Ihr Weg zur
Für die erfolgreiche Kooperation mit US-Unternehmen in Entwicklungsprojekten mit hochsensiblen Informationen ist die NIST-Compliance häufig verpflichtend. valantic unterstützt als NIST-Experte Großunternehmen und den Mittelstand auf ihrem Weg zur erfolgreichen NIST-Compliance – effizient und mit höchstmöglicher Sicherheit.
Schutz hochsensibler Informationen und kritischer Infrastrukturen
Unternehmen, die im Bereich kritischer Infrastrukturen tätig sind bzw. im Kontext von Entwicklungsprojekten hochsensible Informationen austauschen, sind häufigen Cyber-Bedrohungen ausgesetzt. Ein Cyber-Angriff auf diese Organisationen kann häufig zu schwerwiegenden Folgen führen. Die US-Regierung verpflichtet deshalb Organisationen, die Hochsicherheits-IT-Infrastruktur benötigen, bzw. Unternehmen aus hochregulierten Branchen mit höchsten IT-Cybersecurity-Anforderungen zur Einhaltung von Cybersecurity-Standards. Diese Cybersecurity Standards werden von der US-Behörde National Institute of Standards and Technology (NIST) entwickelt und bereitgestellt.
Da u. a. US-Rüstungskonzerne vermehrt mit europäischen Unternehmen in internationalen Entwicklungsprogrammen kooperieren und ihre Vorprodukte verstärkt auf dem europäischen Markt beziehen, wird der NIST-Standard auch für europäische Unternehmen und deren Zulieferer zur Voraussetzung. Die NIST-Compliance ist für europäische Unternehmen daher zwingend notwendig, um erfolgreich an internationalen Entwicklungsprojekten mit der US-Industrie in vulnerablen Bereichen teilzunehmen. Sie suchen Unterstützung, um die NIST-Compliance zu erfüllen? Wir sind für Sie da.
Die US-Behörde NIST (National Institute of Standards and Technology) entwickelt Standards, Richtlinien und Best Practices für Unternehmen und (Regierungs-)Organisationen.
Für den Bereich Cybersecurity gibt es die Familie NIST SP 800 mit über 200 Richtlinien, die zu den wichtigsten NIST-Standards zählen. Diese Standards können insbesondere herangezogen werden, um die Risiken der Cyber- und Informationssicherheit besser zu managen, um Schwachstellen zu beheben sowie Abwehrmaßnahmen zu stärken und um fundierte Cybersicherheitsprogramme zu konzipieren sowie zu realisieren.
Zu den am häufigsten verwendeten NIST-Richtlinien gehören die NIST SP 800-53 für Regierungsorganisationen (z. B. Sicherheitskontrollen für Bundesinformationssysteme) sowie die NIST SP 800-171 für Wirtschaftsunternehmen, die direkt oder indirekt die US-Regierung beliefern. Darüber hinaus kann beispielsweise die NIST SP 800-37 als Guideline für das Risikomanagement sowie die NIST SP 800-61 für Vorfallreaktionen (Handling von Incidents) genutzt werden.
Die NIST SP 800-171 Richtlinie legt die Sicherheitsanforderungen zum Schutz von nicht klassifizierten Informationen (sogenannte „Controlled Unclassified Information“ (CUI)) in nicht-staatlichen Informationssystemen fest, z. B. für Wirtschaftsunternehmen.
Ihr Ziel ist die Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit von CUI-Daten. Die Richtlinie adressiert die Zugriffskontrolle, die Risikobewertung und den Systemschutz sowie zahlreiche andere Bereiche, in Summe 14 Kontrollfamilien.
Auch in Europa gewinnt der Standard schlagartig an Relevanz: Große Entwicklungskooperationen mit US-Partnerunternehmen müssen besonders cyber-resilient sein und vor unbefugtem Zugriff geschützt werden, vor allem wenn hochsensible Informationen ausgetauscht werden.
Unternehmen, die die amerikanische Verteidigungsindustrie oder deren europäische Partner beliefern wollen bzw. die CUI-Daten im Auftrag der US-Regierung prozessieren, müssen die Vorgaben der NIST SP 800-171 einhalten. Diese Regelung gilt auch für Subunternehmer sowie Lieferanten und wird durch das DFARS-Gesetz (Defense Federal Acquisiton Regulations Supplement) der US-Regierung vorgeschrieben.
Die NIST-Vorgaben gelten dabei nicht nur für die Produktions- sondern auch für die Angebotsphase, d. h. die NIST SP 800-171 Compliance muss bereits vor Beginn der Zusammenarbeit nachgewiesen werden.
Die NIST-Richtlinien zeichnen sich durch ein umfangreiches Vorgabenwerk aus. So umfasst beispielsweise die NIST SP 800-171 insgesamt 110 Kontrollpunkte in 14 Kontrollfamilien. Für alle 110 Kontrollpunkte muss durch das Unternehmen dargelegt werden, mit welchen Maßnahmen die einzelnen Kontrollpunkte erfüllt werden und wie das NIST-Gesamtkonzept des Unternehmens aussieht.
Für Unternehmen, die sich bislang nicht im Detail mit der NIST SP 800-171 beschäftigt haben, folgt daraus ein erheblicher Aufwand für die Analyse der Anforderungen, für die Entwicklung eines Gesamtkonzeptes sowie für die Konkretisierung und Dokumentation der erforderlichen Maßnahmen – mit einem entsprechenden Zeitbedarf. Da die NIST-Compliance bereits für das Anfordern von Angebotsunterlagen nachgewiesen werden muss, ergibt sich häufig ein enger Zeitrahmen für den Nachweis der NIST-Compliance.
valantic ist der NIST-Experte und unterstützt Großunternehmen und den Mittelstand bei der Erreichung der NIST-Compliance im Bereich Cybersecurity – u. a. begleiten wir ein großes internationales Produktionsprogramm dabei, die NIST-Vorgaben zu erfüllen und deren Erfüllung auch gegenüber mehreren großen US-Konzernen nachzuweisen.
Daher bieten wir ein bereits am Markt validiertes Compliance-Konzept, mit dem die Vorgaben der NIST SP 800-171 effizient und zügig bei Ihnen umgesetzt werden können. Das Konzept besteht aus standardisierten Bausteinen, mit denen wesentliche Kontrollpunkte gesichert erfüllt werden, in Verbindung mit unternehmensspezifischen individuellen Maßnahmen.
Wir begleiten Sie umfassend während des gesamten Prozesses zur Sicherstellung Ihrer NIST-Compliance – von der schnellen Qualifikation zur Einreichung von Angeboten bis hin zur umfangreichen Produktionsbefähigung.
Warum ist valantic der beste Partner für NIST-Compliance?
valantic ist ihr end-to-end-Partner für den Aufbau von Hochsicherheits-IT-Architekturen – von der Konzeption, über den Aufbau bis hin zum Start des Betriebs. Wir sind aus drei Gründen vermutlich Ihr bester Partner für die NIST-Compliance:
Effizienz & Zeit:
Durch die Kombination aus bewährten Standardbausteinen in Verbindung mit individuellen Maßnahmen erreichen Sie die NIST-Compliance mit höchster Effizienz in kurzer Zeit. Sowohl für die Abgabe von Angeboten als auch für die anschließende Produktion und Belieferung.
Sicherheit & Zuverlässigkeit:
Durch die enge Zusammenarbeit mit großen europäischen Unternehmen und US-Konzernen sowie kanadischen Unternehmen kennen wir sowohl deren NIST-Anforderungen im Detail als auch wesentliche Entscheider (z. B. Chief Security Officer, Projektleiter großer internationaler Programme). Auch wenn wir keine 100%-Erfolgsgarantie für das Erreichen der NIST-Compliance aussprechen können, so bieten unser Vorgehen, Verständnis und Netzwerk Ihnen die größtmögliche Sicherheit und Zuverlässigkeit für Ihre NIST-Compliance.
Know-how & Expertenteam:
Aufgrund unserer bisherigen, erfolgreichen NIST-Projekte verfügen wir über umfangreiches Know-how für alle Elemente der NIST-Compliance in internationalen Entwicklungsprojekten, die besonders cyber-resilient sein müssen. Für unsere Kunden konzipieren wir u. a. IT-Security-Strategien, Governance-Prinzipien und sichere IT-Architekturen. Wir härten Systeme und Hardware-Komponenten nach höchsten Security Anforderungen, um potenzielle Sicherheitslücken für Cyberangriffe zu schließen. Darüber hinaus verfügen wir über ein NIST-Compliance-Expertenteam mit Spezialisten für alle anstehenden Aufgaben.
Kontaktieren Sie uns, damit wir Ihre Ziele und Herausforderungen besprechen können. Wir begleiten Sie mit einem erfahrenen Beratungsteam mit Cybersecurity-Experten auf dem Weg zu Ihrer NIST-Compliance.
Weitere Informationen zu unserem Beratungsangebot im Bereich IT-Sicherheit finden Sie unter valantic.com.
Dr.-Ing. Anja Wilde
Partnerin
mm1 – a valantic company
Rainer Lindenau
Partner
mm1 – a valantic company