Unterstützung bei der Erstellung eines ISMS

Referenzprojekt

3 Projektmitglieder

14 Monate

Ausgangssituation

Im Zuge der europäischen NIS-2-Richtlinie wollte die KWA Contracting AG ihre Informationssicherheitsorganisation strukturiert weiterentwickeln und regulatorisch belastbar aufstellen. Zuvor erfolgte ein Wechsel des IT-Dienstleisters sowie eine umfassende Modernisierung der IT-Infrastruktur. Diese Veränderungen machten eine Neubewertung der bestehenden Sicherheitsstrukturen erforderlich.

Unabhängig hiervon verfolgte die KWA das Ziel, Informationssicherheit als integralen Bestandteil der Unternehmenssteuerung zu etablieren. Die Absicherung geschäftskritischer Prozesse, der Schutz sensibler Daten sowie die Resilienz gegenüber Cyberrisiken sollten als strategischer Wert verstanden und nachhaltig verankert werden. Hierfür wollte man kein ISMS „von der Stange“ einführen, sondern ein System entwickeln, das auf die konkrete Unternehmensrealität der KWA zugeschnitten ist.

Zielsetzung

Ziel des Projekts war der strukturierte Aufbau und die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach BSI-Standards als übergeordnetem Rahmenwerk. Dabei sollten sowohl die Anforderungen der NIS-2-Richtlinie adressiert als auch eine belastbare Grundlage für die kontinuierliche Weiterentwicklung der Informationssicherheit geschaffen werden.

Im Mittelpunkt stand die klare Differenzierung, welche Anforderungen, Maßnahmen und Steuerungsmechanismen für die KWA tatsächlich relevant und angemessen sind. Es sollte ein praxisnahes, handhabbares und unternehmensspezifisches System entstehen, das in die bestehenden Governance- und Organisationsstrukturen integriert ist. Neben der formalen Dokumentation standen insbesondere die tatsächliche Umsetzbarkeit sowie klare Verantwortlichkeiten im Fokus.

Schritt für Schritt zum Erfolg

Unsere Vorgehensweise

Anforderungsprofil & Status Quo: Zunächst wurden Geltungsbereich, Schutzziele und normative Grundlagen des ISMS definiert und in einer Ist-Analyse mit den bestehenden Strukturen, Prozessen und Verantwortlichkeiten abgeglichen. Dabei wurde geprüft, welche Anforderungen angesichts der konkreten Geschäftsprozesse, der IT-Landschaft und des Risikoprofils der KWA sachgerecht und prioritätsrelevant sind. Die identifizierten Handlungsfelder wurden in einer Roadmap gebündelt und dem Vorstand zur Beratung und Freigabe vorgestellt.
Risikomanagement & Notfallplanung: Anschließend wurden die relevanten Prozesse, Assets und Abhängigkeiten systematisch erfasst. Schutzbedarfsfeststellung und Risikoanalyse erfolgten gemäß BSI-Standard 200-2 und 200-3. Auf dieser Grundlage wurde ein risikoorientiertes und auf die KWA zugeschnittenes Sicherheits- und Notfallkonzept entwickelt. Darauf aufbauend entstand ein strukturiertes Notfallmanagement in Anlehnung an BSI-Standard 100-4, um Reaktions- und Wiederanlauffähigkeit bei Sicherheitsvorfällen gezielt für die unternehmenskritischen Bereiche sicherzustellen.
Umsetzung & Betriebsvorbereitung: Parallel dazu wurden technische und organisatorische Maßnahmen vorbereitet und priorisiert umgesetzt, ergänzt durch gezielte Schulungsmaßnahmen. Zudem wurde ein Auditprogramm konzipiert, um die Wirksamkeit des ISMS regelmäßig zu überprüfen und eine kontinuierliche Verbesserung sicherzustellen. Abschließend wurden die erforderlichen Richtlinien, Leitlinien und Prozesse fertiggestellt und so ausgestaltet, dass sie im laufenden Betrieb der KWA tatsächlich anwendbar sind.

Unser Ergebnis

Die KWA Contracting AG verfügt nun über ein strukturiertes, dokumentiertes und praxistaugliches Informationssicherheitsmanagementsystem nach BSI-Standard.

Durch die Kombination aus regulatorischer Orientierung, unternehmensspezifischer Differenzierung und operativer Umsetzbarkeit wurde eine nachhaltige Sicherheitsarchitektur geschaffen. Das Unternehmen ist damit nicht nur auf die Anforderungen der NIS-2-Richtlinie vorbereitet, sondern verfügt über eine belastbare Grundlage zur langfristigen Stärkung seiner digitalen Resilienz.