So gelingt Informationssicherheit mit System: Warum ein ISMS im Zeitalter von NIS-2, ISO 27001 & Co. immer wichtiger wird

Advertorial

IT-Sicherheit ist derzeit quer durch alle Branchen ein viel diskutiertes Thema. Was beobachten Sie aktuell bei Ihren Kunden?

Die NIS-2-Richtlinie der EU hat das Thema IT-Sicherheit stärker in den Fokus gerückt. Viele Unternehmen sind inzwischen dafür sensibilisiert, aber verunsichert. Die Wege der Umsetzung erscheinen ihnen diffus, und was konkret gefordert wird, ist vielfach noch nicht immer klar. Viele unterschätzen den Aufwand, aber vor allem auch den Nutzen, den ein systematisch aufgebautes ISMS in digitaler Form bieten kann. Unsere Erfahrung ist, dass eine spezialisierte Lösung wie ConSense GRC eingesetzt wird, die ein ISMS mit allen sicherheitsrelevanten Anforderungen zentral abbildet.

Was raten Sie Unternehmen, die jetzt aktiv werden wollen?

Zuallererst: Nicht abwarten, bis die Richtlinie zum geltenden Gesetz geworden ist. Durch die Neuwahlen hat sich die Umsetzung in nationales Recht zwar verzögert, aber die Anforderungen sind klar. Und die wesentlichen Elemente eines ISMS wie beispielsweise Risikobewertung und Risikobewältigung lassen sich schon heute umsetzen. Wer mit einem systematischen und softwaregestützten ISMS vorausschauend für mehr IT-Sicherheit vorsorgt, gerät später nicht in die Defensive, wenn es doch zu einem Vorfall kommt – denn dann muss nachgewiesen werden, wie Risiken bewertet und Maßnahmen umgesetzt wurden.

Die zweite wichtige Empfehlung lautet: Nicht isoliert denken. Ein ISMS funktioniert am besten, wenn es in bestehende Strukturen eingebunden wird, zum Beispiel in ein Integriertes Managementsystem (IMS). Hier kommen Lösungen wie unsere Software ins Spiel, die Informationssicherheit nahtlos in ein übergreifendes IMS integriert.

Wie unterstützt ConSense bei der Umsetzung?

Wir haben Softwarelösungen entwickelt, die komplexe Anforderungen greifbar machen. Unsere GRC-Modul, das die ConSense Basissoftware ergänzt, bildet sämtliche sicherheitsrelevanten Elemente – von der Asset-Analyse bis zur Risikobewertung. Unternehmen erhalten den Überblick, wissen, wo sie stehen, und können Maßnahmen dokumentieren. Dazu gehört auch die Verwaltung aller Nachweisdokumente. Ziel ist es, unseren Kunden den Arbeitsalltag sicherer zu gestalten, ohne dabei Prozesse unnötig zu verkomplizieren.

Sie setzen demnach auf Integration statt auf Insellösungen?

Ganz genau, unsere Stärke liegt in der Verbindung. Wir ermöglichen, dass Unternehmen nicht nur Informationssicherheit abbilden, sondern sie mit allen IT-Managementsystemen verknüpfen. Eine geeignete Software wie unsere ist nicht nur ein Werkzeug, sondern unterstützt die Unternehmen mit einer für sie strukturierten, effizienten und nachvollziehbaren Umsetzung. Unsere Lösungen spielen mit weiteren Managementsystemen und bieten so zum zentralen Baustein ein ganzheitliches Compliance- und Risikomanagement.

Was unterscheidet Ihre Lösung von anderen?

Das ist aus der Sicht unserer Anwenderinnen und Anwender: Unsere Softwarelösungen sind skalierbar, einfach zu bedienen und individuell anpassbar. Sie erfüllen die Anforderungen unterschiedlichster Unternehmen und Branchen, sind revisionssicher, auditkonform und unterstützen die Arbeit der Verantwortlichen im Umgang mit Risiken. Dazu zählt das Asset-Management als zentraler Baustein.

Wie schätzen Sie die Zukunft dieses Themas?

Mit unseren Erfahrungen aus der Praxis wünschen wir uns, dass Unternehmen mehr Bewusstsein dafür, dass Cybersicherheit kein Projekt, sondern eine dauerhafte Aufgabe ist. Sie beginnt nicht mit Technik allein, sondern mit den Menschen in den Unternehmen. IT- und Informationssicherheit erfordert ein Umdenken im Umgang mit Risiken. Darauf richten wir mit unseren Softwarelösungen unseren Fokus.