NIS-2 Audit

Eine verantwortliche Person für IT-Sicherheit benennen und dokumentieren. Muss nicht Vollzeit sein, aber klar mandatiert.

Alle IT-Systeme, Server, Clients, Netzwerkgeräte und Cloud-Dienste erfassen. Mindestens: Hostname, Standort, Zweck, Verantwortlicher.

Multi-Faktor-Authentifizierung für alle Admin-Accounts und Remote-Zugänge einrichten. Erste Quick-Win-Maßnahme.

3 Kopien, 2 Medien, 1 offline. Mindestens ein Backup muss getrennt vom Netzwerk aufbewahrt werden (Ransomware-Schutz).

Wiederherstellung aus dem Backup tatsächlich testen. Ergebnis protokollieren. Empfehlung: mindestens 1× pro Quartal.

Wer wird bei einem IT-Sicherheitsvorfall intern informiert? Wer meldet ans BSI (24h/72h)? Kontaktliste erstellen und zugänglich machen.

Rettungsdienst-IT und Verbands-IT mindestens auf VLAN-Ebene trennen. Firewall-Regeln zwischen Segmenten dokumentieren.

Mindestlänge 12 Zeichen, keine Wiederverwendung, Sperr-Policy nach Fehlversuchen. Dokumentiert und kommuniziert.

Kritische Sicherheitsupdates innerhalb von 72h einspielen. Automatische Updates wo möglich. Patch-Stand regelmäßig prüfen.

Mindestens eine Sensibilisierungsmaßnahme für Mitarbeitende (Phishing, Social Engineering). Kann auch kurzer Workshop oder E-Learning sein.