Skip to content

KRITIS/NIS2 Compliance

TCM365 bietet einen vollständigen Compliance-Stack für Organisationen unter europaeischen regulatorischen Frameworks, insbesondere KRITIS (Kritische Infrastrukturen) und der NIS2-Richtlinie (Netz- und Informationssicherheit).

Übersicht

Die NIS2-Richtlinie (EU 2022/2555) erweitert den Anwendungsbereich der urspruenglichen NIS-Richtlinie erheblich und stellt strenge Anforderungen an wesentliche und wichtige Einrichtungen. TCM365 adressiert diese Anforderungen über sechs integrierte Module:

flowchart TD
    CE[Compliance-Evaluation] --> IM[Incident Management]
    CE --> RA[Risikobewertung]
    RA --> CM[Change Management]
    CM --> RB[Rollback/Apply]
    IM --> AE[Audit-Nachweise]
    BCDR[BC/DR-Tests] --> AE
    RB --> AE

Module

  • Incident Management

    Sicherheitsvorfälle mit NIS2-Meldefristen und Countdown-Tracking verwalten

  • Risikobewertung

    Risiken mit Likelihood/Impact-Matrizen und Heat Maps bewerten

  • Change Management

    Änderungsanträge mit mehrstufigen Approval Chains verwalten

  • BC/DR-Tests

    Business Continuity und Disaster Recovery Tests mit RTO/RPO-Tracking

  • Audit-Nachweise

    Nachweisartefakte für Compliance-Audits sammeln und verwalten

  • Compliance-Evaluation

    Automatisierte Evaluation gegen 10 Frameworks (NIS2, ISO 27001, BSI etc.)

NIS2-Anforderungen und TCM365-Abdeckung

NIS2-Artikel Anforderung TCM365-Modul
Art. 21(2)(a) Risikoanalyse und Sicherheitskonzepte Risikobewertung, Compliance-Evaluation
Art. 21(2)(b) Bewertung der Wirksamkeit Security Baselines, Drift-Erkennung
Art. 21(2)© Business Continuity BC/DR-Tests
Art. 21(2)(d) Sicherheit der Lieferkette Change Management
Art. 21(2)(e) Sicherheit bei Erwerb und Wartung Change Management, Audit-Nachweise
Art. 21(2)(f) Cyberhygiene und Schulung Compliance-Evaluation, Berichte
Art. 21(2)(g) Kryptographie und Verschlüsselung Security Baselines
Art. 21(2)(h) Personalsicherheit und Zugriffskontrolle Entra ID-Konfigurationsmanagement
Art. 21(2)(i) Multi-Faktor-Authentifizierung CA What-If, Baselines
Art. 21(2)(j) Sichere Kommunikation E-Mail-Sicherheit
Art. 23 Meldepflichten bei Sicherheitsvorfaellen Incident Management

Tenant-Isolierung

Alle KRITIS/NIS2-Module sind durch das dreischichtige Tenant-Isolierungsmodell geschützt:

  1. TenantAccessService -- IDOR-Prävention auf Anwendungsebene
  2. PostgreSQL RLS -- Row-Level Security auf Datenbankebene
  3. Per-Tenant-Schemas -- Physische Datenisolierung

Best Practices

  1. Ganzheitlich implementieren -- Alle sechs Module zusammen nutzen für vollständige NIS2-Abdeckung
  2. Meldefristen überwachen -- NIS2 Countdown-Badges für zeitgerechte Vorfallsmeldung nutzen
  3. Nachweise kontinuierlich sammeln -- Nicht auf den Audit warten
  4. Risikobewertungen quartalsweise -- Regelmäßige Reviews sicherstellen Aktualitaet
  5. Change Management für alle Änderungen -- Lueckenlose Audit Trails erstellen