ISMS Lösung gesucht

[DJKno]

Hallo liebe Community,

mit der neuen NIS2-Richtlinie kommen auf unser Unternehmen neue Aufgaben zu.
Wir fallen als produzierendes Unternehmen in der Pharmabranche nach meinen Recherchen unter die betroffenen Bereiche.
Da ich als Führungskraft in der IT tätig bin, wird diese Aufgabe an mir hängen bleiben.
Aktuell suche ich daher nach einer guten softwaregestützen Lösung. Ich denke mal als Start ist man mit einem ISMS hier ganz gut aufgestellt. Ein ISMS haben wir nicht, viele Sicherheitsrelevante Punkte sind aber bei uns umgesetzt und auch zu weiten Teilen ganz ordentlich dokumentiert. Mir fehlt allerdings ein zentraler Überblick, worauf man achten muss.
Zusätzlich steht das ganze Thema "Business Continuity" auf dem Programm, welches ebenfalls primär aus IT-Sicht behandelt werden soll.

Kann mir jemand gute Lösungen dafür empfehlen? Gern als OpenSource.
Ich habe mir bereits verinice in der freien Variante angesehen, das ist allerdings sehr altbacken und in meinen Augen unübersichtlich.
Eine Lösung mit einer Weboberfläche, welche gern selbst gehostet werden kann, würde ich favorisieren.
Die Lösung muss nicht kostenlos sein. Eine kostenpflichtige Variante wäre ebenfalls denkbar, wenn diese z.B. gute Vorlagen oder direkte Verfahrenanweisungen mitbringt.

Wir stehen also noch relativ am Anfang und ich würde mich auch über Umsetzungshinweise freuen.

 

[oc2tm2]

Hallo, wir nutzen bei uns Intern als IT Dienstleister BookStack um bei uns ISO 27001 umzusetzen welches im Endeffekt dann auch zur Umsetzung der NIS 2 für unserer Kunden nutzbar ist. ( https://www.bookstackapp.com/ ) , aus meiner Sicht kannst du dich dann auch am BSI Grundschutz Katalog entlanghangeln als Leitpfaden.

 

[gaym0r]

Wirst du vielleicht nicht gerne hören, aber geh am besten mit einem Dienstleister in Kontakt, der sich auf sowas spezialisiert hat. Vorallem in der Branche würde ich nicht auf Forenkommentare setzen und anschließend alleine durchziehen ohne weitere Kentnisse.

 

[Stock86]

Wir setzen bei uns aktuell Wazuh als SIEM Lösung ein. Ist aber auch gerade erst im Aufbau. Aber für ISMS wird ja noch mehr benötigt.

 

[<NeoN>]

Ich kann auch nur empfehlen einen Dienstleister ins Boot zu holen und von dem Gedanken wegzukommen, dass das Sache der IT - Stichwort: Selbstüberwachung - sei. Aber zum reinschmöckern, kannst du dir ja mal die ISO27001, KRITIS oder sowas wie Tisax anschauen, dann wirst du sehen, dass das nichts ist, was man mal in zwei Wochen umsetzt, und man einen dedizierten Verantwortlichen ernennen sollte.

 

[TheHille]

Macht das idealerweise über einen Dienstleister, wenn ihr kein dafür ausgebildetes Fachpersonal habt.

 

[DJKno]

Danke für die Antworten,
ja mit einem Dienstleister möchte ich das auch machen. Allein umsetzen kann man das eh nicht oder nur schlecht.
Ich habe z.B. diese Anbieter gefunden, die entsprechend auch gleich Support und Beratung anbieten.
Da wäre das ganze vollumfänglich abgedeckt.

https://crisam.net/

https://grasp-irm.com/

https://www.hiscout.com/

https://nexis-qsec.com/

 

[SleepW4lk3r]

Ich habe erst vor wenigen Tagen meine Schulung im Bereich ISO27001 / TISAX absolviert. Dort wurden zwei Managementsysteme genannt, aber hatte leider noch keine Zeit um mich einzulesen.

Die Softwarelösungen wären:
https://goriscon.de/de/
https://intervalid.com/

 

[DJKno]

Danke für die Hinweise.
Ich habe übrigens keinesfalls vor das ganze nur mal schnell in ein paar Wochen hinzuwurschteln. Das soll schon ordentlich werden und ist eher auf 6-12 Monate ausgelegt.