Das verinice. Datenschutzmodul Version 3.4 beinhaltet wie die bisherige Version die Datenschutz-Folgenabschätzung (DSFA) und die Datenschutz-Risikoanalyse inklusive der Berücksichtigung von datenschutzrelevanten Szenarien. Die Erstellung des Verzeichnis der Verarbeitungstätigkeiten, die Verwaltung der technischen und organisatorischen Maßnahmen (TOM) orientiert an den Datenschutzzielen aus Art. 32 EU-DSGVO sowie die EU-weite rechtskonforme Dokumentation der Auftragsverarbeitungen werden komplettiert durch einen Datenschutz-Kurzcheck. Zur optimalen Orientierung sind zudem die Gesetzestexte von DS-GVO inklusive Erwägungsgründen und BDSG (neu) im Datenschutzmodul hinterlegt und miteinander verknüpft. Das neue verinice. Datenschutzmodul in der Version 3.4 basiert auf dem neuen Risikokatalog (ISO 27001 / NIS 2). Dieser wurde erweitert um Anforderungen für wichtige Einrichtungen der NIS 2, die mit passenden Anforderungen der DIN EN ISO/IEC 27001:2024 verknüpft wurden. Anhand des Verknüpfungtyps in verinice ist es ersichtlich, ob DIN EN ISO/IEC 27001:2024 die NIS-2-Anforderungen umfassen oder ob die NIS 2 über DIN EN ISO/IEC 27001:2024 Anforderungen hinausgehen. Dieses Mapping kann Dank der Kooperation mit dem VDMA als Arbeitsgrundlage in verinice verwendet und individuell angepasst oder erweitert werden. Für die Umsetzung der Anforderungen in verinice, müssen Sie innerhalb der ISM-Perspektive arbeiten und können daher auch die Standardfunktionen von verinice nutzen. Bitte beachten Sie, dass Sie für das konkrete Arbeiten mit diesem Modul ggf. auch das verinice-Handbuch, die Originalnormen der DIN EN ISO/IEC 27001:2024, DIN EN ISO/IEC 27002:2024 und ISO/IEC 27005:2022 sowie die NIS-2-Richtlinie und DS-GVO benötigen. Einsatzzweck Das Datenschutzmodul 3.4 ISM ist verwendbar ab verinice 1.27 oder höher zum Einsatz in der ISM-Perspektive. Zur Verwendung der technischen und organisatorischen Maßnahmen (TOM) sind Inhalte aus den Originalstandards DIN ISO/IEC 27001:2024, DIN ISO/IEC 27002:2024 und ISO/IEC 27005:2024, lizenziert über den Beuth Verlag, enthalten. Die hier vorliegende ISM-Variante ist geeignet für Anwender, die Synergieeffekte mit der Informationssicherheit nutzen wollen und/oder die ISO-Controls als technische und organisatorische Maßnahmen (TOM) einsetzen. Die Datenschutz-Risikoanalyse folgt dem semiquantitativen Ansatz der Risikoanalyse nach ISO 27005 in der ISM Perspektive in verinice. Anwender des modernisierten IT-Grundschutz verwenden die IT-Grundschutz-Variante des Datenschutzmoduls 3 und nutzen das IT-Grundschutz-Kompendium zur Abbildung der TOM. Die Datenschutz-Risikoanalyse verwendet dort die qualitative Risikoanalyse nach BSI-Standard 200-3. Funktionen DS-GVO-Kurzcheck Neueinsteiger erhalten mit den Controls des „Datenschutz-Kurzcheck“ einen ersten Überblick über den Umsetzungsstand der Anforderungen nach DS-GVO. Gesetzliche Anforderungen Zur besseren Orientierung innerhalb der gesetzlichen Anforderungen sind die Inhalte aus BDSG (neu), DS-GVO sowie die Erwägunsgründe enthalten und miteinander verknüpft. Verzeichnis der Verarbeitungstätigkeiten Bei der Erfassung von Verarbeitungstätigkeiten als zentralem Element können erforderliche Informationen zu z.B. Daten oder Datenkategorien, Betroffenen, Rechtsgrundlagen, datenschutzrelevanten Assets, Personen oder Zugriffsberechtigten dokumentiert werden. Das Datenschutzmodul 3.4 ISM enthält eine Beispielorganisation mit einer exemplarischen Verarbeitungstätigkeit, die kopiert und unternehmensspezifische angepasst werden kann. Die in der Verarbeitungstätigkeit angewendete Hardware, Anwendungssoftware und datenschutzrelevante Personen bzw. Personengruppen können im View Verknüpfungen eingesehen und angepasst werden. Technische und organisatorische Maßnahmen Als technische und organisatorische Maßnahmen (TOM) können Controls nach der Norm ISO 27001 direkt mit jeder Verarbeitungstätigkeit verknüpft werden. Sämtliche Controls sind den Datenschutzzielen aus Art. 32 DS-GVO zugeordnet, so dass sich die Nutzer schnell zurechtfinden. Für den Fall, dass Sie verinice bereits für die Implementierung eines ISMS im Einsatz haben, können die bereits vorhandenen abgehandelten oder umgesetzten Informationssicherheitscontrols oder benutzerdefinierte Maßnahmen einer oder mehreren Verarbeitungstätigkeit(en) als technische und organisatorische Maßnahmen zugewiesen werden. Diese Schnittstelle zwischen Datenschutz und Informationssicherheitsmanagement erfolgt innerhalb von verinice und stellt für die Nutzer einen beachtlichen Mehrwert dar – es werden Kosten gespart, Dokumentationsaufwand wird verringert. Datenschutzfolgenabschätzung Für jede Verarbeitungstätigkeit kann die Erfordernis einer Datenschutzfolgenabschätzung (DSFA) geprüft und bewertet werden. Neben der Schwellwertanalyse kann die Stellungnahme des Datenschutzbeauftragten detailliert dokumentiert werden. Das Ergebnis kann mittels Reportvorlage Datenschutzfolgenabschätzung für die Verarbeitungstätigkeit ausgegeben werden. Datenschutz-Risikoanalyse Ist eine Datenschutzfolgenabschätzung erforderlich, kann die Datenschutz-Risikoanalyse für eine Verarbeitungstätigkeit durchgeführt werden. Das Datenschutzmodul 3.4 ISM bringt dazu neu datenschutzrelevante Szenarien mit, die mit Assets verknüpft werden können. Die Datenschutz-Risikobewertung und die Datenschutz-Risikobehandlung können analog der Vorgehensweise nach ISO 27005 durchgeführt und die Ergebnisse mittels Reportvorlagen ausgegeben werden. Auftragsverarbeitung Das Datenschutzmodul hilft die Auftragsverarbeitung im Unternehmen EU-weit rechtskonform umzusetzen. Neben einer Übersicht über die Auftragnehmer und der jeweils übernommenen Dienstleistungen können auch Auftraggeber, mit denen ein Auftragsverarbeitungsverhältnis nach Art. 28 DS-GVO besteht, dokumentiert und auf Knopfdruck ausgeben werden. Selbstverständlich können die entsprechenden Verträge direkt im Datenschutzmodul mit eingebunden werden. Mit Hilfe der AVV-Controls bietet SerNet darüber hinaus einen Maßnahmenkatalog, der bei der Überprüfung und Dokumentation der Auftragsverarbeitung unterstützt. Die ADV-Controls können darüber hinaus für Audits von Dienstleistern als Erst- oder Folgekontrollen im Rahmen eines Auftragsverarbeitungsverhältnisses verwendet werden. Reportvorlagen Das Datenschutzmodul 3.4 ISM beinhaltet Reportvorlagen für alle im Rahmen der DS-GVO erforderlichen Dokumentationen: Verzeichnis von Verarbeitungstätigkeiten Datenschutzfolgenabschätzung (DSFA) Datenschutz-Risikobewertung Datenschutz-Risikobehandlung Darüber hinaus bietet das Datenschutzmodul eine Reihe an zusätzlichen Übersichtsreports. Diese Reportvorlagen geben zu einem bestimmten datenschutzrelevanten Themenbereich jeweils die notwendigen Informationen aus dem gesamten Datenschutzmodell aus: Umsetzungsübersicht von technischen und organisatorischen Maßnahmen Übersicht von verwendeten Assets für Verarbeitungstätigkeiten Übersicht über Löschfristen für Verarbeitungstätigkeiten Übersicht über Verarbeitungsgruppe und Verarbeitungstätigkeit Übersicht über Datenschutzvorfälle Meldeformular Datenschutzvorfall Übersicht über Fachkundenachweise Übersicht über Zuständigkeiten in der Verarbeitung Auflistung Datentransfer Übersicht über interne und externe Anfragen Übersicht der Auftragnehmer mit zugehöriger Verarbeitungstätigkeit Auflistung der Auftragsverarbeitungen mit zugehörigen Auftraggebern Als tabellarische Ausgaben können diese Informationen z.B. auch in Tabellenkalkulationen weiter bearbeitet, aggregiert oder in selbst erstellten Diagrammen präsentiert werden. Lieferumfang Der Lieferumfang des Pakets beinhaltet: eine kurze Modul-Beschreibung eine Installationsanleitung eine in verinice zu importierende Datei einer Beispielfirma das Verzeichnis der Verarbeitungstätigkeiten der Beispielfirma AVV-Controls zur Abbildung der Auftragsverarbeitung einen Datenschutz-Kurzcheck Reportvorlagen Beispiel-Reports Herausgeber Beuth Verlag GmbH Saatwinkler Damm 42/43 13627 Berlin VDMA e. V. Lyoner Str. 18 60528 Frankfurt Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn SerNet Service Network GmbH Bahnhofsallee 1b 37081 Göttingen Urheberrechte © 2024 DIN Deutsches Institut für Normung e. V. Saatwinkler Damm 42/43 13627 Berlin © 2023 VDMA e. V. Lyoner Str. 18 60528 Frankfurt © 2023 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn © 2024 SerNet Service Network GmbH Bahnhofsallee 1b 37081 Göttingen Erstnutzung in verinice / Neuinstallation Das Datenschutzmodul wird als ZIP-komprimiertes verinice-Archiv (.vna) bereitgestellt, das Sie an einen Ort Ihrer Wahl entpacken können. Im entpackten Ordner finden Sie ein Verzeichnis mit der Beispielorganisation (.vna) ein Verzeichnis mit den Reportvorlagen (.rptdesign) und Beispielreports eine Anleitung zur Installation und eine Produktbeschreibung im PDF-Format Import der Beispielorganisation Wechseln Sie über Ansicht >Zeige Perspektive… >Information Security Management in die Information Security Management Perspektive. Wählen Sie anschließend über Importiere Organisation aus Datei…​ im Dialog XML Import durch Klick auf den Button Datei auswählen…​ die Datei Datenschutzmodul_3.4_inkl_verinice_Risikokatalog_nach_DIN_ISOIEC_270012024_und_VDMA_NIS2_Mapping.lic.vna aus und bestätigen Ihre Auswahl mit OK. Nach dem ersten Importvorgang befindet sich der IT-Verbund unterhalb eines zusätzlich angelegten Wurzelobjekts Importierte Objekte. Um Probleme auszuschließen, sollte die importierte Beispielorganisation per rechtem Mausklick mit den Funktionen Ausschneiden und Einfügen auf die höchste Ebene verschoben werden. Dabei muss vor dem Einfügen sichergestellt werden, dass kein weiteres Objekt selektiert (markiert) ist. Sie können ein selektiertes Objekt mit Strg-Mausklick abwählen. Einfügen von Report-Vorlagen: verinice.PRO verinice.PRO Anwender können die Report-Vorlagen komfortabel über den View Report-Ablage importieren und damit zentral auf Ihrem verinice.PRO Server für alle Anwender zur Verfügung stellen. Den View erreichen Sie über Ansicht >Zeige View… >Report-Ablage. Eine genaue Beschreibung des Views finden Sie in der verinice-Benutzeranleitung. verinice.Client Für den verinice Client in der Einzelplatzversion können Sie die Reportvorlagen in einem speziell dafür konfigurierbaren Verzeichnis ablegen. Das Verzeichnis konfigurieren Sie über das Menü Bearbeiten >Einstellungen >Reports >Report Templates. Die Standard-Einstellung ist das Verzeichnis <HOME>/verinice/report_templates_local des Heimatverzeichnisses. Wird eine Reportvorlage im Dateiformat .rptdesign in diesem Verzeichnis abgelegt, wird sie im Reportdialog aufgelistet. Die dort zur Auswahl angebotenen Ausgabeformate und der vorgeschlagene Name können über eine speziell für diese Vorlage vorhandene Datei (.properties) konfiguriert werden. Diese Datei wird, sofern nicht vorhanden, beim ersten Öffnen des Reportdialogs angelegt und kann anschließend in einem beliebigen Texteditor an die eigenen Anforderungen angepasst werden.

Der Risikokatalog Plus auf Basis der DIN ISO/IEC 27001:2017, DIN ISO/IEC 27002:2017, ISO/IEC 27005:2018 und DIN EN ISO/IEC 27019:2020 soll Energienetzbetreibern helfen, die Sicherheit bzw. den verpflichtenden IT-Sicherheitskatalog und darin befindliche Forderungen nach §11 Abs. 1a EnWG an ein vollumfängliches Informationssicherheitsmanagementsystem umzusetzen. Ergänzt wird der Risikokatalog Plus um die Vorteile des Datenschutzmoduls 3 und unterstützt Sie bei: der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten der Verwaltung und Umsetzung von technischen und organisatorischen Maßnahmen der Festlegung von Datenschutzzielen in Anlehnung an Art. 32 EU-DSGVO der Umsetzung einer EU-weiten rechtskonformen Auftragsverarbeitung der Durchführung einer Datenschutz-Folgeabschätzung und einer Datenschutz-Risikoanalyse unter Berücksichtigung von datenschutzrelevanten Szenarien der Durchführung eines Datenschutz-Kurzchecks der Orientierung von Gesetzestexten aus der DS-GVO und den Erwägungsgründen des BDSG (neu) Herausgeber Beuth Verlag GmbH Saatwinkler Damm 42/43 13627 Berlin SerNet Service Network GmbH Bahnhofsallee 1b 37081 Göttingen Urheberrecht © 2020 DIN Deutsches Institut für Normung e. V. Saatwinkler Damm 42/43 13627 Berlin © 2020 SerNet Service Network GmbH Bahnhofsallee 1b 37081 Göttingen Einsatz in verinice Das Datenschutzmodul mit dem Risikokatalog PLUS wird als ZIP-komprimiertes verinice-Archiv (.vna) bereitgestellt, das Sie an einen Ort Ihrer Wahl entpacken und anschließend importieren können. Im entpackten Ordner finden Sie die Beispielorganisation (.vna) zum Einsatz in der ISM/ISO-Perspektive eine Anleitung im PDF-Format das Verzeichnis der Verarbeitungstätigkeiten der Beispielfirma Reportvorlagen Beispiel-Reports Für die Umsetzung der Anforderungen in verinice, müssen Sie innerhalb der ISM-Perspektive arbeiten und können somit auch die Standardfunktionen von verinice nutzen. Bitte beachten Sie für die konkrete Arbeit mit dem Modul auch das verinice Handbuch und die Original-Standards der DIN ISO/IEC 27001:2017, DIN ISO/IEC 27002:2017, ISO/IEC 27005:2018 und DIN EN ISO/IEC 27019:2020. Der neue verinice Risikokatalog Plus (ISO 27001 / ISO 27019) - ISM Edition ist eine direkt in verinice importierbare Datei, die einen umfangreichen Katalog von generischen aber dennoch detaillierten Bedrohungen, Schwachstellen und Risikoszenarien liefert. Sie beschleunigt die Risikoanalyse erheblich und enthält dazu einen Maßnahmenkatalog nach DIN EN ISO/IEC 27019:2020, der alles Notwendige beinhaltet, um mit verinice die Anforderungen des IT-Sicherheitskatalog der Bundesnetzagentur gem. §11 Absatz 1a EnWG zu erfüllen. Ebenfalls enthalten sind eine Liste von Beispiel-Assets und Prozessen, die als Grundlage für die eigene Risikobetrachtung dienen können. Des Weiteren enthält die Organisation alle Inhalte aus dem Datenschutzmodul 3. Das Produkt verinice. Datenschutzmodul 3 inkl. Risikokatalog unterstützt das Verzeichnis der Verarbeitungstätigkeiten mit einem Datenschutz-Beispielkatalog, vereinfacht mit den technischen und organisatorischen Maßnahmen (TOM), eine Orientierung an den Datenschutzzielen aus Art. 32 EU-DSGVO und ermöglicht die EU-weite rechtskonforme Umsetzung der Auftragsverarbeitung. Die vorliegende Version 3 wurde erweitert um die Datenschutz-Folgenabschätzung (DSFA), die Datenschutz-Risikoanalyse inklusive der Berücksichtigung von datenschutzrelevanten Szenarien und wird durch einen Datenschutz-Kurzcheck komplettiert. Zur optimalen Orientierung sind zudem die Gesetzestexte von DS-GVO inklusive Erwägungsgründen und BDSG (neu) im Datenschutzmodul hinterlegt und miteinander verknüpft. Die hier vorliegende ISM-Variante ist geeignet für Anwender, die Synergieeffekte mit der Informationssicherheit nutzen wollen und/oder die ISO-Controls als TOM einsetzen. Zur Verwendung der TOM sind Inhalte aus den Originalstandards DIN ISO/IEC 27002:2017 und ISO/IEC 27005:2018 enthalten. Die Datenschutz-Risikoanalyse folgt dem semiquantitativen Ansatz der Risikoanalyse nach ISO 27005 in der ISM Perspektive in verinice. Der Preis der hier im Shop verkauften Lizenz zur Einzelplatzversion berechnet sich nach Laufzeit in Jahren und Anzahl der Benutzer. Für die Mehrplatz-Version "verinice.PRO" erfragen Sie bitte ein Staffel-Angebot beim SerNet-Vertrieb. Bitte beachten Sie, dass auf Grund der Vorgaben des Beuth Verlags die Inhalte der Originalstandards nur im Programm lesbar und nicht exportierbar sind (PDF, Word, Excel, etc.). Wichtig! Die in dieser Software wiedergegebenen technischen Regeln (DIN-, EN-, ISO- und ISO/IEC-Normen) sind urheberrechtlich geschützt und zur Nutzung im Rahmen dieser Software von der Beuth Verlag GmbH, Berlin, lizenziert. Jede Vervielfältigung der technischen Regeln außerhalb dieser Software, zum Beispiel durch Ausdruck oder Abspeichern, ist untersagt. Die technischen Regeln können bei der Beuth Verlag GmbH (www.beuth.de) erworben werden. Wir danken Dirk Brand und allen Kolleginnen und Kollegen der SILA-Consulting, die bei der Erstellung des verinice Risikokatalog Plus (ISO 27001 / ISO 27019) - ISM Edition Beiträge geleistet haben.

Der Risikokatalog Plus auf Basis der DIN ISO/IEC 27001:2017, DIN ISO/IEC 27002:2017, ISO/IEC 27005:2018 und DIN EN ISO/IEC 27019:2020 bildet ein Beispielmodel bzw. einen Geltungsbereich für den Einsatz in verinice. Der verinice Risikokatalog Plus (ISO 27001 / ISO 27019) - ISM Edition Der Risikokatalog Plus auf Basis der DIN ISO/IEC 27001:2017, DIN ISO/IEC 27002:2017, ISO/IEC 27005:2018 und DIN EN ISO/IEC 27019:2020 soll Energienetzbetreibern helfen, die Sicherheit bzw. den verpflichtenden IT-Sicherheitskatalog und darin befindliche Forderung nach §11 Abs. 1a EnWG an ein vollumfängliches Informationssicherheitsmanagementsystem umzusetzen. Der Katalog enthält Inhalte aus den Original-Standards DIN ISO/IEC 27001:2017, DIN ISO/IEC 27002:2017, ISO/IEC 27005:2018 und DIN EN ISO/IEC 27019:2020, lizenziert über den Beuth Verlag. Siehe dazu auch den Copyright-Hinweis am Ende dieses Textes. Der Preis der hier im Shop verkauften Lizenz zur Einzelplatzversion berechnet sich nach Laufzeit in Jahren und Anzahl der Benutzer. Für die Mehrplatz-Version "verinice.PRO" erfragen Sie bitte ein Staffel-Angebot beim SerNet-Vertrieb. Bitte beachten Sie, dass auf Grund der Vorgaben des Beuth Verlags die Inhalte der Originalstandards nur im Programm lesbar und nicht exportierbar sind (PDF, Word, Excel, etc.). Wir danken Dirk Brand und allen Kolleginnen und Kollegen der SILA-Consulting, die bei der Erstellung dieses Katalogs Beiträge geleistet haben. Ihr Nutzen auf einen Blick Der neue verinice Risikokatalog Plus (ISO 27001 / ISO 27019) - ISM Edition ist eine direkt in verinice importierbare Datei, die einen umfangreichen Katalog von generischen aber dennoch detaillierten Bedrohungen, Schwachstellen und Risikoszenarien liefert. Zudem erhlaten Sie einen Maßnahmenkatalog nach DIN EN ISO/IEC 27019:2020 mit den zusätzlichen Maßnahmen nach DIN ISO/IEC 27002:2017. Dabei sind bereits alle EVU-Maßnahmen mit passenden Risikoszenarien verknüpft. Somit wird das Erstellen der von der BNetzA in jedem Fall geforderten Risikoanalyse in kürzester Zeit möglich. Die in verinice implementierte Methode zur Risikoanlayse entspricht den lt. IT-Sicherheitskatalog der Bundesnetzagentur gem. §11 Abs. 1a EnWG vorgegebenen zugrundeliegenden Standards. verinice ermöglicht das Erfassen aller für die Zertifizierung und Risikoanalyse zwingend zu berücksichtigenden Informationswerte (Assets). Vorgegeben sind in diesem Katalog schon alle Assets gem. Anhang D, IT-Sicherheitskatalog. Ebenfalls enthalten ist eine Liste von Prozessen, die als Grundlage für die eigene Risikobetrachtung dienen können. Die Anwendung des PDCA-Zyklus für alle Prozesse des ISMS lässt sich mit verinice konsequent umsetzen und nachweisen. verinice ermöglicht auch die Prüfung der eigenen Dienstleister durch geeignete Prüfkataloge, z.B. über das integrierte "IS-Assessment" mit Zuordnung zu allen Controls der DIN ISO/IEC 27002:2017. Die in dieser Software wiedergegebenen technischen Regeln (DIN-, EN-, ISO- und ISO/IEC-Normen) sind urheberrechtlich geschützt und zur Nutzung im Rahmen dieser Software von der Beuth Verlag GmbH, Berlin, lizenziert. Jede Vervielfältigung der technischen Regeln außerhalb dieser Software, zum Beispiel durch Ausdruck oder Abspeichern, ist untersagt. Die technischen Regeln können bei der Beuth Verlag GmbH (www.beuth.de) erworben werden. Lieferumfang Der Risikokatalog PLUS wird als verschlüsseltes, ZIP-komprimiertes verinice-Archiv (.lic.vna) bereitgestellt, das Sie an einen Ort Ihrer Wahl entpacken und anschließend importieren können. Im entpackten Ordner finden Sie die Beispielorganisation (.lic.vna) zum Einsatz in der ISM/ISO-Perspektive eine Anleitung im PDF-Format Für die Umsetzung der Anforderungen in verinice, müssen Sie innerhalb der ISM-Perspektive arbeiten und können somit auch die Standardfunktionen von verinice nutzen. Bitte beachten Sie, dass Sie für die konkrete Arbeit mit dem Modul auch das verinice Handbuch sowie die Original-Standards der DIN ISO/IEC 27001:2017, DIN ISO/IEC 27002:2017, ISO/IEC 27005:2018 und DIN EN ISO/IEC 27019:2020 benötigen könnten. Weiterführende Informationen Diskussion im verinice.FORUM: https://forum.verinice.com/ Videos auf YouTube: https://www.youtube.com/c/verinice/videos Herausgeber Beuth Verlag GmbH Saatwinkler Damm 42/43 13627 Berlin SerNet Service Network GmbH Bahnhofsallee 1b 37081 Göttingen Urheberrecht © 2020 DIN Deutsches Institut für Normung e. V. Saatwinkler Damm 42/43 13627 Berlin © 2020 SerNet Service Network GmbH Bahnhofsallee 1b 37081 Göttingen

Der verinice Risikokatalog (ISO 27001 / NIS 2) steht zum Download im verinice.SHOP oder im Kunden-Repository für die Verwendung in verinice ab Version 1.27 zur Verfügung. Der neue verinice Risikokatalog (ISO 27001 / NIS 2) ist eine direkt in verinice importierbare Datei, die einen umfangreichen Katalog von generischen aber dennoch detaillierten Bedrohungen, Schwachstellen und Risikoszenarien liefert. Sie beschleunigt die Risikoanalyse erheblich. Ebenfalls enthalten ist eine Liste von Beispiel-Assets und Prozessen, die als Grundlage für die eigene Risikobetrachtung dienen können. Erweitert wurde der ursprüngliche verinice Risikokatalog um Anforderungen für wichtige Einrichtungen der NIS 2, die mit passenden Anofderungen der DIN EN ISO/IEC 27001:2024 verknüpft wurden. Anhand des Verknüpfungtyps in verinice ist es ersichtlich, ob DIN EN ISO/IEC 27001:2024 die NIS-2-Anforderungen umfassen oder ob die NIS 2 über DIN EN ISO/IEC 27001:2024 Anforderungen hinausgehen. Dieses Mapping kann Dank der Kooperation mit dem VDMA als Arbeitsgrundlage in verinice verwendet und individuell angepasst oder erweitert werden. verinice Risikokatalog (ISO 27001 / NIS 2) Der Risikokatalog enthält orginale Inhalte aus den Normen DIN EN ISO/IEC 27001:2024, DIN EN ISO/IEC 27002:2024 und ISO/IEC 27005:2022, die lizenziert sind über den Beuth Verlag. Bitte beachten Sie den Urheberrechtshinweis am Ende des Textes. Erweitert wurden die Inhalte um die Anforderungen der NIS 2 - DIRECTIVE (EU) 2022/2555 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL. Der Preis der hier im Shop verkauften Lizenz zur Einzelplatzversion berechnet sich nach Laufzeit in Jahren und Anzahl der Benutzer. Für die Mehrplatz-Version "verinice.PRO" erfragen Sie bitte ein Staffel-Angebot beim SerNet-Vertrieb SerNet-Vertrieb. Bitte beachten Sie, dass auf Grund der Vorgaben des Beuth Verlags die Inhalte der Originalstandards nur im Programm lesbar und nicht exportierbar sind (PDF, Word, Excel, etc.). Sehen Sie den Risikokatalog in Aktion, z.B. in unseren YouTube-Videos (https://www.youtube.com/@verinice) oder in unseren Webinaren, unter (https://verinice.com/webinare). Ihre Vorteile auf einen Blick Der neue verinice Risikokatalog (ISO 27001 / NIS 2) ist eine Datei, die direkt in verinice importiert werden kann und einen umfassenden Katalog von generischen aber dennoch detaillierten Bedrohungen, Schwachstellen und Risikoszenarien enthält. Genauso enthält der Risikokatalog sowohl die Managementanforderungen aus den Kapiteln 4 bis 10 als auch die Controls aus Anhang A der DIN EN ISO/IEC 27001:2024, inkl. der Erweiturng um die NIS-2-Anforderungen. Darüber hinaus finden Sie auch Platzhalter für erforderliche Dokumente, die für ein ISMS notwendig sein können. verinice ermöglicht die Sammlung aller Informationsbestände, die für die Zertifizierung und Risikoanalyse zwingend erforderlich sind. Die Assets sind in diesem Katalog bereits vordefiniert. Ebenfalls enthalten ist eine Liste von Prozessen, die als Grundlage für eine eigene Risikoanalyse verwendet werden kann. Die Anwendung des PDCA-Zyklus für alle Prozesse des ISMS kann mit verinice konsequent umgesetzt und überprüft werden. Lieferumfang / Produktinhalt Der Risikokatalog wird als verschlüsseltes, ZIP-komprimiertes verinice-Archiv (.lic.vna) bereitgestellt, das Sie an einem Ort Ihrer Wahl entpacken und dann importieren können. In dem entpackten Ordner finden Sie: Die Musterorganisation (VDMA_NIS2_Mapping_zum_verinice_Risikokatalog_nach_DIN_ISOIEC_270012024.lic.vna) auf der Basis von DIN EN ISO/IEC 27001:2024 zur Verwendung in der ISM/ISO-Perspektive. Für die Umsetzung der Anforderungen in verinice, müssen Sie innerhalb der ISM-Perspektive arbeiten und können daher auch die Standardfunktionen von verinice nutzen. Bitte beachten Sie, dass Sie für das konkrete Arbeiten mit diesem Modul ggf. auch das verinice-Handbuch, die Originalnormen der DIN EN ISO/IEC 27001:2024, DIN EN ISO/IEC 27002:2024 und ISO/IEC 27005:2022 sowie die NIS-2-Richtlinie benötigen. 180 generische Risikoszenarien, die auf jede Organisation anwendbar sind, in den folgenden Kategorien: Physischer Schaden Unzureichende Wartung oder Austausch Instabile Stromnetze und andere elektrische Probleme Personelle und betriebliche Probleme Ausfälle in der Telekommunikation Cyber-Angriffe und Exploits Informationsdiebstahl und Offenlegung Manipulationen und unbefugte Nutzung Rechtsverstöße und unzureichende Sicherheitsmaßnahmen Ausfälle von Ressourcen und Dienstleistern Verstoß gegen die Compliance-Anforderungen Über 1000 Verkünpfungen zwischen den oben genannten Risikoszenarien und den Anforderungen nach DIN EN ISO/IEC 27001:2024, Anhang A, die zur Behandlung dieser Risiken entwickelt wurden. Alles, was Sie tun müssen, ist, den Implementierungsstatus der Kontrollen Ihrer Organisation zu vervollständigen und die Beziehungen nach Bedarf anzupassen! 60 grundlegende Bedrohungen in den folgenden Kategorien: Compromise of functions or services Human actions Infrastructure failures Natural threats Organizational threats Physical threats Technical failures Compliance infringements 84 inhärente Schwachstellen in der Informationsverarbeitung in den folgenden Kategorien: Hardware Network Organization Personel Site Software Compliance vulnerabilities 147 Beispiel-Assets (verbunden mit sieben grundlegenden Geschäftsprozessen) in den folgenden Kategorien: Hardware Informationen Netzwerk Organisation Personal Software Standort Unterstützung bei der Umsetzung von DIN EN ISO/IEC 27001:2024, Anhang A: Erläuterungen und Hilfestellungen zu allen 93 Kontrollen aus DIN EN ISO/IEC 27002:2024 mit deren Zweck, Anleitung und weiteren Informationen. Ebenso finden Sie in verinice integrierte Attribute für jede Anforderung gemäß DIN EN ISO/IEC 27002:2024. In einer separaten Gruppe finden Sie 24 Anforderungen der NIS 2, die mit korrespondierenden Anforderungen der DIN EN ISO/IEC 27001:2024 verknüpft sind und damit in die Musterorganisation integriert sind. Da DIN EN ISO/IEC 27001:2024 Anforderungen mit Risikoszenarien verknüpft sind, werden NIS-2-Anforderungen indirekt bei der Risikoanalyse mitberücksichtigt. Liste von 60 Dokumenten und Aufzeichnungen, die für die Zertifizierung nach DIN EN ISO/IEC 27001:2024 erforderlich sein können. Dazu gehören Platzhalter als Checkliste für Richtlinien, Grundsätze und zugehörige Dokumente, die in den Kapiteln 4 bis 10 der Norm oder in den Anforderungen im Anhang A vorgesehen sind. Vorlagenkatalog für ein internes Audit nach dem VDA ISA-Standard. Dieser ermöglicht ein reifegradorientiertes Schnellaudit auf Basis von ISO/IEC 27001:2015 auch ohne Vorkenntnisse der Normen. Der VDA ISA-Standard in der Version 5.1 verweist noch auf die alte Version der ISO 27001:2015. Sobald der VDA den ISA-Standard überarbeitet hat, wird auch dieser im verinice Risikokatalog durch das verinice-Team aktualisiert. Deutscher obligatorischer Urheberrechtsvermerk des Beuth Verlags: "Die in dieser Software wiedergegebenen technischen Regeln (DIN-, EN-, ISO- und ISO/IEC-Normen) sind urheberrechtlich geschützt und für die Nutzung im Rahmen dieser Software von Beuth Verlag GmbH, Berlin, lizenziert. Jegliche Vervielfältigung der technischen Regeln außerhalb dieser Software, z.B. durch Ausdruck oder Speicherung, ist untersagt. Die technischen Regeln können bei der Beuth Verlag GmbH (www.beuth.de) bezogen werden." Weitere Informationen Diskussion im verinice.FORUM: https://forum.verinice.de/ Videos auf YouTube: https://www.youtube.com/c/verinice/videos Herausgeber Beuth Verlag GmbH Saatwinkler Damm 42/43 13627 Berlin VDMA e. V. Lyoner Str. 18 60528 Frankfurt SerNet Service Network GmbH Bahnhofsallee 1b 37081 Göttingen Urheberrechte © 2024 DIN Deutsches Institut für Normung e. V. Saatwinkler Damm 42/43 13627 Berlin © 2023 VDMA e. V. Lyoner Str. 18 60528 Frankfurt © 2024 SerNet Service Network GmbH Bahnhofsallee 1b 37081 Göttingen