ISMS / NIS 2 / KRITIS / ISO 27001 & TISAX

Kopia Consulting begleitet sehr 10 Jahren Projekte im Rahmen von ISMS-Einführungen, Optimierungen und Auditierungen.
 
Kunden kommen aus verschiedenen Bereichen:

  • Konzerne unterschiedlicher Branchen (Automotive, Banken / Versicherungen, Energie / Versorgung, Industrie, Bahn, IT-/Software-Entwicklung / Cloud und Rechenzentrums-Anbieter, Gesundheit / Kliniken)
  • Mittelstand und Startups (Branchenübergreifend)   
  • Öffentliche Unternehmen / Behörden

Die Schwerpunkte der Tätigkeiten sind die Vorbereitung auf Erst-Audits oder Optimierungn im Rahmen von Überwachungsaudits zur Erfüllung gesetzlicher oder regulatorischer Anforderungen. Dabei sind auch Scope-Erweiterungen bzw. weitere Managementsysteme und Standards im Fokus. Projekt fokussieren sich auf unterschiedliche Themen, vor allem:

  • Aufbau / Verbesserung von ISO 27001 bzw. TISAX (ENX) – Ersteres nativ oder auch basierend auf BSI IT-Grundschutz 
  • Aufbau eines Notfallmanagements / BCM nach ISO 22301 oder BSI 200-4
  • Erweiterung des Managementsystems in Richtung Cloud-Security (ISO 27017, ISO 27018)
  • Aufbau eines Datenschutzmanagementsystems gemäß ISO 27701 / DSGVO-Anforderungen 
  • Integration in Managementsysteme wie ISO 14001, ISO 50001, ISO 9001, ISO 20001, ISIS 12-Sicherheitsmaßnahmen 
  • Analyse und Implementierung von Anforderungen weiterer Standards wie NIST-Standards, Critical Security Controls / CIS-Controls, AICPA TSC / SOC 2
  • Synergie-Schaffung zwischen Anforderungen aus GOBD 
  • Erfüllung von Anforderungen oder anderer Gesetze, z.B. dem Chinese Cyber Security Law. 
  • Etablierung eines Lieferantenmanagement-Prozesses im Sinne der Sicherheit der Lieferkette


In den letzten 7 Jahren wurden verstärkt Projekte für kritische Infrastrukturen (KRITIS) realisiert. Die Basis bildet das IT-Sicherheitsgesetz.

Die neuen Anforderungen aus NIS2-Richtlinie und IT-Sicherheitsgesetz 2.0 (sowie Anforderungen §8a BSI-Gesetz) erfordern weitere Maßnahme hinsichtlich Systeme zur Angriffserkennung (SzA – siehe SIEM), Vofallsmanagement, Sicherheit in der Supply Chain / Lieferantenmanagement etc. Basierend auf den Anforderungen gängier Standards wie BSI IT-Grundschutz, ISO-Normen, SOC2 oder existierenden branchenspezifischen Sicherheitsstandards (B3S) etablieren wir Managementsysteme und begleiten deren Umsetzung. Ein besonderer Branchenfokus liegt hierbei auf den Sektor Energieerzeugung wie Verteilung, Automobilindustrie, Kliniken und Gesundheitssektor, Banken und Versicherungen sowie der öffentliche Bereich / Behörden.    

Typische Tätigkeiten bestehen u.a. in:

  • GAP-Analysen und Projektplanung für Einführungsprojekte
  • Interne Audits zur Vorbereitung auf eine Zertifizierung
  • Externe Audits (Wir sind berufen bei verschiedenen Cert-Gesellschaften)
  • Risikomanagement-Einführungen und Umsetzung (einschl. Tool-Einführung – Fachwissen bekannter GRC- und Risikomanagement-Tools vorhanden) 
  • Aufbau und Beratung in allen Punkten der genannten Standards ISO 27001 (insb. auch ISO 27001:2022), TISAX, KRITIS / B3S sowie SzA, NIS2)
  • Übernahme von externen ISO-Beauftragten- bzw. temporären CISO-Positionen
  • Implementierung von Einzelmaßnahmen im Bereich IT-Security