Artikel 21(2).

Organisationen müssen Richtlinien zur Risikoanalyse und zur Sicherheit von Informationssystemen erstellen und pflegen. Dazu gehört die Definition eines Governance-Rahmens, die Durchführung regelmäßiger Risikobewertungen, die Führung eines Risikoregisters und die Festlegung von Überprüfungszyklen für Sicherheitsrichtlinien. Die Bewertung von Konforme deckt den Reifegrad der Richtlinien, die Vollständigkeit des Risikoregisters und die Governance-Struktur ab.

Verfahren zur Prävention, Erkennung und Reaktion auf Vorfälle, einschließlich Eskalationswege und Meldepflichten. NIS2 führt strenge Fristen für die Vorfallsmeldung ein — eine Frühwarnung innerhalb von 24 Stunden, eine Vorfallsmeldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats. Konforme verfolgt den Reifegrad Ihrer Vorfallsbehandlung und die Einsatzbereitschaft Ihres Reaktionsplans.

Geschäftskontinuitätsmanagement einschließlich Backup-Verwaltung, Notfallwiederherstellung und Krisenmanagement. Organisationen müssen sicherstellen, dass sie wesentliche Funktionen während und nach einem Vorfall aufrechterhalten können. Konforme scannt Ihre Cloud-Backup-Konfigurationen und bewertet den Reifegrad Ihrer BCP/DRP-Dokumentation.

Sicherheitsrelevante Aspekte der Beziehungen zwischen jeder Einrichtung und ihren direkten Lieferanten oder Dienstleistern. Dies umfasst die Bewertung von Lieferantenrisiken, vertragliche Sicherheitsanforderungen und die Überwachung der Lieferkette auf Schwachstellen. Konforme bewertet Ihre Prozesse zum Lieferantenrisikomanagement und die Kontrollen für Drittanbieter.

Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Schwachstellenbehandlung und -offenlegung. Der technische Scanner von Konforme prüft Ihre AWS- und Azure-Konfigurationen gegen NIS2-zugeordnete Kontrollen für Netzwerksegmentierung, Firewall-Regeln, VPC-Sicherheit und Schwachstellenmanagement.

Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Cybersicherheits-Risikomanagement. Organisationen müssen ihre Sicherheitslage regelmäßig testen und evaluieren. Konforme bietet eine kontinuierliche Bewertung, die genau zeigt, wo Ihre Compliance-Lücken liegen und wie sie sich im Zeitverlauf entwickeln.

Grundlegende Cyberhygiene-Praktiken und Cybersicherheitsschulungen für Mitarbeiter. NIS2 verlangt ausdrücklich, dass auch Leitungsorgane geschult werden. Die Mitarbeiterschulungskampagnen von Konforme ermöglichen es Ihnen, Richtlinien-Bestätigungen und Sicherheitsquizze zuzuweisen, den Abschluss zu verfolgen und einen Prüfpfad aufzubauen.

Richtlinien und Verfahren für den Einsatz von Kryptographie und gegebenenfalls Verschlüsselung. Der technische Scanner von Konforme prüft die Konfigurationen für Verschlüsselung im Ruhezustand und bei der Übertragung in Ihrer Cloud-Infrastruktur — S3-Buckets, RDS-Instanzen, EBS-Volumes, Azure Storage und mehr.

Personalsicherheit, Zugriffskontrollrichtlinien und Asset-Management. Dies umfasst den gesamten Mitarbeiterlebenszyklus vom Onboarding bis zum Offboarding, rollenbasierte Zugriffskontrolle und das Prinzip der geringsten Berechtigung. Konforme prüft IAM-Konfigurationen, Passwortrichtlinien und bewertet Ihre Personalsicherheitsprozesse.

Der Einsatz von Multi-Faktor-Authentifizierung oder Lösungen zur kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung. Konforme prüft die MFA-Durchsetzung in Ihren Cloud-Konten und bewertet Ihre Authentifizierungslage ganzheitlich.