Agenda Eckdaten und Facts Wer ist betroffen? Anforderungen Was ist zu tun? Wie NIS2 noch rechtzeitig umgesetzt werden kann! Axians' Weg zur NIS2 readiness Workshop, Assessment, Projekte Lösungen und Produkte zur Erfüllung der Anforderungen im Detail aufgeschlüsselt pro Anforderung
  • 12. Projekte Maßnahmen treffen und Lösungen umsetzen Assessmen t Gaps analysieren und Roadmap erstellen Workshop mit NIS2 vertraut werden CYBER SECURITY Axians' Weg zur NIS2 readiness 17.10.202 4 NIS 2
  • 13. CYBER SECURITY NIS2 Workshop ORGANIZATION Deep Dive zum Thema NIS2 Workshop Agenda: Fakten und Eckdaten, ggf. Klärung der Betroffenheit Meldepflichten Anforderungen und deren Verhältnismäßigkeit Sanktionen Was ist zu tun? Interaktiv: Diskussion, Fragen & Antworten * coming soon INFRASTRUCTURE  Active Directory Audit  Vulnerability Scanning  Attack Surface Analysis  Server Audit  Client Audit  PKI Audit  Penetration Testing HOLISTIC  Framework-based Assessment  NIS2 Assessment PEOPLE  User Awareness Training  Simulated Phishing Campaign  Secure Administration Workshop ORGANIZATION  NIS2 Workshop  Incident Readiness Workshop*  ISMS Readiness Workshop*
  • 14. CYBER SECURITY NIS2 Assessment HOLISTIC Basierend auf den CIS Controlls Angepasst an die Anforderungen der NIS2 Ausarbeitung des aktuellen NIS2 Compliance Status Ergebnis: Report inkl. Handlungsempfehlungen Gemeinsame Reportbesprechung mit Diskussion Ideal zur strategischen und budgetären Planung (Roadmap) Übersicht der NIS2 readiness Erste Dokumentationen für NIS2 Audits * coming soon INFRASTRUCTURE  Active Directory Audit  Vulnerability Scanning  Attack Surface Analysis  Server Audit  Client Audit  PKI Audit  Penetration Testing HOLISTIC  Framework-based Assessment  NIS2 Assessment PEOPLE  User Awareness Training  Simulated Phishing Campaign  Secure Administration Workshop ORGANIZATION  NIS2 Workshop  Incident Readiness Workshop*  ISMS Readiness Workshop*
  • 15. CYBER SECURITY CIS Controls Das Center for Internet Security (CIS) ist ein Zusammenschluss von Organisationen und Einzelpersonen, um Materialien und Ressourcen zum Thema Internet-Sicherheit zur Verfügung zu stellen. Besondere Beachtung finden dabei die sogenannten Benchmarks, thematische Zusammenstellungen von Anweisungen und Tipps, um spezifische Computersysteme im Rahmen eines Einsatzes im Internet gegen Bedrohungen abzusichern. 1) Erstellen und pflegen Sie ein Verzeichnis der Dienstleister 2) Erstellen und pflegen Sie eine Richtlinie zur Verwaltung von Dienstanbietern 3) Dienstanbieter klassifizieren 4) Stellen Sie sicher, dass die Verträge der Dienstleister Sicherheitsanforderungen enthalten 5) Bewerten Sie Dienstleister 6) Überwachen Sie Dienstanbieter 7) Sichere Stilllegung von Dienstanbietern
  • 16. CYBER SECURITY Framework-based Assessment HOLISTIC Holistisches IT-Security Assessment (IST-Stand Erhebung) Basis: “CIS Critical Security Controls” Framework Umfasst 18 Themengebietebereiche Assessment in Gesprächen vor Ort (1-2 Tage) Ergebnis: Report inkl. Handlungsempfehlungen Gemeinsame Reportbesprechung mit Diskussion Ideal zur längerfristigen Planung (Budget, Roadmap) * coming soon INFRASTRUCTURE  Active Directory Audit  Vulnerability Scanning  Attack Surface Analysis  Server Audit  Client Audit  PKI Audit  Penetration Testing HOLISTIC  Framework-based Assessment  NIS2 Assessment PEOPLE  User Awareness Training  Simulated Phishing Campaign  Secure Administration Workshop ORGANIZATION  NIS2 Workshop  Incident Readiness Workshop*  ISMS Readiness Workshop*
  • 17. Projekte Maßnahmen treffen und Lösungen umsetzen Assessmen t Gaps analysieren und Roadmap erstellen Workshop mit NIS2 vertraut werden CYBER SECURITY Axians' Weg zur NIS2 readiness 17.10.202 4 NIS 2
  • 18. CYBER SECURITY Normen und Best-Practices (CIS, ISO, NIST, uvm.) • Konzepte Risikoanalyse und Sicherheit für Informationssysteme • Bewältigung von Sicherheitsvorfällen • Backup & Wiederherstellung • Lieferkettensicherheit • Sicherheitsmaßnahmen bei Erwerb/ Entwicklung/Wartung von IKT • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen • Cyberhygiene und Schulungen zur Cybersicherheit • Kryptografie und ggf. Verschlüsselung • Sicherheit des Personals , Konzepte für die Zugriffskontrolle • MultiFaktor Authentifizierung • Reporting von IKT-bezogenen Vorfällen • Schulungen Leitungsorgane NIS2 Anforderungen Leitungsorgane (Geschäftsführer und Vorstand): verpflichtende Schulungen und Verantwortung
  • 19. CYBER SECURITY Business Continuity und Krisenmanagement unterstützende Leistungen von Axians: ISMS Readiness Workshop Incident Readiness Workshop Retainer Service SOC & IR gemeinsame Aufarbeitung CIS Control 17 NIS2 Maßnahme organisatorisch und technisch CIS Control 17 NIS2 Artikel 21 (2) a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme geeignete Maßnahmen europäische und internationale Normen Artikel 25 Hersteller
  • 20. CYBER SECURITY Bewältigung von Sicherheitsvorfällen unterstützende Leistungen von Axians: Incident Readiness Workshop SIEM Retainer Service SOC & IR XDR EDR gemeinsame Aufarbeitung CIS Control 17 NIS2 Maßnahme organisatorisch und technisch CIS Control 17 NIS2 Artikel 21 (2) b) Bewältigung von Sicherheitsvorfällen Artikel 6 8.: alle Maßnahmen und Verfahren zur Verhütung, Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen oder die Reaktion darauf und die Erholung davon; Artikel 11 (5) a) geeignete Maßnahmen europäische und internationale Normen Hersteller
  • 21. CYBER SECURITY Backup und Wiederherstellung unterstützende Leistungen von Axians: Incident Readiness Workshop Backuplösungen Retainer Service SOC & IR gemeinsame Aufarbeitung CIS Control 11 NIS2 Maßnahme organisatorisch und technisch CIS Control 11 NIS2 Artikel 21 (2) c) Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement geeignete Maßnahmen europäische und internationale Normen Hersteller
  • 22. CYBER SECURITY Lieferkettensicherheit unterstützende Leistungen von Axians: Attack Surface Analysis Secure Administration Workshop 3-Tier/PAM (3-Schichtige Architektur + Privileged Access Management) gemeinsame Aufarbeitung CIS Control 15 NIS2 Maßnahme organisatorisch und technisch CIS Control 15 NIS2 Artikel 21 (2) d) Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern; (56, 59, 85, 86, 90, 91) Artikel 22 (1) Hersteller
  • 23. CYBER SECURITY Sicherheit bei Erwerb/Entwicklung/Betrieb von IKT unterstützende Leistungen von Axians: PAM SIEM Attack Surface Analysis gemeinsame Aufarbeitung CIS Control 15 NIS2 Maßnahme organisatorisch und technisch CIS Control 15 NIS2 Artikel 21 (2) e) Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen geeignete Maßnahmen europäische und internationale Normen Hersteller
  • 24. CYBER SECURITY Wirksamkeit und Test unterstützende Leistungen von Axians: Simulated Phishing Campaign Attack Surface Analysis Vulnerability Scanning Penetration Testing WebApp Testing Active Directory Audit PKI Audit Server Audit Client Audit gemeinsame Aufarbeitung CIS Control 17 NIS2 Maßnahme organisatorisch und technisch CIS Control 17 NIS2 Artikel 21 (2) f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit geeignete Maßnahmen europäische und internationale Normen Hersteller
  • 25. CYBER SECURITY Cyberhygiene und Schulungen unterstützende Leistungen von Axians: User Awareness Training Secure Administration Workshop CIS Blueprint for Ransomware ZeroTrust Konzepte Netzwerksegmentierung SSO (Single Sign-on) 3-Tier/PAM (3-Schichtige Architektur + Privileged Access Management) Framework based Assessment NIS2 Maßnahme organisatorisch und teschnisch CIS Control 04, 05, 06, 08, 09, 10, 12, 13, 14, 16 NIS2 Artikel 21 (2) g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit; (49, 50, 89) geeignete Maßnahmen europäische und internationale Normen Hersteller
  • 26. CYBER SECURITY Cyberhygiene und Schulungen unterstützende Leistungen von Axians: User Awareness Training Secure Administration Workshop CIS Blueprint for Ransomware ZeroTrust Konzepte Netzwerksegmentierung SSO (Single Sign-on) 3-Tier/PAM (3-Schichtige Architektur + Privileged Access Management) Framework based Assessment NIS2 Maßnahme organisatorisch und teschnisch CIS Control 04, 05, 06, 08, 09, 10, 12, 13, 14, 16 NIS2 Artikel 21 (2) g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit; (49, 50, 89) geeignete Maßnahmen europäische und internationale Normen Hersteller (89) Die wesentlichen und wichtigen Einrichtungen sollten eine breite Palette grundlegender Praktiken der Cyberhygiene anwenden, z. B. Zero-Trust- Grundsätze, Software-Updates, Gerätekonfiguration, Netzwerksegmentierung, Identitäts- und Zugriffsmanagement oder Sensibilisierung der Nutzer, Schulungen für ihre Mitarbeiter organisieren und das Bewusstsein für Cyberbedrohungen, Phishing oder Social-Engineering-Techniken schärfen. Außerdem sollten diese Einrichtungen ihre eigenen Cybersicherheitskapazitäten bewerten und gegebenenfalls die Integration von Technologien zur Verbesserung der Cybersicherheit anstreben, etwa künstliche Intelligenz oder Systeme des maschinellen Lernens, um ihre Kapazitäten und die Sicherheit von Netz- und Informationssystemen zu erhöhen.
  • 27. CYBER SECURITY Kryptografie und ggf. Verschlüsselung unterstützende Leistungen von Axians: e-mail security Verschlüsselung von Endgeräten gemeinsame Aufarbeitung CIS Control 3 NIS2 Maßnahme organisatorisch und technisch CIS Control 3 NIS2 Artikel 21 (2) h) Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;; geeignete Maßnahmen europäische und internationale Normen Hersteller
  • 28. CYBER SECURITY Sicherheit des Personals, Konzepte für die Zugriffskontrolle unterstützende Leistungen von Axians: User Awareness Training Secure Administration Workshop SSO (Single Sign-on) ZeroTrust Konzepte 3-Tier/PAM (3-Schichtige Architektur + Privileged Access Management) Cloud Access Security Broker (CASB) gemeinsame Aufarbeitung CIS Control 5, 6 und 14 NIS2 Maßnahme organisatorisch und technisch CIS Control 5, 6, 14 NIS2 Artikel 21 (2) i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen; KRITIS Richtlinie (EU) 2022/2557: Artikel 13 e) f) Hersteller
  • 29. CYBER SECURITY Multifaktorauthentifizierung unterstützende Leistungen von Axians: Multifaktorauthentifierzierung gemeinsame Aufarbeitung CIS Control 5, 6 NIS2 Maßnahme technisch CIS Control 5, 6 NIS2 Artikel 21 (2) j) Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.; geeignete Maßnahmen europäische und internationale Normen Hersteller
  • 30. CYBER SECURITY Berichtspflichten unterstützende Leistungen von Axians: Incident Readiness Workshop SIEM Retainer Service SOC & IR gemeinsame Aufarbeitung CIS Control 17 NIS2 Maßnahme organisatorisch und technisch CIS Control 17 NIS2 Artikel 21 und 23 Berichtspflichten Hersteller
  • 31. CYBER SECURITY Verpflichtende Schulungen Leitungsorgane unterstützende Leistungen von Axians: ISMS Readiness Workshop gemeinsame Aufarbeitung CIS Control 17 NIS2 Maßnahme organisatorisch CIS Control 17 NIS2 Artikel 20 (1, 2) Governance (137)
  • 32. Doris Ingerisch Solution Sales Cyber Security doris.ingerisch@axians.at +43 664 / 851 8070 www.axians.at The best of ICT with a human touch

Hinweis der Redaktion

  1. Vorstellung / Überleitung zum Thema
  2. Präsentation zweigeteilt
  3. 2016 NIS1 (wurde 2018 Gesetz) – hatte viele Defiziete (Fleckerteppich mit unterschiedlichen Umsetzungen der Richtlinie) Ö hat 2000 ein Datenschutzgesetz Ö Gesetz wird ev. Cybersicherheitsgesetz heißen (erfordert 2/3 Mehrheit im Nationalrat)
  4. Lebensmittel – Einzelhandel ist nicht dabei Mittlere Einrichtung ab 50 Mitarbeiter oder 10 Mio Die Liste wächst Betrachtungsweisen (ob wesentlich/wichtig) ändert sich Ca. 3000-5000 Unternehmen in AT NIS2 (aktuell 99) ohne Lieferkette Jede Unternehmensform auch auch Vereine, KGs, etc ÖNACE Klassifikation - Nomenclature générale des activités économiques dans les communautés européennes
  5. DORA: (inkl. jährlicher anlassloser und jederzeit vorfallsbezogener Überprüfung)  Europäischen Union für Cybersicherheit (ENISA) NIS2: Wesentliche Einrichtungen können jederzeit von der Behörde vor Ort kontrolliert werden (Random Checks) Wichtige Einrichtungen Überprüfung nach begründetem Verdacht Bundesministerium für Inneres Leitungsorgane C-Level (Chief Finanzial Officer, Chief Technologie Office, Chief Excektuive Office, bla bla bla) alles irrelevant Mitglied der Geschäftsleitung – bla bla bla und ähnliche Begrifflichkeiten sind irrelevant – papier ist geduldig Geschäftsfüher lt. Firmenbuch (sprich notariell oder auch WK beglaubigt)
  6. Erinnerung Holschuld – Registrierungspflicht Top Management muss entscheiden was schützeswert ist und entsprechende Ressourcen freigeben Sanktionen – keine Doppelbestrafung DSGVO schützt das verfassungsrechtlich geschütze Grundrecht meine personenbezogenen Daten geheim zu halten
  7. NIS Behörde = Bundesministerium für Inneres ESA = European supervisory authorities Europäische Aufsichtsbehörde ENISA ("European Network and Information Security Agency": Agentur der Europäischen Union für Cybersicherheit) Gibt vor
  8. Bedrohungslage – keine Woche ohne Schlagzeilen Risiken bei der IT-Sicherheit aufzuarbeiten und Abwehrmaßnahmen zu treffen, ist daher auch ohne neues Gesetz eine gute Idee. nur seine Hausaufgaben Grundlagen unserer Herangehensweise: NIST National Institute of Standards and Technology 1 Identifizieren (identify) 2 Schützen (protect) 3 Erkennen (detect) 4 Reagieren (respond) 5 Wiederherstellen (recover) Ende Teil 1 Bis hierher schon mal gehört Anforderungen mit unseren Lösungen sowie Berichtspflichten und Sanktionen im 2ten Teil 5- 10 Min Fragen
  9. Vorstellung / Überleitung zum Thema
  10. Präsentation zweigeteilt
  11. Bedrohungslage – keine Woche ohne Schlagzeilen Risiken bei der IT-Sicherheit aufzuarbeiten und Abwehrmaßnahmen zu treffen, ist daher auch ohne neues Gesetz eine gute Idee. nur seine Hausaufgaben Grundlagen unserer Herangehensweise: NIST National Institute of Standards and Technology 1 Identifizieren (identify) 2 Schützen (protect) 3 Erkennen (detect) 4 Reagieren (respond) 5 Wiederherstellen (recover) Ende Teil 1 Bis hierher schon mal gehört Anforderungen mit unseren Lösungen sowie Berichtspflichten und Sanktionen im 2ten Teil 5- 10 Min Fragen
  12. kunden sind bei protect am stärksten, bei identify und respond am schwächsten detect: dwell time ist sehr hoch (mehrere wochen)
  13. kunden sind bei protect am stärksten, bei identify und respond am schwächsten detect: dwell time ist sehr hoch (mehrere wochen)
  14. Verschiedene Standarts: NIST, ISO, Cyber Risk Rating Im Bereich der holistischen Assessments arbeiten wir mit CIS Controls Safeguards = Fragestellungen und Aufgaben – war uns nicht granular/detailliert genug Grundlagen unserer Herangehensweise: NIST National Institute of Standards and Technology 1 Identifizieren (identify) 2 Schützen (protect) 3 Erkennen (detect) 4 Reagieren (respond) 5 Wiederherstellen (recover)
  15. Was kommt dabei raus: Ein Score – basierend auf den einzelnen Controlls Leicht verständlicher Managementbericht, bauchgefühl zu Papier gebracht, Handlungsempfehlungen Dokumentation Technisch gesehen Detailbericht mit mehrere Hundert seiten
  16. Bedrohungslage – keine Woche ohne Schlagzeilen Risiken bei der IT-Sicherheit aufzuarbeiten und Abwehrmaßnahmen zu treffen, ist daher auch ohne neues Gesetz eine gute Idee. nur seine Hausaufgaben Grundlagen unserer Herangehensweise: NIST National Institute of Standards and Technology 1 Identifizieren (identify) 2 Schützen (protect) 3 Erkennen (detect) 4 Reagieren (respond) 5 Wiederherstellen (recover) Ende Teil 1 Bis hierher schon mal gehört Anforderungen mit unseren Lösungen sowie Berichtspflichten und Sanktionen im 2ten Teil 5- 10 Min Fragen
  17. Diese Folie kennen sie schon
  18. Viele Wege führen zum Ziel – ich zeige was wir anbieten können, Ich bemühe mich bei erstmaliger Nennung auf die Abkürzugen zu verzichten, falls nicht bitte in den Chat Information Security Management System (ISMS„Managementsystem für Informationssicherheit“) ist die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Incident Readiness Workshop – was tun um den Headles Chicken Mode zu vermeiden – vorbereitet sein für den Fall der Fälle, Kommunikationswege und Richtilinen, Reihenfolgen – Panik kann vermieden werden Information Security Management System (ISMS„Managementsystem für Informationssicherheit“) ist die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Cyber Breach Simulation – ein realistischer Angriff wird simuliert, Erkennung und Abwehrmechanischmen geichen Retainer Service, SOC & IR – ArcticWolf (Deutsch, leistbar, Versicherungsschutz) standardisiert – asonsten SOC Basel Cyber Breach Simulation – ein realistischer Angriff wird simuliert, Erkennung und Abwehrmechanischmen geichen
  19. SIEM – Mischung zwischen Security Information Eventmanagement – Echtzeianalyse, Sicherheitsbedorhen und Schachstellen sollen erkann und behoben wwerden – Anomalien erkannt werdern Incident Readiness Workshop und Cyber Brach Simulation wäre in Sub SIEM – IBM Qradar + FortiSiem Retainer, SOC, IR – ArcticWolf XDR – Crowdstrike? -Extended Detection and Response (schnell erkennen und reagieren), EDR Schutz für Detektion Endpoint Detection and Response
  20. Greife benachbarter BU CMS vor und sagen das wir als Axians auch gute Backuplösungen anbieten können Aber auch organisatorisch – wiederanlauf des Betriebs Backuplösung – mit CMS sprechen Incident Readiness Workshop – in Sub Retainer Service, SOC und IR – Arctic Wolf
  21. Bis vor kurzem rein organisatorisch gesehen Mit ASA können aber auch Zulieferer gesacannt und bewertet werden Dokumentieren!!!! ASA – LocateRisk, DNS Abfragen, Port- und Webscans, SSL Überprüfungen, DSGVO Verstöße Secure Admin WS – best pratcits zugänge und APIs Supply Chain Attacks PAM Identitätssicherheitslösung Keeper und Passwordstate (cloud und lokal)
  22. Privileged Access Management – nicht jeder kann und darf einkaufen, entwickeln betreiben Nicht die günstige eigenentwicklung vom Nachbarsjungen Oder zB nicht Vertrauenswürdige App – die wer weiß was sich in sich birgt Erste Folie: - Teil der EU Sicherheitsstrategie CSA - Cyber Security Act – Zertifizierung IKT Produkte PAM - Clickstudios (lokal) und Keeper Security (gehostet) SIEM – IBM Qradar + FortiSiem
  23. Unser gesamtes SHC Portfolio Unterschied ASA, Vulnerability Scanning und Penetration Testing
  24. Awareness und Secure Administration aus unserem SHC Portfolio CIS Blueprint for Ransomware – Martin Plattner ZA Konzepte – grundsätzliche Herstellerunabhängig aber Cisco, Zscaler Netzwerksegementierung – grundstätzlich Herstellerunabhängig – aber Cisco, Huawei, Forti? Single SignOn – Cisco Duo, (MS O365) IAM – IBM (Pitagora?) PAM - Clickstudios (lokal) und Keeper Security (gehostet)
  25. Awareness und Secure Administration aus unserem SHC Portfolio CIS Blueprint for Ransomware – Martin Plattner ZA Konzepte – grundsätzliche Herstellerunabhängig aber Cisco, Zscaler Netzwerksegementierung – grundstätzlich Herstellerunabhängig – aber Cisco, Huawei, Forti? Single SignOn – Cisco Duo, (MS O365) IAM – IBM (Pitagora?) PAM - Clickstudios (lokal) und Keeper Security (gehostet)
  26. E-Mail Security – Cisco? Barracuda, FortiMail Digitale Signaturen - ? Verschlüsselung von Endgeräten – MS Bitlocker
  27. Awareness und Secure Administration aus unserem SHC Portfolio Single SignOn – IAM - ? ZA Konzepte – grundsätzliche Herstellerunabhängig aber Cisco, Zscaler PAM - Clickstudios (lokal) und Keeper Security (gehostet) Cisco Cloudlock, Cisco Umbrella, Zscaler, FortiCASB – überwacht und setzt durch dass alle Security richtlinien zwischen User und Anwendungen in der Cloud eingehalten warden CASB Software die Sicherheitsrichtlinien durchsetzt Genauer gesagt geht um die Aktivitäten zwischen Cloud Anwendung und User (Schatten IT kann so vermieden werden, Cloudnutzung reglementiert werden (User darf zb nur arbeiten wenn er in der EU ist nicht aus Afrika, DataLoss Prvention, Daten bestimmter Geräte – nicht verwaltete Geräte verboten Download)
  28. MFA - Cisco Duo
  29. Eigentlich Berichtspflichten gegenüber Behörden SIEM kann aber beim Reporting helfen Inicident Readiness Workshop - Sub SIEM – IBM Qradar, Forti Siem Retainer Service – Arctic Wolf SOC & IR – Arctic Wolf
  30. Information Security Management System (ISMS„Managementsystem für Informationssicherheit“) ist die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.