NIS2 wird für Sie als Informationssicherheitsbeauftragter praktische Bedeutung haben, da die Anforderungen der Richtlinie direkt auf Ihr Informationssicherheitsmanagement abzielen.
Wir verstehen NIS2 als Chance, um das Engagement des Managements zu erhöhen und den Fokus auf das gesamte Informationssicherheitsmanagement zu stärken.
Falls Sie bereits ein ISMS- oder ein GRC-Tool auf Basis von ISO 27001/2 haben, sind Sie bestimmt schon weit fortgeschritten.
Falls Sie schon einen dokumentierten ISO 27001/2 Compliance-Reifegrad haben, reicht es wahrscheinlich aus, diesen mit einigen Ergänzungen zu erweitern, um der NIS2-Richtlinie zu entsprechen.
Wir empfehlen in jedem Fall einen zusätzlichen Blick auf die folgenden beiden Bereiche zu werfen:
- Erweiterung der Managementprozesse, einschließlich Klärung von Rollen und Verantwortlichkeiten
ISO 27001 enthält Anforderungen an das Engagement des Managements bezüglich der Unterstützung im Informationssicherheitsmanagement. Ebenso gibt es Anforderungen an die Mitarbeiterschulung (Sensibilisierung) sowie an die Beschreibung und Delegation von Rollen und Verantwortlichkeiten im Zusammenhang mit dem Informationssicherheitsmanagement. Selbst wenn Sie diese Bereiche bereits implementiert haben, lohnt es sich zu überlegen, ob etwas neu organisiert, weiter beschrieben oder ggf. Mitarbeiter in neuen Themen geschult werden müssen. - Klärung und Anpassung von Kontrollmaßnahmen
Wie bereits erwähnt, sind Sie gut vorbereitet, wenn Sie Ihr ISMS-/GRC-Tool auf Basis von ISO 27001 implementiert haben und die Kontrollmaßnahmen im Anhang A/ISO 27002 verwendet haben. Es kann jedoch einige Bereiche geben, in denen Klarstellungen zur NIS2-Richtlinie erforderlich sind. Wenn Sie derzeit ein ISMS- oder GRC-Tool verwenden, bei dem ISO-Kontrollmaßnahmen auf die NIS2-Richtlinie abgebildet sind, müssen Sie Ihre Arbeit nicht doppelt ausführen. Andernfalls können Sie die folgende Tabelle verwenden, die die Hauptmerkmale von NIS2 im Vergleich zu ISO 27001 darstellt.
Diese Bereiche werden im nächsten Abschnitt genauer erläutert.
NIS2-Bereich |
Kontrollmaßnahmen |
Kontrollmaßnahmen |
---|---|---|
Risikomanagement |
ISO 27001 6.1, 8.1 |
ISO 27001 6.1, 6.2 8.1 |
Vorfallmanagement 1) |
ISO 27001 7.3 ISO2700 A16 |
ISO27002 5.24 5.27 &.8 |
Sicherheit in Netzwerken und Informationssicherheit bei der Beschaffung und Entwicklung von Systemen |
ISO27001 |
ISO 27001 A8.32 |
Betriebskontinuität |
ISO 27001 |
ISO27002 8.15 |
Personalsicherheit |
ISO 27001 A7 |
5.9-5.11, 6,1- 6.8 |
Vermögenswerte |
ISO 27001 A8 |
5.9-5.11, |
Netzwerksicherheit |
ISO 27001 A13 |
8.8 |
Zugriffskontrollsicherheit |
ISO 27001 A9 |
ISO27002 5.17 5.29 |
Kryptographie |
ISO 27001 A10 |
ISO27002 |
Lieferantenmanagement |
ISO 27001 8.1 ISO 17001 A15 |
5.19 |
Compliance-Kontrolle |
ISO 27001 9.3 ISO 27001 A18.2 |
ISO 27001 9.3 |
Wenn die Kontrollen überprüft wurden, sollte es natürlich einen Prozess geben, in dem sie getestet werden müssen, um ihre tatsächliche Wirksamkeit zu prüfen. Dies kann im Zusammenhang mit einer anstehenden internen Auditierung erfolgen, unter Berücksichtigung der Ratschläge und Richtlinien der jeweiligen Aufsichtsbehörde.
Der Unterschied zwischen ISO 27002 und NIS2
Die in der obigen Tabelle gezeigten NIS2-Bereiche beschreiben mehrere spezifische Mindestanforderungen für die Arbeit mit der Informationssicherheit. Diese befinden sich hauptsächlich in §21 und §23 des Richtlinientextes. Wie erwähnt, gibt es eine signifikante Überlappung zwischen ISO 27001 und ISO 27002, aber in einigen Bereichen müssen Sie möglicherweise Ihre Informationssicherheit prüfen oder erweitern:
- Risikomanagement
Risikobewertungen zur Anfälligkeit von Assets hinsichtlich Cyber-Vorfällen sollten durchgeführt werden. Die Bewertungen sollen den gleichen Anforderungen wie in der ISO 27002 entsprechen.
NIS2 legt zwar den Schwerpunkt auf Cybersicherheit aus gesellschaftlicher Perspektive, diese Methoden und Prozesse sollten den Unternehmen jedoch vertraut sein, wenn bisher systematisch mit Risikoanalysen und -bewertungen in Verbindung mit ISO 27002 gearbeitet wurde. - Vorfallmanagement
Besonderer Schwerpunkt wird auf die Behandlung von Sicherheitsvorfällen gelegt, und im Gegensatz zu ISO 27002 gibt es spezifische Anforderungen an einen formalisierten und dokumentierten Prozess dafür. Es wird konkrete Anforderungen geben, wie Vorfälle gemeldet werden sollen, an wen und innerhalb welches Zeitrahmens. Wenn Sie mit der DSGVO vertraut sind, wird Ihnen dies bekannt vorkommen, da die DSGVO ebenfalls spezifische Anforderungen bzgl. der Meldung an die Aufsichtsbehörde (Datenschutzbehörde) und die Benachrichtigung der betroffenen Personen enthält. Es wird auch zusätzliche Anforderungen an die Ursachenanalyse von Vorfällen bei der Bearbeitung von Sicherheitsvorfällen geben. - Netzwerksicherheit und Informationssicherheit bei der Beschaffung und Entwicklung von Systemen
Der Schutz von Netzwerken ist eines der Schlüsselelemente. Der Fokus liegt darauf, eine Kombination aus technischen, administrativen und organisatorischen Kontrollen zu etablieren, um interne und externe Risiken effektiv zu verwalten. - Notfallplanung für Geschäftskontinuität
Die Geschäftskontinuität und das Katastrophenmanagement werden bei der Bearbeitung von Cyber-Vorfällen betont. Es muss nachgewiesen werden, dass Prozesse vorhanden sind, um mit Cyber-Vorfällen umzugehen, die Ihre kritischen Geschäftsprozesse stören oder vollständig unterbrechen können. - Sicherheit der Lieferkette
Der Sicherheit der Lieferkette wird besondere Aufmerksamkeit geschenkt. Informationssicherheit muss in der gesamten Lieferkette berücksichtigt werden, und Bedrohungen, die sich potenziell durch die Lieferkette verbreiten können, müssen identifiziert und verringert werden. - Sicherheit bei der Beschaffung und Entwicklung
Die Sicherheit bei der Beschaffung und Entwicklung von Systemen gewährleistet, dass neue Systeme hinsichtlich ihrer Bedeutung bewertet und klassifiziert werden und dass die Kontrollmaßnahmen dem mit relevanten Cyber-Bedrohungen verbundenen Risiko entsprechen. - Richtlinien und Verfahren
Sicherheitsrichtlinien und unterstützende Verfahren stellen sicher, dass Sicherheitsprozesse wie beabsichtigt funktionieren. Das bedeutet, dass Kontrollen wie die Genehmigung von Sicherheitsrichtlinien, die Anwendbarkeitserklärung (SoA) und die Managementbewertung der Informationssicherheit dokumentiert werden. Die zugrunde liegende Dokumentation kann je nach Branche und Risikoprofil variieren. Es handelt sich um eine administrative Aufgabe, die es umzusetzen gilt. - Verwendung von Verschlüsselung
Es wird auch ein besonderes Augenmerk auf spezifische Kontrollmaßnahmen hinsichtlich der Entscheidungsfindung und Verwaltung von Verschlüsselungstechnologien sowie der Verwendung von Verschlüsselungen gelegt. Wenn die ISO 27002 eingehalten wird, ist die Organisation in der Lage die Anforderungen der Richtlinie in diesem spezifischen Kontrollbereich zu erfüllen.
Fazit
Zusammenfassend lässt sich sagen, dass die NIS2-Richtlinie für Informationssicherheitsbeauftragte praktische Bedeutung hat, da sie sich direkt mit der Verwaltung von Informationssicherheit befasst.
Durch das Verständnis der Gemeinsamkeiten und Unterschiede zwischen NIS2 und ISO 27001/2 können Organisationen ihre vorhandenen ISMS- oder GRC-Tools nutzen, um die Anforderungen der Richtlinie zu erfüllen.
Es ist jedoch wichtig, besondere Aufmerksamkeit auf die Management-Commitment-Prozesse und die Kontrollmaßnahmen zu legen, die möglicherweise einer Prüfung oder Anpassung bedürfen.
Brauchen Sie Hilfe bei der NIS2-Konformität?
Auch wenn es noch Klärungsbedarf darüber gibt, wie die NIS2-Richtlinie in der Gesetzgebung umgesetzt wird, steht fest, dass Sie mit einem guten Verständnis von ISO 27001/2 bereits einen großen Vorteil haben.
Das GRC-Tool von NorthGRC unterstützt Unternehmen und Organisationen dabei, die Kontrolle und den Überblick über ihre Compliance-Arbeit mit Standards und Richtlinien wie ISO 27001, ISO 27002, NIS2, DSGVO usw. zu erlangen. Mit allen erforderlichen Vorlagen für jährliche Aufgaben, Kontrollen, Dokumente, Bedrohungskataloge, Risiko- und Incident-Management, Anwendbarkeitserklärung (SoA) und mehr können Sie schnell einschätzen, wie weit Sie bereits fortgeschritten sind, und Unterstützung bei dem erhalten, was ggf. noch fehlt.
Mit NorthGRC können Sie Ihre Compliance an einem Ort verwalten. Sie benötigen keine separaten Tools für ISO 27001, NIS2, DSGVO usw., da Sicherheitsmaßnahmen, die an einem Ort implementiert werden, oft zur Einhaltung mehrerer Sicherheitsstandards beitragen. Wenn Sie noch mehr lesen und NorthGRC Plattform auch mal selbst erleben möchten - komplett kostenlos und unverbindlich - klicken Sie hier und vervollständigen Sie das Formular.
Wenn Sie möchten, können Sie auch einige Schritte überspringen und hier ein Treffen mit Ihrem NorthGRC Ansprechpartner buchen.