Skip to main content

NIS Audit

Sind Sie auf der Suche nach einem zuverlässiger Partner für NIS-Audits?

Limes Security ist Qualifizierte Stelle (QuaSte) nach NISG und darf sowohl organisatorische als auch technische Prüfungen durchführen.

Betreiber wesentlicher Dienste haben gemäß des Netz- und Informationssystemsicherheitsgesetzes (NISG) seit Juli 2019 regelmäßig nachzuweisen, dass geeignete und verhältnismäßige Sicherheitsvorkehrungen hinsichtlich Netz- und Informationssysteme getroffen wurden. Dieser Nachweis wird durch eine Prüfung durch eine offizielle qualifizierte Stelle (QuaSte) erbracht.  Limes Security  wurde wurde vom Bundesministerium für Inneres (BMI) / Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) per Bescheid als qualifizierte Stelle gemäß Netz- und Informationssicherheitsgesetz (NISG) ernannt und darf Prüfungen vollumfänglich, also sowohl organisatorische als auch technische Prüfungen, durchführen.

Limes Security hat langjährige Erfahrung in verschiedensten Bereichen der Informationssicherheit, insbesondere im Bereich der Prüfungen. Im Speziellen die dabei durchgeführten Projekte bei großen Industrieunternehmen, Energieversorgern sowie im medizinischen Umfeld erlauben es NIS Prüfungen angemessen und effizient, aber auch mit der entsprechenden Umsicht durchzuführen. Der dabei angewandte Prüfungsprozess hat sich in vielen Projekten bewährt und wurde von der Behörde erfolgreich abgenommen.

Jahrzehntelange Erfahrung in OT und kritischen Infrastrukturen

Organisatorische und technische Prüfungen aus einer Hand

Unterstützung bereits bei der Systembeschreibung

|

Warum Limes Security?

Alles aus einer Hand

Das Limes Security NIS-Team darf für alle geforderten Sicherheitsmaßnahmen die organisatorischen als auch die besonders notwendigen technischen Prüfungen durchführen.

Angemessen

Die im Vorfeld vereinbarten Prüfschritte und -typen sind sinnvoll ausgelegt um effizient vorgehen zu können und dabei die Zielumgebung keinem unnötigen Risiko auszusetzen.

Standardisiert

Das von der Behörde abgenommene Prüfvorgehen ist effizient, bereits bei vielen Betreibern kritischer Infrastrukturen bewährt und in vielen Projekten eingesetzt.

Fokussiert

Limes Security unterstützt bereits beim Beschreiben eines Systems und beim Definieren der Systemgrenzen und schafft damit eine Basis für ein effizientes Vorgehen.

Ablauf Audit/Prüfung

Initialisierung

Beim Initialisieren eines NIS Audits werden grundsätzliche, organisatorische Themen geklärt:

  • Vorgehensweisen werden abgestimmt
  • Ansprechpartner und Kommunikationslinien definiert
  • Geheimhaltungsvereinbarungen werden unterschrieben
  • Mechanismen zum sicheren Datenaustausch werden definiert (Limes Security betreibt eine sichere Datenaustausch-Plattform)

Über die gesamte Projektlebenslaufzeit hinweg, werden strenge Regeln hinsichtlich der Need-to-Know und Least-Privilege Prinzipien in Bezug auf die Informationen eingehalten, die im Rahmen der Beziehung mit dem Auftraggeber gewonnen werden.

Planung

Die Planungsphase wird mit einem Kick-Off Meeting eingeleitet, in dem organisatorische und technische Themen behandelt werden. Aus organisatorischer Sicht werden ein zeitlicher Fahrplan abgesprochen, benötigten Gesprächspartner identifiziert und Termine vereinbart.

Aus technischer Sicht werden Dokumentationen wie Systembeschreibungen, Netzwerk- und Ablaufdiagramme gesichtet,  Prüfungstätigkeiten besprochen und involvierte Abläufe, Komponenten und dabei verwendete Ressourcen erhoben.

Als wesentlicher Input in der Planung kann die Systembeschreibung und die Systemgrenzen betrachtet werden. Dazu kann ein Workshop durchgeführt werden, dessen Ziel es ist, die Systemgrenzen gemeinsam zu erheben und zu beschreiben.

Prüfungsdurchführung

Bei der eigentlichen Prüfung der Maßnahmen wird erhoben, ob sie effektiv, geeignet, verhältnismäßig, dem Risiko angemessen sind und den Stand der Technik berücksichtigen. Dabei gibt es je nach Gegenstand und Umfang verschiedene Prüfungstypen. Für technische Prüfungen gibt es beispielsweise Segmentierungstests und Erreichbarkeitsanalysen, Schwachstellenanalysen, Penetration Testing und Härtungsanalysen. Für organisatorische Prüfungen kommen Dokumentenreviews, Interviews und Inspektion von Systemen in Frage. Die Bewertung erfolgt dabei unabhängig, objektiv und sinnvoll und folgt den Vorgaben der Behörde.

Berichterstattung

Die Berichterstattung begleitet die gesamte Projektdauer. Ein vorläufiger Entwurf wird Ihnen übermittelt und bietet Gelegenheit etwaige Unklarheiten auszuräumen, nicht berücksichtigte kompensierende Maßnahmen zu erläutern und Bewertungen zu besprechen. Der Endbericht wird auf sicherem Weg übermittelt und enthält eine Einschätzung bzw. Zusammenfassung durch Limes Security, eine Stellungnahme des BwD, eine Beschreibung der geprüften Bereiche, der Vorgangsweise und die Bewertung der Sicherheitsmaßnahmen.

Ein optionaler Zusatzbericht beinhaltet eine Zusammenfassung des ermittelten akkumulierten Risikos als Management Summary, eine detaillierte Liste der identifizierten Schwachstellen mit entsprechender Bewertung als auch Verbesserungsvorschläge bzw. konkrete Maßnahmen, die das jeweilige Risiko minimieren können.

FAQs

Bin ich vom NIS Gesetz und der NIS Verordnung betroffen?

Das müssen zum Glück nicht Sie entscheiden. Wenn Sie als Betreiber eines wesentlichen Dienstes eingestuft wurden, dann wurde Ihnen ein entsprechender Bescheid vom BMI zugestellt.

Ich bin ein BwD - Wie lange habe ich Zeit die Anforderungen aus der NIS Verordnung zu erfüllen?

Häufig treffen wir auf die Meinung, dass ermittelte Betreiber wesentlicher Dienste nach Bescheid-Zustellung drei Jahre Zeit haben die geforderten Maßnahmen umzusetzen. Dabei bezieht sich der Zeitraum aber auf das Intervall, das mindestens einzuhalten ist, um die Umsetzung der geforderten Maßnahmen NACHZUWEISEN. Tatsächlich muss die Umsetzung der Maßnahmen bereits erfolgt sein, eine Überprüfung durch das BMI ist jederzeit möglich.

Reicht mir ein ISO 2001 Audit bzw. eine Dokumentenprüfung als Nachweis?

Der Nachweis für die Umsetzung der Maßnahmen muss organisatorische und technische Prüfungskomponenten aufweisen. Dh. ein Prüfungsansatz á la ISO 27001 Audit, der sich über Dokumentation und durch Interviews erfolgt, reicht somit nicht aus. Es müssen die Effektivität von Maßnahmen durch geeignete technische Prüftätigkeiten nachgewiesen werden. Je nach Prüfungsgegenstand und Prüfungsumfang reicht das von Segmentierungstests über Schwachstellenanalysen zum Feststellen des Patch- und Konfigurationsstatus bis hin zu Penetration Tests. Hier bringen wir die notwendige Erfharung mit, insbesondere in kritischen bzw. fragilen Umgebungen.

Was ist der Scope eines NIS Audits und was kostet es?

Der Scope eines NIS Audits wird durch die Systemgrenzen des betroffenen Dienstes definiert. Üblicherweise erstreckt sich ein Dienst über mehrere Services, Infrastruktur, Software, Personal, Prozesse und Daten. Die Verantwortung zur Dokumentation der Systemgrenzen des wesentlichen Dienstes liegt beim Betreiber. Wir stellen aber fest, dass das Festlegen der Systemgrenzen oft ein Problem für Betreiber darstellt. Wir unterstützen daher bereits bei der Erstellung der Systembeschreibung und der Grenzen des Dienstes im Rahmen von Workshops. Die Systembeschreibung in Kombination mit dem Prüfungsumfang stellen dann auch die Grundlage für eine Aufwandsabschätzung bzw. Preisermittlung dar.