Umsetzung

Der praxisnahe Roadmap für Geschäftsführung und IT-Leitung.

§30 BSIG und Art. 21(2) NIS 2 — die zehn Maßnahmen im Detail.

Die 24h / 72h / 1-Monat Meldekaskade an das BSI.

Pragmatischer Implementierungsleitfaden ohne 50.000 Euro Beratung.

So finden Sie strukturiert Ihre Lücken zwischen Ist und Soll.

Welche Nachweise und Richtlinien Sie tatsächlich brauchen.

Die nationalen Registrierungsstellen aller Mitgliedstaaten.

Was kostet NIS 2 wirklich — Beratung vs Selbstumsetzung.

Art. 21(2)(d) NIS 2 / CIR §5 — Lieferantenbewertung in der Praxis.

Was Artikel 21(2)(a) NIS 2 fordert, was CIR §2 konkretisiert, und was im operativen Tagesgeschäft daraus folgt.

Art. 20(2) NIS 2 verlangt eine spezifische Cybersicherheits-Schulung für jedes Mitglied der Geschäftsleitung. Was das heißt, was nachzuweisen ist, und wo §38(3) BSIG das in Deutschland einordnet.

Multifaktor-Authentifizierung ist eine eigene Pflicht aus Art. 21(2)(j). CIR §11.7 sagt, wo und wie. Was das für privilegierte Konten und für alle Nutzer bedeutet.

Art. 21(2)(h) verlangt eine Kryptographie-Richtlinie. CIR §9 sagt, was darin stehen muss: Algorithmen, Schlüsselmanagement, zwölf Punkte zum Lebenszyklus jedes Schlüssels.

Was Vorfallbehandlung intern bedeutet (erkennen, eindämmen, beheben) und wie sie sich von der Meldepflicht an das BSI unterscheidet.

Notfallplan, Backup-Management, Krisenmanagement: was die Richtlinie für die Aufrechterhaltung des Betriebs verlangt.

Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen. Acht Unter-Abschnitte der CIR.

Schwachstellen erkennen, bewerten, behandeln und koordiniert offenlegen. Was CIR §6.10 wirklich verlangt.

Wie misst man, ob die Risikomanagementmaßnahmen wirken. KPIs, Methodik, Berichterstattung an die Leitung.

Grundlegende Cyberhygiene-Verfahren plus Sensibilisierung und rollenspezifische Schulung. Was CIR §8 in der Praxis bedeutet.

Zuverlässigkeitsüberprüfung, Verantwortlichkeiten, Beendigung des Beschäftigungsverhältnisses, Disziplinarverfahren.

Klassifizierung, Behandlung, Wechseldatenträger und das vollständige Anlagen- und Werteinventar.

Konzept für die Zugriffskontrolle, Management von Zugangsrechten, privilegierte Konten, Identifizierung, Authentifizierung. MFA als eigene Pflicht.

Backup-Sicherungs- und Redundanzmanagement: Wiederherstellungszeiten, Speicherorte, Tests, Aufbewahrungsfristen.

Netzwerkdokumentation, interne Domänen, sichere Kommunikationskanäle, Netzsegmentierung und DMZ-Konzepte.

Welche zwölf Ereignistypen die CIR protokolliert sehen will, von Netzverkehr bis privilegierten Zugriffen.

Schritt-für-Schritt: Asset-Scope, Bedrohungsmodell, Wahrscheinlichkeit-Auswirkung, Behandlungsplan, Sign-Off. Was CIR §2 in der Praxis verlangt.

CIR §12.4 in der Praxis: Prozesse plus Systeme, Grundschutz-Gruppierung, VIVA-Klassifizierung. So baut ein Mittelständler das Inventar in einer Woche.

Welche Nachweise das BSI fragt, in welcher Reihenfolge, mit welcher Dokumentationstiefe. Was vor dem Audit fertig sein muss.

Artikel 23 NIS 2 und §32 BSIG: Frühwarnung 24h, Meldung 72h, Abschlussbericht 1 Monat. Was rein muss, was draußen bleibt, wer entscheidet.