EU-Richtlinie
NIS2 / NISG 2026
Die NIS2-Richtlinie (Netz- und Informationssicherheitsrichtlinie 2) ist der EU-weite Rahmen für Cybersecurity-Verpflichtungen und ersetzt die ursprüngliche NIS-Richtlinie. In Österreich wird sie als NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026) umgesetzt.
NIS2 erweitert den Anwendungsbereich auf wesentliche und wichtige Einrichtungen in Sektoren wie Energie, Transport, Gesundheit, digitale Infrastruktur, verarbeitendes Gewerbe, Lebensmittelproduktion und öffentliche Verwaltung. Unternehmen, die die Größenschwellen (50+ Mitarbeiter oder 10 Mio. €+ Umsatz) in diesen Sektoren erreichen, müssen die Anforderungen dieser Richtlinie erfüllen.
Zu den zentralen Anforderungen gehören Risikomanagementmaßnahmen, Incident-Response innerhalb von 24-72 Stunden, Lieferkettensicherheit, Business-Continuity-Planung und regelmäßige Sicherheitstests. Die Geschäftsleitung haftet dabei persönlich bei Nichteinhaltung.
Als Spezialisten für Offensive Security unterstützen wir Sie bei der Erfüllung der technischen NIS2-Anforderungen durch Penetration Tests, Red Team Engagements und strategische Security-Beratung. Unsere Tests identifizieren reale Schwachstellen und Angriffspfade, bevor sie ausgenutzt werden können, und unsere Berichte liefern die für die Compliance-Dokumentation erforderlichen Nachweise.
Risikomanagement & Sicherheitstests
NIS2 verlangt verhältnismäßige technische und organisatorische Maßnahmen. Unsere Penetration Tests und Security Assessments identifizieren reale Risiken und liefern umsetzbare Empfehlungen zur Reduktion Ihrer Angriffsfläche.
Incident Response Readiness
NIS2 verpflichtet zur Meldung von Security-Incidents innerhalb von 24 Stunden. Unsere Red Team Engagements und Purple Team Exercises testen und verbessern Ihre Erkennungs- und Reaktionsfähigkeiten, damit Sie diese Fristen einhalten können.
Compliance-Dokumentation
Unsere detaillierten Berichte dokumentieren Findings, Angriffspfade und Verbesserungsmaßnahmen und liefern nachvollziehbare Nachweise dafür, dass Ihr Unternehmen einen proaktiven Ansatz bei Sicherheitstests verfolgt, wie von NIS2 gefordert.
EU-Verordnung
DORA
Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die speziell auf den Finanzsektor abzielt. Sie legt einheitliche Anforderungen an die Sicherheit von Netz- und Informationssystemen fest, welche in Geschäftsprozessen von Finanzunternehmen eingesetzt werden.
DORA gilt für Banken, Versicherungen, Investment-Broker, Zahlungsdienstleister sowie deren kritische IKT-Dienstleister. Die Verordnung ist seit Januar 2025 in Kraft.
Die Verordnung umfasst IKT-Risikomanagement, Meldung von Cyber-Sicherheitsvorfällen, Tests der Cyber-Resilienz (einschließlich Threat-Led Penetration Tests nach TIBER-EU für bestimmte Einrichtungen) sowie Risikomanagement für Dienstleister und Zulieferer. Darüber hinaus sieht sie den Austausch von relevanten Sicherheitsinformationen vor.
Unsere Vorgehensweise bei Red Team Engagements entspricht dem TIBER-EU-Framework, welches DORA für Threat-Led Penetration Tests vorschreibt. Wir simulieren realistische Angriffsszenarien gegen Ihre kritischen Systeme und erstellen Berichte, die den Dokumentationsanforderungen der Verordnung entsprechen.
IKT-Risikomanagement
DORA verlangt von Finanzunternehmen ein umfassendes IKT-Risikomanagement-Framework. Unsere Penetration Tests liefern die technische Grundlage zur Identifikation und Priorisierung von Risiken.
TIBER-EU-konformes Red Teaming
Für bedeutende Finanzinstitute fordert DORA Threat-Led Penetration Tests nach dem TIBER-EU-Framework. Unsere Red Team Engagements simulieren reale Angreifertaktiken, um Ihre kritischen Systeme und Prozesse eingehend zu testen.
Resilienz-Tests & Reporting
Gemäß DORA müssen regelmäßige Resilienztests mit dokumentierten Ergebnissen durchgeführt werden. Alle unsere Engagements umfassen detaillierte Angriffsszenarien und Logs mit Zeitstempeln, sodass diese die Nachweisanforderungen der regulatorischen Berichterstattung erfüllen.
Automobilindustrie
TISAX
TISAX (Trusted Information Security Assessment Exchange) ist der Standard für Informationssicherheitsbewertungen in der Automobilindustrie. Verwaltet von der ENX Association, basiert er auf dem VDA-ISA-Katalog (Verband der Automobilindustrie Informationssicherheits-Assessment), der auf ISO 27001 mit automobilspezifischen Anforderungen aufbaut.
Für Unternehmen in der Lieferkette der Automobilindustrie, die vertrauliche Informationen von OEMs wie VW, BMW, Mercedes-Benz, Audi oder Porsche sowie deren Tier-1-Zulieferern verarbeiten, ist TISAX verpflichtend. Die Assessment-Levels reichen von AL1 bis AL3, wobei AL2 und AL3 externe Audits erfordern.
Zentrale Bereiche umfassen Informationssicherheitsmanagement (ISMS), Schutz von Prototypen, Datenschutz und Dienstleister-/Lieferantensicherheit. Unternehmen müssen wirksame Sicherheitsmaßnahmen nachweisen, darunter Zugriffsmanagement, Schwachstellenmanagement und Incident Response.
Wir unterstützen Ihre TISAX-Readiness durch gezielte Penetration Tests Ihrer Infrastruktur und Applikationen und helfen Ihnen, Schwachstellen vor dem offiziellen Assessment zu identifizieren und zu beheben. Unsere Berichte dienen außerdem als Nachweis für die Umsetzung regelmäßiger Sicherheitsüberprüfungen. Mit unseren Beratungsleistungen helfen wir bei der Priorisierung wirksamer Hardening-Maßnahmen.
Assessment-Vorbereitung
Wir führen Penetration Tests und Security Reviews durch, welche die bei einem TISAX-Assessment geprüften technischen Maßnahmen abdecken, damit Sie Lücken erkennen und vor dem Audit beheben können.
Lieferkettensicherheit
TISAX verlangt Nachweise von Sicherheitsimplementierungen entlang der gesamten Lieferkette. Unsere externen und internen Penetration Tests verifizieren Ihre Sicherheitsmaßnahmen und liefern diese Nachweise.
Praxisnahes Hardening
Basierend auf unseren Testergebnissen und der Perspektive aus Angrifersicht geben wir unabhängige Empfehlungen für Hardening-Maßnahmen, die die VDA-ISA Anforderungen effektiv adressieren.
Internationaler Standard
ISO 27001
ISO/IEC 27001 ist der weltweit führende Standard für Informationssicherheits-Managementsysteme (ISMS). Er bietet einen systematischen Ansatz zum Management sensibler Unternehmensinformationen durch Risikobewertung, Sicherheitsmaßnahmen und kontinuierliche Verbesserung.
Die ISO 27001-Zertifizierung wird zunehmend von Kunden, Partnern und Regulierungsbehörden erwartet. Sie dient als Grundlage für viele branchenspezifische Frameworks, darunter TISAX, und wird von NIS2 und DORA als anerkannter Ansatz zum Nachweis des Reifegrades referenziert.
Der Standard schreibt vor, Informationssicherheitsrisiken zu identifizieren und geeignete Controls aus Annex A umzusetzen (einschließlich Schwachstellenmanagement, Zugriffskontrolle und Incident Management). Deren Wirksamkeit muss darüber hinaus regelmäßig getestet werden.
Unsere Penetration Tests und Red Team Engagements unterstützen die ISO 27001-Compliance, indem sie eine unabhängige Überprüfung Ihrer Sicherheitsmaßnahmen liefern. Wir testen, ob implementierte Controls gegen reale Angriffstechniken wirksam sind, und unterstützen so einen nachhaltigen Verbesserungszyklus, der im Zentrum des Standards steht.
Unterstützung der Risikobewertung
ISO 27001 verlangt regelmäßige Risikobewertungen. Unsere Penetration Tests liefern konkrete, technische Nachweise über Schwachstellen und Angriffspfade, die direkt in Ihr Risikoregister einfließen.
Annex A Control Verifizierung
Unsere Tests validieren die Wirksamkeit von ISO 27001 Annex A-Controls, insbesondere A.8 (Technische Controls) und Teile von A.5 (Organisatorische Controls) durch praktische Angriffssimulationen.
Kontinuierliche Verbesserung
Durch regelmäßige Penetration Tests und Beratung unterstützen wir den von ISO 27001 geforderten Rezertifizierungszyklus und helfen Ihnen, Ihre Sicherheitsmaßnahmen kontinuierlich an die aktuelle Bedrohungslage anzupassen.