EU NIS-2 Richtlinie

Eplan folgt auf Basis der Anforderungen von NIS-2 einem risikobasierten Sicherheitsansatz, der neben organisatorischen Aspekten auch den gesamten Lebenszyklus ihrer Produkte abdeckt. Dieser Ansatz verbindet strategische Weitsicht, technische Tiefe und organisatorische Resilienz und umfasst insbesondere folgende Maßnahmen:

Eplan betreibt ein strukturiertes Risikomanagement auf Basis etablierter Standards. Durch regelmäßige Analysen werden technologische, organisatorische und prozessuale Risiken bewertet. Dies mündet in klar definierte Maßnahmen, die kontinuierlich aktualisiert werden.

Eplan verfügt über standardisierte Prozesse zur Erkennung, Bewertung und Behandlung von Sicherheitsvorfällen. Ein Incident-Response-Team stellt sicher, dass Vorfälle zeitnah analysiert, eingegrenzt und behoben werden – inklusive transparenter Kommunikation und der Dokumentation von „Lessons Learned“.

Eplan setzt auf robuste Business-Continuity- und Disaster-Recovery-Konzepte. Durch automatisierte Backup-Verfahren und regelmäßige Wiederherstellungstests wird die Verfügbarkeit geschäftskritischer Systeme gewährleistet. Ein strukturiertes und trainiertes Krisenmanagement sichert die Fähigkeit zur Fortführung des Geschäfts auch in schwierigen Situationen.

Anbieter und Dienstleister werden anhand eines Standardprozesses und definierter Sicherheitskriterien sorgfältig ausgewählt und regelmäßig überprüft. So wird sichergestellt, dass externe Partner ebenfalls hohe Sicherheitsanforderungen erfüllen.

Eplan entwickelt ihre Softwareprodukte nach einem „Secure-Software-Development-Lifecycle“ (SSDLC). Die Grundprinzipien für die Entwicklung sicherer Software wie z. B. Security-by-Design und Security-by-Default werden strikt umgesetzt. Sicherheitsanforderungen werden bereits in der Entwicklungsphase berücksichtigt. Ein strukturiertes Testverfahren inklusive regelmäßiger Penetrationstests sowie ein umfangreiches Management von Schwachstellen sorgen dafür, dass diese zeitnah erkannt, priorisiert und behoben werden.

Durch interne Audits, KPIs und regelmäßige Management-Reviews überprüft Eplan die Effektivität ihrer Sicherheitsmaßnahmen. Die Ergebnisse fließen direkt in die Weiterentwicklung der Sicherheitsstrategie ein.

Alle Eplan Mitarbeiter werden kontinuierlich in Informationssicherheitsrisiken geschult. Dies umfasst Awareness-Kampagnen, verpflichtende Basisschulungen sowie zielgruppenspezifische Trainings für besonders sicherheitsrelevante Rollen.

Eplan setzt für den Vertraulichkeitsschutz bei internen Daten und in Produkten konsequent Kryptographie ein – sowohl bei der Speicherung als auch bei der Übertragung von Daten (AES 256 und TLS 1.2).

Eplan hat im gesamten Lebenszyklus des Beschäftigungsverhältnisses (Beginn, Beschäftigung, Beendigung) ein umfangreiches Sicherheitskonzept gemäß anerkannten Normen (z.B. ISO 27001) umgesetzt. Eplan verfolgt ein striktes Berechtigungs- und Zugriffskonzept nach dem Need-to-know- und Least-Privilege-Prinzip. Prozesse zur Identitäts- und Zugriffsverwaltung gewährleisten, dass nur befugte Personen Zugriff auf Systeme und Daten erhalten. 

Eplan nutzt Multi-Faktor-Authentifizierung für interne und externe Zugänge. Im Mobile Office werden durch die Mitarbeitenden stark verschlüsselte VPN-Zugänge verwendet. Für Notfälle stehen gesicherte Kommunikationswege bereit.

Eplan orientiert ihre Maßnahmen zur Stärkung der Cyber-Resilienz an den Vorgaben der NIS-2. Informationssicherheit hat bei Eplan seit jeher höchste Priorität und bildet die Grundlage für den Schutz ihrer Kunden, Partner und Mitarbeitenden.