,

NIS2 – Frist zur Registrierung endet am 06.03.2026!

Mit Inkrafttreten des NIS2-Umsetzungsgesetzes am 06.12.2025 begann die 3-monatige Frist zur Registrierung als NIS2-Einrichtung beim BSI. Diese Frist endet somit diese Woche am 06.03.2026!

Was bei der Registrierung beachtet werden muss

Die Registrierung muss in zwei Schritten erfolgen: für die Anmeldung im BSI-Portal ist eine Registrierung des Unternehmens bei „Mein Unternehmenskonto“ (MUK) nötig. Hierbei ist zu beachten, dass für die Registrierung ein Elster-Zertifikat pro Person, die im Portal eingetragen werden soll, nötig ist, die Neuaustellung dieses Zertifikates nimmt ggf. einige Zeit in Anspruch. Daher sollte nun keine Zeit mehr verloren werden, falls bisher noch keine Registrierung erfolgt ist. Sollte die Anmeldung „nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig“ erfolgen, können gemäß §65 des Gesetzes zur Umsetzung der NIS2-Richtlinie Bußgelder drohen.

Unterstützungsangebote

Das BSI stellt online ein Starterpaket zur Verfügung das unter anderem Anleitungen für das BSI-Portal und „Mein Unternehmenskonto“ enthält. Bei Fragen zu der Registrierung helfen aber auch unsere Berater weiter, sprechen Sie uns daher gern an.

Wenn Sie sich unsicher sind, ob Ihr Unternehmen überhaupt unter die NIS2 Regelungen fällt: melden Sie sich für unser Kompaktseminar NIS2 Orientierungshilfe an, hier zeigen wir auf, unter welchen Voraussetzungen Unternehmen unter die NIS2-Pflicht fallen und was danach zu tun ist. Wir beraten Sie auch gern individuell und führen mit Ihnen eine Betroffenheitsanalyse durch.

Weitere Seminare finden Sie unter https://anmatho.de/seminare. Diese können Sie auch als individuelles Inhouse-Seminar buchen.
Sprechen Sie uns gern an.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website. Hier finden Sie auch die Folge: Meldung von Sicherheitsvorfällen, der sich unter anderem auch mit der Registrierung beim BSI-Portal beschäftigt.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Meldung von Sicherheitsvorfällen

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Viele Unternehmen sind plötzlich verpflichtet Sicherheitsvorfälle zu melden – doch kaum jemand fühlt sich wirklich vorbereitet. Genau darum geht es in unserer neuen Podcast-Folge „Meldung von Sicherheitsvorfällen – das neue BSI-Portal“.

Warum diese Folge wichtig ist

Mit NIS2 werden deutlich mehr Unternehmen als „wichtige“ oder „besonders wichtige“ Einrichtungen eingestuft – und damit meldepflichtig bei erheblichen Sicherheitsvorfällen. Ransomware auf der OT, Datenabfluss aus zentralen IT-Systemen oder der Ausfall kritischer Dienste: All das kann künftig nicht nur ein Sicherheitsproblem, sondern auch ein Meldeproblem werden.

Gleichzeitig sind die Fristen eng: Frühwarnung innerhalb von 24 Stunden, danach weitere Meldestufen bis hin zum Abschlussbericht. Wer hier keine klaren Prozesse, Zuständigkeiten und Zugänge hat, verliert im Ernstfall wertvolle Zeit – und riskiert Fehler.

Was Sie aus dem Podcast mitnehmen

In der Folge sprechen wir unter anderem darüber:

  • Ab wann ein Vorfall als „erheblich“ gilt, inklusive typischer Beispiele aus der Praxis.
  • Wie die mehrstufigen Meldefristen aussehen und warum eine frühe, notfalls unvollständige Meldung besser ist als gar keine.
  • Welche Rolle das neue BSI-Portal spielt, wie die Registrierung funktioniert und warum „Mein Unternehmenskonto“ (MUK) dabei der Startpunkt ist.
  • Welche Informationen im Meldeformular abgefragt werden – von Stammdaten über Art des Vorfalls bis hin zu Auswirkungen und Maßnahmen.
  • Wie Sie Meldepflichten sinnvoll in ISMS, BCM und Incident Response integrieren.
  • Wo in der Praxis erfahrungsgemäß die Stolperfallen liegen: verspätete Eskalation, fehlende Verantwortlichkeiten, ungeübter Portalzugang und Angst vor Reputationsschäden.
  • Zum Schluss geben wir 5 Todos die jetzt umgesetzt werden müssen.

Für wen sich das Hören lohnt

Die Episode richtet sich insbesondere an:

  • Informationssicherheitsbeauftragte (ISB)
  • CISOs
  • Mitglieder von Krisenstäben
  • Leitungen von Fachbereichen und Geschäftsführung in NIS2-betroffenen Unternehmen

Jetzt reinhören und ins Handeln kommen

Wenn Sie beim Thema NIS2-Meldepflichten und BSI-Portal noch das Gefühl haben „Wir müssten da dringend mal ran“, ist diese Folge genau für Sie gemacht. Nutzen Sie den Podcast als Einstieg, um im nächsten Schritt Ihre Registrierung, Prozesse und Unterlagen konkret anzugehen – bevor der erste erhebliche Vorfall eintritt.

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

„Security Awareness – Sicherheit leben“ Teil 2: Phishing

In einer Serie von Blogartikeln zum Thema Security Awareness (Artikel 1 ; Artikel 2; Artikel 3; Artikel 4; Artikel 5; Artikel 6; Artikel 7; Artikel 8; Artikel 9) haben wir gezeigt, dass Awareness-Maßnahmen für einen nachhaltigen Erfolg systematisch aufgebaut und strukturiert werden müssen. Das vorgestellte Awareness-Konzept ist in gewisser Hinsicht ein Gegenpol zu den oftmals in der Praxis anzutreffenden Einzelmaßnahmen. Doch auch ein gut durchdachtes Konzept besteht aus einzelnen Maßnahmen, und es beginnt mit der Frage, welche Ziele durch eine Awareness-Maßnahme bei einer spezifischen Zielgruppe erreicht werden sollen.

Das Ziel einer Awareness-Maßnahme ergibt sich oft aus der Tatsache heraus, dass erfolgreiche Angriffe auf Unternehmen und Einrichtungen auf nur einigen wenigen Schwachstellen beruhen. Daher verwundert es nicht, wenn Awareness-Maßnahmen häufig genau diese Schwachstellen adressieren. Auf einige der geradezu klassischen Schwachstellen soll in diesem ersten Beitrag eingegangen werden.

Einstiegsmöglichkeit Nummer 1: Phishing

Eine viel genutzte Angriffsmethode sind Phishingversuche. Hierbei sollen die Opfer durch oft gut gemachte E-Mails oder Anrufe dazu verleitet werden, sensible Informationen preiszugeben, die dadurch bei den Angreifern landen und von diesen missbraucht werden können. Viele dieser Phishingversuche basieren darauf, dass die Opfer auf anscheinend echte, tatsächlich aber vom Angreifer nachgebildete Seiten gelockt werden. Da diese Seiten sehr vielfältig sein können und sich die initialen Phishingversuche auch stark unterscheiden, ist es fast unmöglich, konkrete Phishingversuche inhaltlich vorauszuahnen. Die beste Möglichkeit zur Abwehr solcher Angriffe ist es daher, die potenziellen Opfer zu schulen und zu informieren, damit Phisingangriffe erkannt und sicher abgewehrt werden können.

Warum funktioniert Phishing so oft?

Obwohl der richtige Umgang mit Phisingversuchen in Awarenessmaßnahmen sehr häufig thematisiert werden, sind Phishingversuche leider in der Praxis oft erfolgreich. Das liegt unter anderem daran, dass die Angreifer in psychologischer Hinsicht geschickt gestalten. So werden dem Empfänger z.B. Vorteile versprochen, insbesondere bei schneller Reaktion. In diesem Beispiel wirkt die Psychologie gleich doppelt: die Aussicht auf Vorteile überlagert das kritische Nachdenken, und dieser Effekt wird durch ein kleines Zeitfenster noch verstärkt. Das Unter-Druck-Setzen funktioniert auch in Kombination mit angedrohten negativen Umständen, wie die Sperrung von Konten oder das Erheben von Strafzahlungen.

Eine weitere Gestaltungsmöglichkeit von erfolgreichen Phishingversuchen beruht in der (scheinbaren) Nutzung von realen Kommunikationspartnern, mit denen das Opfer in Verbindung zu stehen scheint. Somit erhält der Angriff einen Anschein von Echtheit, und als Empfänger ist man eher geneigt, auf den Kommunikationsversuch einzugehen.

Einstiegsmöglichkeit Nummer 2: Social Engineering

Verkürzt könnte man sagen, dass Social Engenieering teilweise auf ähnlichen Wirkmechanismen beruht, wie die Phishingversuche. Allerdings geht es meist nicht primär um das Erlangen von Zugangsdaten und Passwörtern dadurch, dass die Zugangsdaten in nachempfundene Systeme eingegeben werden sollen. Vielmehr ist es das Ziel des Angreifers, das Opfer zu einem eigentlich als verboten bekannten Verhalten zu animieren. Dies erfolgt oft in direkter zwischenmenschlicher Interaktion. Der Angreifer versucht auf vielfältige Art und Weise, ein Vertrauensverhältnis aufzubauen, z.B. (wieder) durch das Einräumen von Vorteilen, oder durch Vortäuschen einer Notsituation. Das Opfer fühlt sich verpflichtet, auf die Wünsche oder die Notlage des Angreifers einzugehen, eben weil ein Vertrauensverhältnis zum Angreifer wahrgenommen wird. Dabei nimmt das Opfer auch bewusst in Kauf, gegen bestehende Sicherheitsvorgaben zu verstoßen.

Was Sie auch interessieren könnte:

Seminar:

In unserem Seminar Security Awareness – Sicherheit leben gehen wir gezielt auf mögliche Angriff Szenarien ein und üben mit den Teilnehmern das erkennen von Warnsignalen. Buchen Sie jetzt und stärken das Sicherheitsbewusstsein in Ihrem Unternehmen.

„Security Awareness – Sicherheit leben“

Weitere Seminare finden Sie unter https://anmatho.de/seminare. Diese können Sie auch als individuelles Inhouse-Seminar buchen.
Sprechen Sie uns gern an.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

„Geschäftsleitung fit für NIS2“ – Teil 1

Seit dem 6. Dezember 2025 ist die NIS2-Richtlinie der EU in deutsches Recht umgesetzt. Allerdings finden sich die Vorgaben nicht – wie man vielleicht erwarten könnte – in einem einzigen, eigenständige „NIS-2-Gesetz“, sondern vielmehr an mehreren verschiedenen Stellen. Für Energieversorgungsunternehmen (EVU) finden sich einige der Regelungen beispielsweise in den neu hinzugefügten Paragrafen §5c bis §5e des Energiewirtschaftsgesetzes (EnWG), ähnlich ist es bei Telekommunikationsunternehmen. Für die meisten Unternehmen, die unter die Regulierung nach NIS2 fallen, finden sich die Vorgaben im komplett neu verfassten BSI-Gesetz (BSI-G).

In den Rezensionen der EU-NIS2-Richtlinie bzw. des BSI-G wird meist hervorgehoben, dass es sich um Vorgaben zur Stärkung und Verbesserung der Cybersicherheit von Unternehmen handelt. Und in der Tat findet auch ein wesentlicher Teil der Umsetzung im Bereich Management von Cyberrisiken statt. Allerdings kommen weitere Aspekte hinzu, die bei bisher nicht regulierten Unternehmen doch einiges an Umdenken und Umstrukturierung erfordern, wie z.B. die Meldepflichten oder die Betonung der Einbindung der Unternehmensleitung.

Gerade die Unternehmensleitungen werden im BSI-G direkt angesprochen, mit „Umsetzungs-, Schulungs- und Überwachungspflicht für Geschäftsleitungen“ (§38 BSI-G). Die Schulungspflicht für die Geschäftsleitungen adressiert vermutlich die Notwendigkeit, dass Geschäftsleitungen ein ausreichendes Verständnis für den Hintergrund von Maßnahmen zur Verbesserung der Informationssicherheit haben müssen, um ihren Umsetzungs- und Überwachungspflichten nachkommen zu können. Anders formuliert: Geschäftsleitung einerseits und Informationssicherheitsbeauftragte oder IT-Abteilung andererseits sollen nicht aneinander vorbeireden, wenn es um die Bewertung von Cyberrisken oder die Umsetzung passender Maßnahmen geht.

Aus diesem Grund hat die ANMATHO AG ihr Schulungs- und Seminarprogramm um die Schulungen „Geschäftsleitungen fit für NIS2“ (für Unternehmen im Bereich der Energieversorgung “Geschäftsleitung fit für NIS2 (Stadtwerke)”) ergänzt. Die Schulungen orientieren sich in Aufbau und Umfang an den Handreichungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sie vermitteln Geschäftsleitungen einen Einblick in die Gesetzeslage bezüglich der NIS2-Umsetzung sowie ein grundlegendes Verständnis für den Umgang mit Informationssicherheitsrisiken. Last but not least dient die Teilnahme an dem Seminar auch dem Nachweis, dass der Schulungspflicht nachgekommen wurde.

Übrigens: „Geschäftsleitungen“ adressiert alle Arten von Organisationen, die NIS2-pflichtig sind, unabhängig von der Recht- oder Organisationsform. Also Geschäftsführer, Vorstände, Behördenleiter, …

Was Sie auch interessieren könnte:

Seminar:

“Kompaktseminar NIS2 Orientierungshilfe”

Weitere Seminare finden Sie unter https://anmatho.de/seminare, diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.
Hören Sie rein!

/von
,

Audit-Fragen verstehen: Wie Zertifizierungsauditoren im ISMS wirklich denken

Auditgespräche im Rahmen eines Informationssicherheits-Managementsystems (ISMS) sind für viele Mitarbeitende eine ungewohnte Situation. Auditorinnen und Auditoren stellen Fragen, die auf den ersten Blick banal oder gar verwirrend wirken. Doch hinter jeder dieser Fragen steckt eine gezielte Technik – nicht um jemanden in die Enge zu treiben, sondern um die Funktionsweise des Managementsystems wirklich zu verstehen. Hier klären wir die Hintergründe und die Art der Fragetechniken für Sie auf:

Warum Audit-Fragen oft so „komisch“ wirken

Ein externer ISO 27001-Auditor stellt Fragen, die für viele Mitarbeitende zunächst rätselhaft erscheinen. Sie wirken indirekt, manchmal sogar wie Fangfragen. Doch genau diese Art der Fragestellung ist kein Zufall – sie gehört zum professionellen Werkzeug eines Auditors.

Diese Technik nennt sich verhaltensorientierte Befragung und ist besonders effektiv, um die Umsetzung gelebter Prozesse zu erkennen. Sie deckt Unterschiede auf zwischen „wir haben ein Verfahren“ und „wir wenden es tatsächlich an“.

Der Grund ist einfach: Ein Zertifizierungsauditor kennt die Organisation nicht aus dem Alltag. Er muss sich innerhalb weniger Tage ein objektives Bild machen – über Prozesse, Rollen, Entscheidungslogiken und gelebte Informationssicherheit. Dafür braucht er Fragen, die tiefer gehen und nicht nur auswendig gelerntes Wissen abfragen.

Auditoren wollen nicht hören, was im Handbuch steht, sondern wie das Unternehmen tatsächlich handelt. Deshalb beginnen Gespräche oft mit scheinbar alltäglichen Situationen, etwa:

„Wie würden Sie reagieren, wenn Sie einen fremden USB-Stick auf dem Parkplatz finden?“

Diese Frage zielt nicht auf Richtlinienkenntnis, sondern auf Sicherheitsbewusstsein ab – also darauf, ob die ISMS-Prinzipien im Alltag wirklich gelebt werden.

Die Psychologie hinter der Auditfrage

Auditoren wissen: Menschen neigen dazu, Dinge im besten Licht darzustellen – besonders in Prüfungssituationen. Um diese natürliche Tendenz auszugleichen, werden Fragen so gestellt, dass spontane und authentische Antworten entstehen. Das kann sich für die Befragten ungewohnt oder sogar „trickreich“ anfühlen. In Wahrheit geht es jedoch um Objektivität: Nur durch Neutralität und Quervergleiche lassen sich Schwachstellen und Verbesserungspotenziale erkennen.

Darüber hinaus nutzen Auditoren Triangulation – das bedeutet, sie stellen ähnliche Fragen auf unterschiedlichen Ebenen: an Mitarbeitende, an Führungskräfte und anhand von Dokumenten. Stimmen die Antworten über alle Ebenen hinweg überein, spricht das für ein stabiles System. Weichen sie stark voneinander ab, liegt möglicherweise ein Kommunikations- oder Schulungsdefizit vor.

Die Ziele hinter den Audit-Fragen

Im Kern möchten externe Zertifizierungsauditoren drei Dinge verstehen:

  1. Wird das ISMS tatsächlich umgesetzt?
    Sie prüfen, ob Prozesse wie Risikobewertung, Asset-Management oder Incident Response nicht nur beschrieben, sondern auch angewendet werden.
  2. Sind Maßnahmen wirksam und angemessen?
    Ein System kann formal korrekt sein – entscheidend ist, ob die Maßnahmen ihre Ziele erreichen.
  3. Wird die kontinuierliche Verbesserung gelebt?
    Das Audit soll zeigen, ob das Unternehmen aus Erfahrungen lernt, Prozesse optimiert und Schwachstellen behebt.

Um all das zu prüfen, bedienen sich Auditoren verschiedener Fragetechniken – eine gezielte Mischung aus offenen, prüfenden und verifizierenden Fragen.

Die drei Ebenen der Auditfragetechnik

  1. Offene Fragen:
    Diese beginnen oft mit Wie, Was oder Wodurch und regen zur freien Beschreibung an. Beispiel:

„Wie stellen Sie sicher, dass Ihre Zutrittskontrollen auch außerhalb der Bürozeiten wirksam bleiben?“

  1. Prüfende Fragen:
    Hier will der Auditor Belege oder Nachweise sehen:

„Können Sie mir das letzte Zutrittsprotokoll oder eine Schulungsunterlage zeigen?“

  1. Verifizierende Fragen:
    Diese überprüfen, ob Praxis und Dokumentation zusammenpassen:

„Ist diese Vorgehensweise in Ihrer Sicherheitsrichtlinie so beschrieben?“

Durch die Kombination dieser Ebenen entsteht ein vollständiges Bild – von der Theorie über die Umsetzung bis zur Nachweisführung.

Objektivität und Psychologie: Warum die Distanz notwendig ist

Zertifizierungsauditoren sind zur Neutralität und Unabhängigkeit verpflichtet. Anders als interne Auditoren kennen sie keine internen Strukturen oder persönlichen Hintergründe – und genau das ist ihr Vorteil. Sie betrachten das ISMS von außen und entdecken so inkonsistente Prozesse oder Kommunikationslücken, die intern oft übersehen werden.

Für Mitarbeitende kann diese Distanz zunächst irritierend wirken, weil Fragen manchmal sehr präzise oder emotional neutral gestellt werden. Doch sie dient dazu, jede Antwort unvoreingenommen zu bewerten. Der Auditor will verstehen, was IST, nicht was beabsichtigt war.

Erfahrene Auditoren schaffen dabei eine Balance aus Strenge und Empathie. Sie wissen, dass ein auditiver Dialog nur funktioniert, wenn Vertrauen entsteht. Ein respektvoller Umgang und transparente Kommunikation sind daher Teil einer professionellen Audittechnik.

Warum Fragen so gestellt werden, wie sie gestellt werden

Ein häufiger Irrtum ist, dass ein Auditor versteckte Prüfziele hat oder Mitarbeitende in Verlegenheit bringen will. In Wahrheit sind Audit-Fragen zielorientiert strukturiert – jede dient einem bestimmten Nachweis:

  • Wirksamkeit: Funktioniert der Prozess im Alltag?
  • Angemessenheit: Passt die Maßnahme zur Risikolage?
  • Nachvollziehbarkeit: Sind Aussagen durch Belege stimmig?

Dass diese Fragen manchmal indirekt formuliert sind, liegt daran, dass direkte Fragen leicht zu „Standardantworten“ führen. Indirekte Fragen fördern authentische, praxisnahe Antworten – sie zeigen, ob Informationssicherheit im täglichen Handeln verankert ist.

Souverän mit Audit-Fragen umgehen: Vier Praxistipps

  1. Innehalten und verstehen.
    Wenn eine Frage unklar oder kompliziert klingt, ruhig kurz nachdenken. Häufig steckt eine einfache Intention dahinter – etwa: „Wie funktioniert’s in der Praxis?“
  2. Ehrlich und aus der Praxis heraus antworten.
    Der Auditor möchte Ihre tatsächliche Vorgehensweise hören, keine idealisierte Theorie. Auch ein „Wir machen das derzeit manuell, planen aber eine Automatisierung“ ist eine gute, ehrliche Antwort.
  3. Nachfragen ist Professionalität – kein Schwächezeichen.
    Bei Unsicherheit einfach fragen: „Meinen Sie das bezogen auf den Prozess oder das Dokument?“ – das zeigt Engagement und Verständnis. Auch wenn eine Frage völlig unklar ist, jederzeit gerne Nachfragen, Menschen sind nun einmal unterschiedlich, in Ausdrucksweise und Verständnis.
  4. Beispiele nutzen.
    Konkrete Situationen oder Vorfälle aus dem Arbeitsalltag sind glaubwürdig und zeigen, dass Prozesse tatsächlich verankert sind.

Fazit: Die Frage als Spiegel des Systems

Ein externer Zertifizierungsauditor ist kein Gegner, sondern ein Spiegel – er zeigt, wie reif und wirksam das ISMS tatsächlich ist. Seine Fragetechnik offenbart nicht Mängel, sondern Chancen: die Möglichkeit, Abläufe zu hinterfragen, Verantwortlichkeiten zu schärfen und die Informationssicherheit langfristig zu stärken.

Wer erkennt, dass jede Auditfrage einen Sinn hat und Teil eines strukturierten Prüfkonzepts ist, erlebt Audits nicht mehr als Belastung, sondern als Gewinn – fachlich, organisatorisch und menschlich.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.

Hören Sie rein!

 

/von
,

Erfolgreiches Kompaktseminar NIS2 Orientierungshilfe

Das Kompaktseminar NIS2 Orientierungshilfe stieß an beiden Veranstaltungsterminen auf großes Interesse. Zahlreiche Teilnehmende aus unserem Kundenkreis nutzten die Gelegenheit, sich einen fundierten ersten Überblick über die neuen gesetzlichen Anforderungen des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) zu verschaffen. Die rege Beteiligung und der konstruktive Austausch zeigten, dass das Thema Cybersicherheit und Compliance aktuell in vielen Unternehmen hohe Priorität hat.

Im Mittelpunkt des Seminars standen die wesentlichen Neuerungen, die sich durch die Umsetzung der europäischen NIS2-Richtlinie in deutsches Recht ergeben. Behandelt wurden insbesondere die erweiterten Pflichten für Unternehmen, die Bestimmung der betroffenen Organisationen sowie die erhöhten Anforderungen an Risikomanagement, Meldeprozesse und Nachweispflichten. Anhand praxisnaher Beispiele wurde verdeutlicht, welche Maßnahmen frühzeitig einzuleiten sind, um die Compliance-Anforderungen rechtzeitig zu erfüllen.

Darüber hinaus bot das Seminar konkrete Handlungsempfehlungen für den Aufbau oder die Anpassung eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO 27001 sowie zur Integration von NIS2-Anforderungen in bestehende Governance-Strukturen. Die Teilnehmenden erhielten klare Hinweise und Empfehlungen, um den Umsetzungsprozess in ihren Organisationen gezielt voranzutreiben.

Insgesamt zeigte das Feedback: Der kompakte Überblick schafft die notwendige Orientierung, um jetzt die richtigen Prioritäten zu setzen.

Wir bieten Ihnen auch die passenden Vertiefungsseminare zu Einzelthemen wie z.B. der geforderten Geschäftsführungsschulung, dem Risikomanagement, BCM und natürlich auch der Auditvorbereitung.

Sie haben den Termin verpasst? Kein Problem. Hier ist die nächste Chance…

Kompaktseminar NIS2 Orientierungshilfe

 

/von
, ,

Podcast – Jahresrückblick 2025 & Ausblick 2026

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

2025 war ein Jahr der Weichenstellungen – nicht spektakulär, aber entscheidend. In der neuen Podcast-Folge blicken wir auf die wichtigsten Entwicklungen in Informationssicherheit und Datenschutz zurück und werfen einen fundierten Blick auf das, was 2026 bringen wird.

Vom Warten zum Handeln – NIS2 ist da

Lange war es Thema in der Branche, jetzt ist es Realität: Das NIS2-Umsetzungsgesetz wurde verabschiedet. Damit steigt die Zahl der Unternehmen, die sich künftig strukturierter mit Informationssicherheit beschäftigen müssen, erheblich.
Wir erklären im Podcast, warum 2026 das Jahr sein wird, in dem viele Organisationen wirklich beginnen, ihre Pflichten aus NIS2 umzusetzen – mit Themen wie RisikomanagementBusiness Continuity und der Schulung der Geschäftsleitungen.

Datenschutz unter Druck? Der digitale Omnibus

Auch im Datenschutzrecht wird es interessant: Der sogenannte digitale Omnibus der EU soll verschiedene Digitalgesetzgebungen zusammenführen und davon ist auch die DSGVO betroffen.
Doch die Meinungen gehen auseinander – während die einen die Vereinfachung begrüßen, warnen andere vor einer Aufweichung des Datenschutzes. Im Podcast beleuchten wir, welche Änderungen denkbar sind und wo sich Chancen für praxisnähere Regelungen eröffnen könnten.

Künstliche Intelligenz: Zwischen Innovation und Risiko

Kaum ein Thema hat 2025 so stark geprägt wie künstliche Intelligenz. Ob beim Schutz sensibler Daten, in Angriffsszenarien oder im Unternehmensalltag – KI verändert die Spielregeln grundlegend.
Klar ist – KI ist gekommen, um zu bleiben.

Awareness bleibt der beste Schutz

Einig sind sich wohl alle: Technologie allein reicht nicht. Schulung und Sensibilisierung der Mitarbeitenden bleiben die letzte Verteidigungslinie gegen Sicherheitsvorfälle und Datenschutzverletzungen.
Der Podcast liefert praxisnahe Einblicke, wie Unternehmen zielgruppenorientierte Awareness-Programme gestalten und Informationssicherheit und Datenschutz dabei sinnvoll miteinander verzahnen können.

Aus der Praxis – und mit Blick in die Zukunft

Neben der Gesetzgebung geht es im Gespräch auch um aktuelle Entwicklungen in der Beratung: etwa die steigende Bedeutung interner Audits im ISMS und die Vorteile externer Sichtweisen.
Und ein Blick nach vorn darf nicht fehlen: 2026 steht beim ANMATHO-Forum (17. März) das Thema Risikomanagement im Fokus. Dort treffen sich erneut Expertinnen und Experten zum Erfahrungsaustausch und zur Diskussion praxisorientierter Lösungen.

Jetzt reinhören!

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast” und “Spotify” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, ,

DSMS planen – ISO 27701:2025 erschienen

Im Oktober 2025 ist die neue Version der ISO 27701 erschienen, zunächst nur in englischer Sprache. Da die rechtlichen Anforderungen aus dem Datenschutz sich seit dem Erscheinen der DIN EN ISO/IEC 27701:2021 nicht wesentlich geändert haben, bringt diese Version der Norm wenig inhaltliche Neuerungen mit sich. Umso größer sind die strukturellen Änderungen.

Eigenständiges Managementsystem

Im Artikel “Informationssicherheit und Datenschutz – mit der ISO 27701 Synergien nutzen und die Wettbewerbsfähigkeit stärken” und in der Artikelserie “Datenschutz in ein bestehendes ISMS integrieren” habe ich beschrieben, wie der Datenschutz mit Hilfe der DIN ISO 27701:2021 in ein bestehendes ISMS nach ISO 27001 integriert werden kann. Die ISO 27701:2025 beschreibt jetzt ein eigenständiges Datenschutz-Managementsystem (DSMS). Dies ist die wesentliche Neuerung in dieser Version. Die Struktur der Norm folgt nun der Harmonized Structure (vormals High Level Structure) der ISO-Managementnormen.

Inhaltlich sind natürlich immer noch viele technische und organisatorische Maßnahmen (TOM) des Datenschutzes ebenso Maßnahmen der Informationssicherheit. Der Überschneidungsbereich ist groß. Der Ansatz eines integrierten Managmentsystemes ist daher nach wie vor ratsam und wird von der Harmonized Structure unterstützt.

Die Datenschutzfolgenabschätzung findet sich jetzt im Kapitel 6.1.2, die Datenschutz-Risikobehandlung in Kapitel 6.1.3. Damit werde ich mich in einem späteren Blog-Beitrag beschäftigen.

Die ISO 27701:2025 verfügt über zwei normative Anhänge. Anhang A beschreibt Referenzmaßnahmenziele und Maßnahmen für verantwortliche Stellen und Auftragsverarbeiter, Anhang B gibt Umsetzunghinweise. Dabei werden im wesentlichen die Kapitel 6, 7 und 8 der DIN ISO 27701:2021 zusammengefasst und von den Normen für Informationssicherheit (ISO 27001 und ISO 27002) unabhängig gestaltet. Auf die Details werde ich ebenfalls in einem späteren Blog-Artikel eingehen.

Wie es weiter geht

In einem der nächsten Artikel werde ich mich detailliert mit der neuen ISO 27701:2025 auseienander setzen, u.a. mit der Beziehung zwischen Risikomanagement und Datenschutzfolgeabschätzung.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast” und “Spotify” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Sonderfolge NIS2 Umsetzungsgesetz

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Das NIS2-Umsetzungsgesetz ist endgültig verabschiedet. Mit der neuen Richtlinie setzt die EU ihre Cybersicherheitsstrategie konsequent fort und verpflichtet deutlich mehr Unternehmen, ein robustes Informationssicherheitsmanagement einzuführen. Künftig müssen nicht nur Betreiber kritischer Infrastrukturen, sondern auch zahlreiche mittelständische Unternehmen aus allen Branchen nachweislich angemessene technische und organisatorische Maßnahmen zum Schutz ihrer IT und OT treffen.

Die Anforderungen orientieren sich stark an internationalen Standards wie ISO 27001, gehen aber in der Tiefe oft darüber hinaus. Gefordert sind unter anderem effiziente Risikomanagementprozesse, kontinuierliche Schwachstellenbewertung, Lieferkettensicherheit und ein funktionierendes Incident-Management. Verstöße können mit Bußgeldern in Millionenhöhe geahndet werden – ähnlich wie bei der DSGVO.

Unternehmen sollten jetzt handeln: Eine Gap-Analyse gegenüber ISO 27001 ist der ideale Startpunkt, um Lücken frühzeitig zu erkennen und gezielte Maßnahmen zu planen. Denn eines ist klar: Cybersicherheit wird zur gesetzlichen Pflicht und zum entscheidenden Wettbewerbsvorteil. Wer rechtzeitig vorbereitet ist, erfüllt nicht nur die gesetzlichen Vorgaben, sondern stärkt auch das Vertrauen von Kunden, Partnern und Behörden

Diese Episode richtet sich an Geschäftsleitungen und Informationssicherheitsbeauftragte, die jetzt konkret in die NIS2-Umsetzung einsteigen müssen.

In unserer Folge NIS2 gilt jetzt – Was bedeutet das?beleuchten wir folgende Themen:

Was jetzt zu tun ist

  • Prüfen, ob das Unternehmen betroffen ist und bei Betroffenheit die Registrierung vornehmen.
  • Bestehendes ISMS gegen die NIS2-Anforderungen spiegeln, eine GAP-Analyse erstellen und konkrete Maßnahmen mit Verantwortlichkeiten, Prioritäten und Fristen hinterlegen.
  • Risikomanagement, Meldeprozesse, Notfall- und Wiederanlaufpläne sowie Krisenorganisation so ausbauen, dass NIS2-Meldefristen erfüllt und Nachweise gegenüber der Aufsicht jederzeit erbracht werden können.

 Anforderungen an die Geschäftsleitung

  • Die Geschäftsleitung muss Risikomanagementmaßnahmen genehmigen, Ressourcen bereitstellen und die Umsetzung fortlaufend überwachen; Delegation entbindet nicht von der Gesamtverantwortung.
  • Geschäftsleitung ist verpflichtet, regelmäßig an Schulungen zu Cybersicherheit und NIS2 teilzunehmen (mindestens alle drei Jahre) und diese Schulungen nachweisbar zu dokumentieren.
  • Ein strukturiertes Vorgehen mit klaren Nachweisen (Protokolle, Beschlüsse, Berichte, Schulungsnachweise) ist essenziell.

BSI Betroffenheitsprüfung NIS2:

https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung.html

Hören Sie rein!

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast” und “Spotify” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Was Sie auch interessieren könnte:

Seminar:

“NIS2 für Geschäftsführer” entsprechend der BSI Orientierungshilfe steht in den Startlöchern. Wer sich schonmal informieren möchte kann gern mit uns Kontakt aufnehmen.

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

/von
,

Podcast – Security on Air – Heute Maßnahmensteuerung

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Erleben Sie praxisnahe Einblicke in die Welt der Maßnahmensteuerung im ISMS – speziell für Verantwortliche, Entscheider und Informationssicherheitsbeauftragte. Unser neues Podcast-Interview mit einem erfahrenen Informationssicherheitsberater zeigt, wie Sie Maßnahmen im Unternehmen sinnvoll initiieren, steuern und dokumentieren.

Inhalte dieser Episode “Maßnahmensteuerung”:

  • Klarheit über die Herkunft und Auswahl von Maßnahmen nach ISO 27001
  • Praktische Tipps zur Steuerung, Priorisierung und Dokumentation
  • Warum die SMART-Methode auch für Security-Maßnahmen Sinn macht
  • Tools und Prozesse für übersichtliche Verwaltung und Integration von Maßnahmen in den Alltag
  • Wie regelmäßige Meetings und Kennzahlen im Management helfen, Maßnahmen im Blick zu behalten

Warum reinhören?

Die Folge “Maßnahmensteuerung” bietet wertvolle Hinweise für alle, die ihr ISMS wirksamer und strukturierter gestalten möchten, von der Initialisierung bis zur Erfolgskontrolle. Lernen Sie, wie Prozesse, Tools und stimmige Dokumentation die Umsetzung und Nachverfolgung nachhaltig verbessern.

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast” und “Spotify” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

Wir sind zertifiziert nach ISO27001:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen