Software ibi systems iris unterstützt Unternehmen bei der NIS-2-Umsetzung
Die ISMS- und GRC-Software ibi systems iris bietet Funktionen zur strukturierten Umsetzung der NIS-2-Anforderungen. Das Tool deckt zentrale Bereiche von der Betroffenheitsprüfung bis zum Risikomanagement ab.
Die Software ibi systems iris hilft Unternehmen dabei, gezielt die Anforderungen der NIS-2-Richtlinie umzusetzen. Sie gewährleistet eine nachvollziehbare Einhaltung gesetzlicher Vorgaben und schafft Transparenz in allen Compliance-Prozessen.
Den Ausgangspunkt hierfür bildet ein integrierter Prüfkatalog des Bundesamtes für Informationssicherheit (BSI) zur Ermittlung der Betroffenheit. Dieser hilft Unternehmen dabei, zuverlässig festzustellen, ob sie unter den Anwendungsbereich der NIS-2-Richtlinie fallen. Ein weiterer Katalog bildet die NIS-2-Umsetzungsverordnung (NIS2 UmsVO) ab, welche die Vorgaben der Richtlinie (Richtlinie (EU) 2022/2555) konkretisiert. Der Prüfkatalog ermöglicht es, die Anforderungen systematisch zu prüfen, Lücken zu identifizieren und die Umsetzung gezielt anzugehen. Damit entsteht eine fundierte Grundlage für die strukturierte Erfassung und Bewertung der Sicherheitsanforderungen sowie für die Steuerung der damit verbundenen Sicherheitsmaßnahmen und Risiken.
1. Risikomanagement und Maßnahmen
Mit der Software kann der Anwendungsbereich bestehend aus Organisationseinheiten, Assets und Prozessen inkl. Schutzbedarfsfeststellung als Basis für das Risikomanagement abgebildet werden.
Im Rahmen von Prüfungen lassen sich Schwachstellen identifizieren, die zu Risiken führen können. Jedes Risiko erhält eine Kategoriezuordnung und definierte Verantwortlichkeiten. Bei der an die Identifikation anschließenden Risikobewertung werden die Risiken in den Dimensionen Schadenauswirkung und Eintrittswahrscheinlichkeit bewertet und in einer Risikomatrix dargestellt. Dabei ist auch die Einbeziehung weiterer Parameter, wie beispielsweise vergangener Vorfälle, möglich.
Bei der Auswahl der Risikobehandlungsstrategie lassen sich risikomindernde Maßnahmen unmittelbar ableiten und planen. Für eine Maßnahme können zum Beispiel die Wirksamkeit, die Umsetzer sowie das geplante Umsetzungsdatum angegeben werden.
Darüber hinaus lässt sich die Entwicklung der Risiken über die Historie der Risikobewertungen einschließlich der jeweils definierten Maßnahmen nachvollziehen.
2. Meldepflichten für Sicherheitsvorfälle
Zentral erfasste Vorfälle können per API-Schnittstelle in ibi systems iris übertragen werden. Die Lösung ermöglicht die Aufbereitung und Nachverfolgung der Vorfälle im Rahmen gesetzlicher Meldepflichten. Ferner unterstützt das System direkte Follow-up-Aktivitäten – etwa die Verknüpfung der dokumentierten Vorfälle mit Risiken und Maßnahmen.
3. Betriebskontinuitäts- und -krisenmanagement
Die Grundlage für das Business-Continuity-Management bildet die Erfassung von Assets, kritischen Geschäftsprozessen und Schadensszenarien in ibi systems iris. Mithilfe der Software können strukturierte BusinessImpact-Analysen (BIA) durchgeführt und die geforderte Wiederanlaufzeit definiert werden. Die Reportingfunktion erstellt Wiederanlauf- und Wiederherstellungspläne. Notfallereignisse können ebenfalls erfasst und analysiert werden. Aus den Ergebnissen resultierende Risiken werden bewertet und behandelt.
4. Sicherheit der Lieferkette
ibi systems iris bildet vordefinierte oder individuelle Prüfkataloge ab – von internen und externen Audits über Checklisten und Fragebögen bis hin zu Lieferantenprüfungen und Application Security Checks. Die dedizierte App für die Prüfungsdurchführung bindet auch Dritte ein, die ausschließlich Zugriff auf ihre zugewiesenen Prüfungen erhalten. Die Anwendung führt durch die Fragestellungen; Rückfragen werden direkt in der App ohne Medienbruch geklärt.
Prüfungsergebnisse werden über die aus den Ergebnissen resultierenden Maßnahmen, Feststellungen und Risiken nachverfolgt. Da die Elemente eine Verknüpfung zur Prüfung haben, ist jederzeit eine Auswertung pro Prüfung mit dem Status der dazugehörigen Follow-Up-Aktivitäten möglich.
5. Zuweisung von Rollen und Verantwortlichkeiten
Unternehmen können in der Software Rollen definieren und sämtlichen Datensätzen Verantwortlichkeiten zuordnen. Dadurch werden Compliance-Pflichten transparent abgebildet und Verantwortlichkeiten bleiben jederzeit nachvollziehbar.
6. Überwachungen und Audits
ibi systems iris macht es durch weitere Prüfungen und Kennzahlen einfach, sowohl die Maßnahmen als auch die Risiken selbst kontinuierlich zu überwachen und den Maßnahmenstatus zu verfolgen.
Individuell definierbare Automationen und Benachrichtigungsregeln stellen die Umsetzung sicherheitsrelevanter Aufgaben sicher. So kann zum Beispiel die automatische Erstellung von Prüfungen geplant, der Umsetzer einer Maßnahme rechtzeitig vor dem Umsetzungstermin erinnert oder die für ein Risiko verantwortliche Person bei einer anstehenden Neubewertung informiert werden.
Vorgefertigte und frei konfigurierbare Reports und interaktive Dashboards tragen ebenfalls zum effektiven Management bei. Beispielsweise liefern Heatmaps zu Risiken, Statusübersichten zu Maßnahmen, Vorfallsübersichten oder Compliance-Cockpits relevante Informationen für Management, Audits oder Behördenmeldungen. Somit werden notwendiger Handlungsbedarf und Verbesserungspotenziale auf einen Blick ersichtlich.
Fazit
ibi systems iris deckt die wesentlichen Anforderungsbereiche der NIS-2-Richtlinie in einer integrierten Lösung ab. Die durchgängige Verknüpfung von Risiken, Maßnahmen, Vorfällen und Prüfungen ermöglicht eine konsistente Dokumentation und erleichtert die Nachweisführung gegenüber Aufsichtsbehörden. Die modulare Struktur erlaubt eine schrittweise Einführung entsprechend den organisationsspezifischen Prioritäten.
Von Dr. Stefan Wagner, Jad Al-Gaf, Teresa Geiger, ibi systems GmbH
