Zum Hauptinhalt gehen

    Die NIS-2-Richtlinie: Anforderungen und Maßnahmen erklärt

    Angesichts der zunehmenden IT-Gefahren und Cyberangriffe aus dem In- und Ausland führt am Schutz von IT-Infrastruktur kein Weg vorbei. Aus diesem Grund hat die Europäische Union 2022 die Richtlinie 2022/2555, besser bekannt als NIS-2, beschlossen, die für ein einheitliches und hohes Niveau an Cyberschutz und IT-Sicherheit in der EU sorgen soll.
    Wir beraten Sie gern!
    IT-Sicherheit_NIS-2-Richtlinie
    Genau wie alle EU-Mitgliedstaaten ist auch Deutschland seit dem 17. Oktober 2024 verpflichtet, diese Richtlinie in nationales Recht umzusetzen. Rund 30.000 deutsche Unternehmen und Einrichtungen sind im privaten und öffentlichen Sektor von NIS-2-Pflichten betroffen. 

    Als Experte für Hardware und Software in modernen Arbeitsumgebungen zählt für TA Triumph-Adler ein hohes Cybersicherheitsniveau zu den Prioritäten. Unsere Produkte decken viele NIS-2-Anforderungen ab und ermöglichen die Einhaltung der geforderten Standards für Informationssicherheit. Erfahren Sie hier alles, was Sie zur NIS-2-Richtlinie wissen müssen, und wie TA Triumph-Adler Ihnen hilft, die richtigen Maßnahmen schon jetzt zu ergreifen.

    Inhaltsverzeichnis

    Was ist die NIS-2-Richtlinie? 

    NIS-2 steht abgekürzt für „Netz- und Informationssicherheit 2“ (Network and Information Security 2) und trat als Richtlinie 2022/2555 am 16. Januar 2023 EU-weit in Kraft. Sie umfasst strenge Vorgaben für eine ganzheitliche und lückenlose Cybersicherheit und muss seit dem 17. Oktober 2024 von allen EU-Mitgliedstaaten in nationales Recht überführt werden.

    Die neuen NIS-2-Vorschriften gelten für Unternehmen und Einrichtungen in 18 kritischen privaten und öffentlichen Sektoren. Sie definieren verschiedene Sicherheitsmaßnahmen und Meldepflichten, die in der Europäischen Union ein gemeinsames hohes Cybersicherheitsniveau und maximalen Cyberschutz der Mitgliedstaaten gewährleisten sollen.

    Die NIS-2 löst damit die bisherige NIS-1 ab, die deutlich weniger Sektoren und Unternehmen betraf und geringere Sanktionen bei Verstößen vorsah. 
    • Mit der NIS-2 gilt nun: Wer gegen NIS-2-Vorschriften verstößt, gefährdet das eigene Unternehmen nicht nur durch mangelnden Schutz vor Cyberangriffen, sondern auch durch horrende Strafen, die bei Verstößen gegen die NIS-2-Vorschriften drohen.

    Wann tritt das NIS-2-Umsetzungsgesetz in Deutschland in Kraft?

    Auf EU-Ebene wurde die NIS-2 als Richtlinie 2022/2555 bereits am 14. Dezember 2022 vom Europäischen Parlament und vom EU-Rat verabschiedet. Am 16. Januar 2023 trat sie in Kraft und verpflichtet alle EU-Mitgliedstaaten zur zeitnahen Umsetzung. Auch in Deutschland sind rund 30.000 Unternehmen und Einrichtungen zur Umsetzung verpflichtet.

    Den gesetzlichen Rahmen für die NIS-2 in Deutschland soll das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) bilden, das sich als Änderungsgesetz auf mehrere Gesetze gleichzeitig auswirkt. Der bisherige Zeitplan sah die Umsetzung bis spätestens 17. Oktober 2024 vor. Aufgrund von Verzögerungen bei der Gesetzgebung ist die Umsetzung der NIS-2-Richtlinie in Deutschland nun jedoch bis zum März 2025 vorgesehen. Die zentrale Stelle für die Einführung und Umsetzung der NIS-2 ist das BSI (Bundesamt für Sicherheit in der Informationstechnik). 
    • Besonders wichtig für Unternehmen: Für die Erfüllung der NIS-2-Anforderungen sind keine Übergangsfristen vorgesehen. Das bedeutet trotz Verzögerung bei der Umsetzung „aufgeschoben ist nicht aufgehoben“. Sollte das NIS2UmsuCG ab März 2025 in Kraft treten, müssen betroffene Unternehmen und Einrichtungen die Anforderungen der NIS-2 sofort erfüllen und die NIS-2 Vorschriften einhalten können. 
    Richtlinie_NIS-2_Vorschrift

    Warum wird die NIS-2-Richtlinie eingeführt? 

    Sicherheitsexperten fordern schon seit Jahren einen hohen Standard an Cybersicherheit in Unternehmen und Institutionen. Groß angelegte Cyberangriffe wie der SolarWinds-Hack haben deutlich gezeigt, wie gefährdet kritische Infrastrukturen wie Energie- und Wasserversorgung sowie digitale Bereiche der Gesellschaft sein können.

    Genau aus diesem Grund sollte Cyberresilienz in Europa und Deutschland längst zum Alltag gehören. Sollte, denn aktuell sind zu wenig Unternehmen und Einrichtungen auf Cybergefahren vorbereitet. Immer mehr Unternehmen werden jedoch Opfer von Sabotage, Datendiebstahl und Spionage. 

    Die Brisanz der Situation belegt eine Untersuchung des Branchenverbands Bitkom 
    • 8 von 10 Unternehmen waren 2023 von Cyberangriffen betroffen. 
    • Mit 267 Milliarden Euro erreichte der Schaden durch Cyberangriffe einen Rekordwert. 
    • Zwei Drittel aller befragten Unternehmen sehen sich durch Cybergefahren in ihrer Existenz bedroht. 
    • Bei 70 Prozent aller betroffenen Unternehmen ließen sich Angriffe auf organisierte Kriminalität zurückführen. 
    Mit der NIS-2-Richtlinie gibt die EU nun klar definierte Mindeststandards für Cybersicherheit in öffentlichen und privaten Einrichtungen vor. 

    Die wichtigsten Ziele der NIS-2 

    Basierend auf Schwachstellen in der bisherigen NIS-1 definierte die Europäische Kommission Zielsetzungen, die durch eine nationale Cybersicherheit in allen Mitgliedstaaten erreicht werden sollen. Dazu zählen: 
    • Einhaltung von Mindeststandards für Cyberresilienz durch Unternehmen und Institutionen in der EU 
    • Einheitliche und gemeinsame Widerstandsfähigkeit gegen Cyberbedrohungen bei EU-Mitgliedstaaten und betroffenen Sektoren 
    • Koordinierte und vereinheitlichte Reaktionsfähigkeit im Fall von Krisen und Bedrohungen 
    • Umfassendes Verständnis der Bedrohungen, Gefahren und Herausforderungen, die sich EU-Mitgliedstaaten hinsichtlich kritischer Infrastrukturen und digitaler Bereiche stellen müssen 

    Welchen konkreten Bedrohungen soll die NIS-2 begegnen? 

    In Deutschland sind nicht nur Großunternehmen und KRITIS-Unternehmen, sondern auch mittelständische Unternehmen zunehmend von Cyberangriffen betroffen. Vor allem hier können sich der Verlust von Geschäftsdaten, überlastete Systeme oder auch ein Imageschaden durch mangelnden Kundendatenschutz existenzgefährdend auswirken.

    Unternehmen, die grundsätzlich auf ein hohes Niveau bei der Cybersicherheit beispielsweise durch Datenverschlüsselung und Multi-Faktor-Authentifizierung setzen, sichern sich gegen Risiken für den eigenen Geschäftserfolg ab.
    IT-Sicherheit_Cybersecurity_Mindeststandards
    Laut dem Bericht zur Lage der IT-Sicherheit in Deutschland sieht das BSI vor allem folgende Bedrohungslagen aktuell im Fokus: 
    • DoS- und DDoS-Angriffe: Das Ziel von DoS (Denial-of-Service) und DDoS (Distributed Denial-of-Service) ist die Überlastung von Systemen durch Angriffe auf ein oder mehrere Systeme von Unternehmen, Organisationen oder Behörden. 
    • Ransomware-Angriffe: Ziel von Ransomware-Attacken ist die Erpressung von hohen Geldsummen oder die Zerstörung und Unbrauchbarmachung von Daten oder Systemen. 
    • Advanced Persistent Threats (APT): Hierbei kommt es zu langfristigen Angriffen mit Fokus auf kritische Infrastrukturen und sensible Daten. 
    Weitere Bedrohungen, die zunehmend Unternehmen gefährden, sind Phishing-Angriffe mit dem Ziel, Daten wie Passwörter, Finanzinformationen oder Personaldaten zu stehlen, sowie Man-in-the-Middle-Attacken, bei denen Daten abgefangen oder Systeme belauscht werden. Auch menschliches Fehlverhalten und Nachlässigkeiten spielen eine nicht unwesentliche Rolle und erfordern eine entsprechende Schulung und Aufklärung der Beschäftigten, um ein Bewusstsein für Cybersicherheit zu schaffen. 

    Was genau ändert sich durch die NIS-2? 

    Zu den wichtigsten Änderungen durch die NIS-2 zählen: 

    Mehr Bereiche und Sektoren betroffen 

    Mit 18 Sektoren und etwa 30.000 betroffenen Unternehmen wirkt sich die NIS-2 auf deutlich mehr Unternehmen aus als die NIS-1. 

    Strenge Sanktionen 

    Im Gegensatz zur NIS-1 sieht die NIS-2 bei Nichteinhalten der Mindeststandards enorm strenge Strafmaßnahmen vor. Das reicht von bis zu 500.000 Euro Strafe für scheinbar banale Verstöße wie fehlende Registrierungen oder Zertifizierungen bis hin zu 10 Millionen Euro für Verstöße in kritischen Sektoren je Vorfall. Selbst die Absetzung der Geschäftsführung ist dem BSI in kritischen Situationen möglich. 

    Direkte Verantwortlichkeiten auf Führungsebene 

    Die Einhaltung der NIS-2-Anforderungen muss die Geschäftsleitung in betroffenen Bereichen zur Priorität erklären, denn bei Verstößen trägt sie eine direkte, auch persönliche Verantwortung. 

    Konzepte und Maßnahmen für Risiko- und Sicherheitsmanagement umsetzen 

    Von umfassenden Risikoanalysen bis hin zu Schutz- und Sicherheitsmaßnahmen müssen betroffene Unternehmen ganzheitliche Konzepte und Strategien für Cyberschutz und Cyberresilienz umsetzen. Dazu zählen Aspekte wie: 
    • Sicherheit für Informationssysteme 
    • Bewältigen von Sicherheitsvorfällen 
    • Betriebs- und Geschäftskontinuität in Not- oder Krisenfällen 
    • Sichere Lieferketten inklusive Risikomanagement mit Fokus auf Direkt- oder Drittanbieter 
    • Sicherheit bei Einkauf, Entwicklung und Wartung von IT-Systemen 
    • Sicherheitsmanagement vom Erwerb bis zur Wartung von Netz- und Informationssystemen 
    • Prüfung der Wirksamkeit des eigenen Cyberrisikomanagements 
    • Angriffserkennung und -abwehr 
    • Grundlegende Cyberhygiene und Cyberresilienz durch Systeme auf dem aktuellen Stand der Technik 
    • Kryptografie- und Verschlüsselungsverfahren 
    • Personalsicherheit, Zugriffskontrollen und Asset Management 
    • Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung 

    Sicherheitsvorfälle müssen gemeldet werden 

    Bei Sicherheitsvorfällen wie Cyberangriffen oder Datendiebstahl sind Unternehmen zur Meldung an die zuständigen Behörden und Stellen verpflichtet. Gemäß EU-Richtlinie umfassen Meldepflichten folgende Zeiträume (können im finalen NIS2UmsuCG abweichen): 
    • Frühwarnung: Innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls 
    • Meldung (Bewertung und Einschätzung): Innerhalb von 72 Stunden ab Kenntnisnahme 
    • Ausführlicher Abschlussbericht: Spätestens nach einem Monat ab Kenntnisnahme 

    Wen betrifft die NIS-2? 

    Welche deutschen Unternehmen, Einrichtungen und Sektoren unter die NIS-2-Richtlinie fallen, definiert das NIS2UmsuCG. Hierzu kommen gemäß Teil 3, Kapitel 1, ab § 28 Schwellenwerte für Jahresumsätze, Jahresbilanzen und Mitarbeiterzahlen sowie gemäß Teil 7, Anlage 1 und 2 die Unterteilung in verschiedene Sektoren zum Einsatz.

    Die NIS-2 weitet den Bereich betroffener Unternehmen und Einrichtungen auf 18 Sektoren aus und unterscheidet in die Kategorien „wesentlich“ (essential) mit elf Sektoren und „wichtig“ (important) mit sieben Sektoren. Hierunter fallen je nach Größe und Tätigkeitsbereich sowohl KRITIS-Unternehmen, also Unternehmen mit Relevanz für kritische Infrastrukturen, als auch Unternehmen, die für das staatliche Gemeinwesen von Bedeutung sind.
    Wichtig zu wissen: Unternehmen ab 50 Mitarbeiterinnen und Mitarbeitern sowie ab 10 Millionen Euro Jahresumsatz sind als mittelgroße Institutionen unmittelbar von der NIS-2 betroffen. Dasselbe gilt für große Institutionen mit mindestens 250 Beschäftigten und mehr als 50 Millionen Euro Umsatz bzw. ab 43 Millionen Euro Bilanzsumme.
    IT-Sicherheit_NIS-2_Wichtige Information
    Darüber hinaus können auch Unternehmen betroffen sein, die Schwellenwerte nicht erreichen, deren Ausfall jedoch in Systemrisiken resultieren kann. Dazu zählen unter anderem: 
    • Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste 
    • Anbieter von Vertrauensdiensten 
    • Namensregister der Domäne oberster Stufe / DNS-Dienstanbieter 
    Eine Betroffenheit kann zudem je nach Fall vom BSI angeordnet werden. 

    Wichtige und wesentliche Sektoren im Überblick 

    Zur Kategorie „wesentlich“ zählen vor allem Organisationen und Institutionen, die unter den KRITIS-Bereich fallen, also Auswirkungen auf kritische Infrastrukturen und das staatliche Gemeinwesen haben. Zur Kategorie „wichtig“ zählen Unternehmen, die systemrelevante Aufgaben und Funktionen erfüllen. Mitgliedstaaten können je nach Bedarf die Anzahl der betroffenen Sektoren erweitern. 
    Wesentlich 
    Wichtig 
    • Energie 
    • Transport und Verkehr 
    • Wasserversorgung/Trinkwasser 
    • Abwasser 
    • Gesundheitswesen 
    • Finanzmarktinfrastrukturen 
    • Bankwesen 
    • Digitale Infrastruktur 
    • Qualifizierte Vertrauensdienste / Verwaltung von ICT-Services (B2B) 
    • Raumfahrt/Weltraum 
    • Zentralregierung / Öffentliche Verwaltung 
    • Post- und Kurierdienste 
    • Abfallbewirtschaftung 
    • Produktion, Herstellung und Handel mit chemischen Stoffen 
    • Produktion, Verarbeitung und Vertrieb von Lebensmitteln 
    • Verarbeitendes Gewerbe / Herstellung von Waren 
    • Anbieter digitaler Dienste 
    • Forschung 

    Zeitplan der NIS-2-Richtlinie: Zusammenfassung

    Behalten Sie mit unserer NIS-2-Zusammenfassung zum aktuellen Fahrplan der Umsetzung den Überblick: 
    • 14. Dezember 2022: Die EU-Richtlinie 2022/2555 (NIS-2-Richtlinie) wird vom Europäischen Parlament und vom Europäischen Rat verabschiedet. 
    • 16. Januar 2023: Die NIS-2-Richtlinie tritt EU-weit in Kraft. 
    • 18. Oktober 2023: Die Richtlinie ist in EU-Mitgliedstaaten anzuwenden, indem sie in nationales Recht überführt wird. In Deutschland war der 17. Oktober 2024 Stichtag für die Einführung des NIS-2-Umsetzungsgesetzes. Durch Verzögerungen im Gesetzgebungsprozess konnte die Frist nicht eingehalten werden. 
    • März 2025: Der bestehende Gesetzentwurf des NIS2UmsuCG soll aktuellen Planungen nach im März 2025 in Kraft treten. Da es keine Übergangsphase gibt, gelten somit sämtliche Pflichten für alle betroffenen Sektoren ab dem Tag des Inkrafttretens.
    IT-Sicherheit_Zeitplan_NIS-2-Richtlinie

    Ist Ihr Unternehmen betroffen? 

    Ob Ihr Unternehmen von den Anforderungen der NIS-2 betroffen ist, müssen Sie gemäß § 28 des NIS2UmsuCG selbst prüfen und feststellen. Eine automatische Benachrichtigung erfolgt nicht. Gleichzeitig besteht bereits ab dem ersten Tag des Inkrafttretens des Gesetzes die Möglichkeit von Vor-Ort-Kontrollen sowie proaktiven oder reaktiven Sicherheitsprüfungen durch die Aufsichtsbehörden. 
    Um die Prüfung zu erleichtern, bietet das BSI die NIS-2-Betroffenheitsprüfung an, die kostenlos und anonym erfolgt. Obwohl die Ergebnisse nicht rechtlich bindend sind, ermöglichen sie eine Orientierungshilfe zur Einschätzung der Lage. 

    Diese NIS-2-Maßnahmen müssen betroffene Unternehmen ergreifen 

    Unternehmen, die von der NIS-2 betroffen sind, unterliegen verschiedenen Pflichten und Anforderungen, die es nachweislich zu erfüllen gilt. Dazu zählen: 
    • Maßnahmen für Risikomanagement und Business Continuity Management gemäß § 30 und § 31 
    • Meldepflichten gemäß § 32 
    • Registrierungspflichten gemäß § 33 und § 34 
    • Unterrichtungspflichten gemäß § 35 
    • Billigungs-, Überwachungs- und Schulungspflichten für die Geschäftsleitung gemäß § 38 
    • Weitere Anforderungen speziell für „Betreiber kritischer Anlagen“ 
    Zusätzliche Maßnahmen und Pflichten können gemäß § 56 durch die „Ermächtigung zum Erlass von Rechtsverordnungen“ hinzukommen. Dazu zählen Aspekte wie: 
    • Erteilung und Anerkennung von Sicherheitszertifikaten 
    • Kennzeichnung der IT-Sicherheit gemäß den branchenspezifischen Vorgaben und Freigabeverfahren 
    • Pflichten zur Zertifizierung von Produkten, Diensten und Prozessen in besonders wichtigen Einrichtungen 
    • Definition von kritischen Dienstleistungen und Anlagen 
    Die wichtigsten Fragen rund um die NIS-2-Richtlinie beantwortet das BSI unter „Fragen und Antworten zu NIS-2. 

    So hilft TA Triumph-Adler bei der Einhaltung der NIS-2 

    Sollte der aktuelle Entwurf zum NIS-2-Umsetzungsgesetz ab März 2025 in Kraft treten, so sind betroffene Unternehmen verpflichtet, sich beim BSI zu registrieren. Da auch Verträge, die vorher geschlossen wurden, davon betroffen sind, gilt es, so schnell wie möglich die nötigen Maßnahmen zu ergreifen und für ein gefordertes Mindestniveau an IT-Sicherheit zu sorgen.

    Dazu zählen nicht nur die Pflicht zur Registrierung für Unternehmen in betroffenen Sektoren und die Meldung von Sicherheitsvorfällen, sondern auch Managementsysteme, die den Anforderungen der ISO 27001 entsprechen.

    TA Triumph-Adler deckt bereits jetzt viele der NIS-2-Anforderungen ab und sorgt für die Einhaltung von grundlegenden IT-Sicherheitsstandards sowie für die Umsetzung technischer und organisatorischer Maßnahmen. Das fängt bei Authentifizierungslösungen wie aQrate an und reicht bis hin zur Verschlüsselung übertragener und gespeicherter Daten.

    Im Folgenden erfahren Sie, wie Sie sich mit TA Triumph-Adler jetzt schon für NIS-2 fit machen: 

    Zugriffskontrollen und Authentifizierung 

    Das BSI betont ausdrücklich, dass auch digital anschlussfähige Multifunktionsdrucker, die ins Netzwerk eingebunden werden, Angriffspunkte für Cyberbedrohungen bieten können. Aus diesem Grund sorgen wir mit Lösungen wie aQrate für eine lückenlose Authentifizierung für berechtigte Nutzer. So bleiben alle Daten und Dokumente vor unberechtigten Zugriffen geschützt – sei es am MFP, im System oder bei der Übertragung im Netzwerk. Folgende Verfahren für die Zugriffskontrolle und Authentifizierung bieten wir: 
    • Authentifizierung und Rollenvergabe: Durch eine Authentifizierung im Netzwerk sowie auf Geräteebene sind der Zugriff auf und die Verwendung von Daten und Ausgabegeräten nur berechtigten Personen möglich. Der Ausdruck von Druckjobs und der Zugriff auf Daten über den MFP funktionieren somit erst nach einer Anmeldung mit Passwort, PIN oder IC-Karte. Das gilt dank der Funktion Follow2Print auch für Druckjobs, die an MFPs an andere Standorte geschickt werden. Dokumente bleiben so lange in der Warteschlange, bis die Authentifizierung erfolgt. Administratoren können zudem verschiedene Nutzerrollen vergeben und so für eine mehrschichtige Authentifizierung sorgen.  
    • Sperrung von Zugriffen: Durch eine sichere Schnittstellen- und Zugriffssperre, unter anderem gemäß dem Authentifizierungsstandard IEEE 802.1x, lassen sich unberechtigte Zugriffe über USB- oder Netzwerkschnittstellen verhindern und sogar das Display am MPF lässt sich sperren oder beschränken. 
    • Sicheres Drucken und Kopieren: Berechtigte Nutzer können festlegen, ob Druckjobs nach dem Drucken sofort gelöscht werden oder ob die Weiterverarbeitung vertraulicher Aufträge durch Wasserzeichen oder Stempel wie „Nicht kopieren“ oder „Vertraulich“ eingeschränkt wird. Unberechtigt erstellte Kopien lassen sich zudem durch Sicherheitswasserzeichen kennzeichnen und Wiederholungskopien verhindern. 
    • Erkennung von verdächtigen Anmeldungen: Kommt es zu verdächtigen Anmeldungen am Gerät, lässt sich automatisch eine Kontosperrung veranlassen. Die Kennwortrichtlinie stellt zudem sicher, dass verwendete Passwörter aktuellen Sicherheitsvorgaben hinsichtlich Länge und Komplexität entsprechen. 
    • Port- und IP-Filter: Die Konfigurierung von Ports und IP-Adressen kann dafür sorgen, dass nur Zugriffe und Verbindungen über berechtigte Kanäle erlaubt werden. 

    Verschlüsselung von übertragenen und gespeicherten Daten 

    Kryptografie und Verschlüsselungsverfahren auf dem aktuellen Stand der Technik sind für die Einhaltung der NIS-2-Richtlinie unverzichtbar, um Datendiebstahl und Manipulationen zu unterbinden. Hierzu bieten unsere Hardware- und unsere Softwarelösungen unter anderem: 
    • TLS1.3, SSL und AES: Mit Transport Layer Security (TLS) und Secure Sockets Layer (SSL) sichern wir dank Verschlüsselung die Vertraulichkeit Ihrer Daten sowie die geschützte Übertragung und Speicherung. Für dauerhaft oder temporär gespeicherte Daten kommt zudem eine HDD/SSD-Verschlüsslung (AES) gemäß ISO 15408 zum Einsatz. Auch eine gezielte PDF-Verschlüsselung inklusive Kennwortschutz am MFP ist möglich, wenn Sie Druckjobs in PDFs umwandeln. 
    • Trusted Platform Module: Um Daten auch auf Ausgabegeräten manipulationssicher zu speichern, verfügen viele unserer Ausgabegeräte über einen TPM-Sicherheitschip. Er sichert die Hardware und darauf gespeicherte Daten durch integrierte kryptografische Schlüssel. Kommt es zur Manipulation der TPM-Schlüssel oder zur unbefugten Entnahme der Festplatte, wird der Zugriff auf die gespeicherten Daten unterbunden. 
    • Datenschutz: Mit unserem optionalen Data Security Kit sorgen wir dafür, dass alle Daten auf der Festplatte mehrfach überschrieben und verschlüsselt werden, bevor es zur Speicherung auf der Festplatte kommt. Das Verschlüsselungsverfahren ist nach dem Common-Criteria-Sicherheitsstandard ISO 15408 EAL2 sowie nach IEEE2600.2 zertifiziert. 
    • Automatisches Zertifizierungsmanagement: Durch ein automatisiertes Zertifizierungsmanagement (ACM) werden Zertifikate mit SCEP, CRL und OCSP automatisch geprüft und aktualisiert, um Ausfallsicherheit zu gewährleisten. Eine Verschlüsselung ist zudem bis zu 4.096 Bit möglich. 
    • DSGVO-konforme Cloud-Speicher: Unsere Cloud-Speicher, die wir über Cloud-Lösungen wie TACIM, TACPS oder yuuvis® RAD as a Service bereitstellen, sind nach ISO 27001 zertifiziert und halten die geforderten Standards für Datenschutz gemäß DSGVO ein. 

    Updates und Upgrades für Firmware und Software 

    Die Aktualität von Software und Hardware ist besonders wichtig, um Sicherheitslücken auszuschließen. Unsere Lösungen Druckerflottenmanagement und Echtzeit-Monitoring wie TA Cockpit® halten Ihre Systeme immer auf dem aktuellen Stand. Dazu zählen die Überprüfung der Integrität und Aktualität von Software sowie automatische Updates und Upgrades von Firmware und Software. Das ist für ausgewählte Geräte, Gerätegruppen oder die ganze Flotte möglich. Warnungen und Erinnerungsfunktionen sorgen dafür, dass Integritätsverletzungen sofort erkannt werden. 

    Geräte- und Datensicherheit 

    Mit unserem Flottenmanagement stellen wir sicher, dass Sie dank Protokollierung, Dokumentation und Echtzeit-Monitoring stets über den Gerätestatus und Zugriffe informiert bleiben. Hierzu zählen nicht nur Updates und Upgrades, sondern auch: 
    • Authentifizierung per Anmeldedaten, PIN oder IC-Karte 
    • Secure Boot 
    • Festplattenverschlüsselung 
    • Run-Time Integrity Check 
    • Trusted Plattform Module 
    Verschiedene vorkonfigurierte Sicherheitsrichtlinien sorgen zudem dafür, dass Sie das Sicherheitsniveau von Geräten schnell anpassen können. Je nach Gerät ist auch die Erstellung von Syslog-Protokollen und Whitelisting von Dateien möglich.

    Unsere Sicherheitskonzepte stellen zudem sicher, dass Sie vor Cyberangriffen und Hackern geschützt bleiben und Ihrer Datenlöschungspflicht gemäß DSGVO nachkommen: 
    • Mit unseren Schwachstellenscans und Penetrationstests überprüfen wir beispielsweise Ihre IT-Systeme auf Sicherheitslücken, um Angriffen vorzubeugen.  
    • Unser Rückführungsprozess für gemietete oder geleaste Hardware bietet eine umfassende Datenlöschung und die Rücksetzung auf die Werkseinstellungen. Optional bieten wir hierzu eine protokollierte Datenlöschung gemäß dem Standard 5220.22-M des US-Verteidigungsministeriums sowie nach der BSI-Richtlinie zum Geheimschutz von Verschlusssachen beim Einsatz von IT (VSITR). 

    Zertifizierung nach ISO 27001 

    Als Experte für sichere Hardware und Software in einer modernen Arbeitsumgebung bieten wir nicht nur Lösungen auf dem aktuellen Stand der Technik, sondern auch Qualitäts- und Prozessmanagement und Informationssicherheit auf höchstem Niveau. Dafür steht die Tatsache, dass ein Großteil unserer Geschäftsbereiche nach ISO 27001 zertifiziert ist. Das gilt für unsere Standorte in Bonn, Dortmund, Hamburg, Hamburg-Altenwerder, Mainz, Schwerin, Nürnberg und Fellbach. Grundsätzlich halten wir auch an nicht zertifizierten Standorten die Anforderungen der ISO 27001 für Informationssicherheitsmanagement ein. 

    Ein ganzheitliches Sicherheitskonzept – mit TA Triumph-Adler 

    Bereiten Sie sich jetzt auf die NIS-2 vor und verlassen Sie sich mit TA Triumph-Adler auf einen Partner, der Ihnen langjährige Expertise in Informationssicherheit bietet – angefangen bei MFPs bis hin zu sicheren Softwarelösungen. Wahlweise nehmen wir Ihnen mit unseren Managed Services einen Großteil der Planung und Umsetzung ab. Dazu zählen sowohl die Ausstattung und Einrichtung Ihrer Arbeitsplätze als auch das Monitoring Ihrer Flotte und Systeme sowie der Schutz Ihrer IT-Infrastruktur. 

    Unsere Produkte erfüllen durch integrierte Sicherheitsfunktionen nicht nur wichtige Anforderungen der NIS-2, sondern lassen sich auch individuell an Ihre Bedürfnisse anpassen. Wir bieten Ihnen zudem eine professionelle Beratung sowie unseren Service für IT-Sicherheit und Datensicherheit. Auf Wunsch führen wir eine Analyse Ihrer Ist-Situation mit unserer kostenlosen MDS-Analyse durch und ermitteln Verbesserungspotenzial in Ihrer Druckerflotte. So optimieren Sie nicht nur Ihre Produktivität und Effizienz, sondern auch Ihre Sicherheitsstandards. 

    Zögern Sie nicht, uns bei Interesse zu kontaktieren und eine erste unverbindliche Beratung zu vereinbaren. 

    Zusätzliche Informationen zum Thema IT-Sicherheit bieten unsere Checklisten Schwachstelle MFP und In sieben Schritten zur digitalen Transformation.