NIS2_ISO

Interpretation und Umsetzung von NIS2 aus Sicht von ISO 27001

Picture of Dr. Kilian Schmidt
Dr. Kilian Schmidt

Dr. Kilian Schmidt ist Jurist, Co-Founder und CEO der Kertos GmbH und bringt zahlreiche Jahre Erfahrung in Datenschutz- und Legal Tech mit.

AUF EINEN BLICK

  • ISO 27001 und NIS2 verfolgen das gemeinsame Ziel, die Cybersicherheit zu verbessern, wobei ISO 27001 als internationaler Standard viele der in NIS2 geforderten Maßnahmen abdeckt

  • Risikobewertung ist ein zentraler Bestandteil beider Rahmenwerke, wobei ISO 27001 flexibel auf die Risikobereitschaft eines Unternehmens eingeht, während NIS2 spezifische Anforderungen für essenzielle und wichtige Einrichtungen definiert

  • Vorfallmanagement wird in beiden Ansätzen betont, mit detaillierten Prozessen und Kontrollmechanismen in ISO 27001, die Unternehmen helfen, die Meldepflichten und Reaktionsmaßnahmen von NIS2 zu erfüllen

  • Während ISO 27001 Geschäftskontinuität teilweise adressiert, erfordert die Einhaltung von NIS2 oft zusätzliche Normen wie ISO 22301, um sektorspezifische Anforderungen und Kontinuitätspläne vollständig abzudecken

ISO 27001 und NIS2: Synergien und Strategien zur Erfüllung der Cybersicherheitsanforderungen

In der Regel werden NIS2 und ISO 27001 eng miteinander verknüpft. ISO 27001 berührt an vielen zentralen Punkten die NIS2-Richtlinie, was die Einhaltung der NIS2 erleichtert, wenn ISO 27001 bereits umgesetzt ist. Obwohl beide Ansätze zur Cybersicherheit unterschiedlich sind, verfolgen sie ein gemeinsames Ziel: die Verbesserung der Cybersicherheit und den Schutz kritischer Informationswerte. 

Die NIS2-Richtlinie empfiehlt Unternehmen, bestehende Cybersicherheitsrahmen und Standards zu nutzen, um das geforderte Sicherheitsniveau zu erreichen. ISO 27001 kann einen Großteil der Cybersicherheitsanforderungen abdecken, die in NIS2 genannt werden. Dennoch bleiben Lücken, die durch zusätzliche Maßnahmen geschlossen werden müssen. 

NIS 2 leicht gemacht

Bist du bereit, hunderte Stunden Zeit und jede Menge Aufwand in Datenschutz und Informationssicherheit zu sparen? Mache jetzt die Demo und finde heraus, ob Kertos die richtige Lösung für dein Unternehmen ist.

Ein Überblick über die Rahmenwerke

ISO 27001 

ISO 27001 ist ein internationaler Standard für Informationssicherheitsmanagementsysteme (ISMS). Er umfasst Engagement des oberen Managements, Risikobewertung, klare Informationssicherheitsrichtlinien, interne Audits sowie die kontinuierliche Bewertung und Verbesserung der Informationssicherheitsprozesse und -kontrollen. 

Unternehmen entscheiden sich freiwillig für eine ISO-27001-Zertifizierung. Dies steigert ihre betriebliche Effizienz, regulatorische Compliance und zeigt ihr Engagement für die Sicherheit von Informationswerten und den Schutz von Kundendaten. Die Flexibilität des Standards in Bezug auf Sicherheitskontrollen und Umsetzungsmaßnahmen hängt von der Risikotoleranz, der Branche, der Teamgröße, den Ressourcen und der Sensibilität der Daten ab. 

Die NIS2-Richtlinie 

NIS2 ist eine aktualisierte Version der ursprünglichen NIS-Richtlinie der EU zur Stärkung der Resilienz und Sicherheit von Netzwerken und Informationssystemen in kritischen Sektoren. Sie unterscheidet zwischen zwei Kategorien von Einrichtungen: essenzielle und wichtige. Störungen bei essenziellen Einrichtungen können die Wirtschaft und das öffentliche Wohl erheblich beeinträchtigen, während Störungen bei wichtigen Einrichtungen weniger kritisch sind. 

NIS2 zielt darauf ab, die Cybersicherheitsresilienz in der EU zu erhöhen, Unterschiede in der Resilienz zu reduzieren und die Zusammenarbeit zwischen den Mitgliedstaaten und auf Unionsebene zu verbessern (Kapitel 3, Artikel 14). Besonders relevant für die Compliance von Unternehmen sind die Artikel 21 (Risikobewertung und -management) und 23 (Vorbereitung und Meldepflichten bei Sicherheitsvorfällen). Die Governance (Artikel 20) trägt ebenfalls zur Umsetzung von Artikel 21 und zur Förderung von Praktiken des Risikomanagements im Bereich der Cybersicherheit bei den Mitarbeitern bei. 

Wie hängen ISO 27001 und NIS2 zusammen?

Risikobewertung 

Beide Rahmenwerke legen Wert auf Risikobewertungen zur Identifikation und Handhabung von Sicherheitsrisiken, unterscheiden sich jedoch in ihrer Flexibilität. 

ISO 27001 verlangt von Unternehmen, dass sie Sicherheitskontrollen entsprechend ihrer Risikobereitschaft durchführen. Beispielsweise hat ein kleines Unternehmen mit einer kleineren Teamstärke und ein größeres Unternehmen mit multinationaler Präsenz unterschiedliche Anforderungen an das Risikomanagement. Dies wirkt sich auf den Umfang des ISMS jedes Unternehmens und auch auf die entsprechende Zeit aus, die für die Compliance bzw. Zertifizierung benötigt wird.   

Die NIS2 schreibt für die Durchführung einer Risikobewertung sowohl wesentliche als auch wichtige Einrichtungen vor. Der grundlegende Unterschied zwischen den beiden Kategorien liegt in der Tiefe der Durchführung der Risikobewertung und der Ausgereiftheit der Mechanismen zur Erkennung von und Reaktion auf Bedrohungen. Im Vergleich zu wichtigen Einrichtungen müssen essenzielle Einrichtungen eine gründliche Risikobewertung durchführen und verbesserte Abwehrmechanismen implementieren.   

Vorfallmanagement 

Verstöße gegen die Informationssicherheit können durch schädliche Software, unbefugten Zugriff, Datenverletzungen, menschliches Fehlverhalten, mangelndes Sicherheitsbewusstsein oder mangelnde Schulung usw. ausgelöst werden. Sowohl die ISO-Norm 27001 als auch die NIS2 empfehlen, dass Unternehmen über Pläne zur Reaktion auf Vorfälle verfügen. Das Vorfallmanagement gewährleistet eine rasche Lösung von Cybersicherheitsvorfällen und eine schnelle Wiederherstellung.   

Die NIS2 verlangt von essenziellen und wichtigen Einrichtungen, dass sie die nationalen Behörden – die zuständigen nationalen Behörden (NCA) oder die Computer Security Incident Response Teams (CSIRTs) – und die Empfänger von Dienstleistungen über größere Störungen der Sicherheit ihrer Netzwerke und Informationssysteme informieren. Ein schwerwiegender Vorfall im Sinne der NIS2-Richtlinie wird in der Regel als ein Ereignis definiert, das die Kontinuität der wesentlichen Dienste erheblich beeinträchtigen kann.   

Die NIS2-Richtlinie fördert die Anwendung bewährter Verfahren für das Vorfallmanagement. Sie verpflichtet Unternehmen zur Meldung von bedeutenden Vorfällen, enthält jedoch keine detaillierte Methodik dafür. ISO 27001 bietet einen strukturierten Prozess für die Identifizierung, Bewertung und das Management solcher Vorfälle. In Anhang A 5.24 wird beschrieben, wie Unternehmen Prozesse einrichten, Pläne für die Reaktion auf Vorfälle aufstellen, Rollen und Verantwortlichkeiten festlegen und ihre Mitarbeiter im effektiven Umgang mit Vorfällen schulen sollten.   

Die Norm bietet einen gut geführten Leitfaden für die Planung und Vorbereitung des Vorfallsmanagements. Er umfasst Schlüsselaspekte wie die Identifizierung von Vorfällen, die Reaktion darauf, das Management und die Wiederherstellung, die unter den folgenden Kontrollen näher erläutert werden:  

  • Verantwortliches Vorfallmanagementteam (Anhang A 5.25)  
  • Vorbereitung der Reaktion auf Vorfälle (Anhang A 5.26)  
  • Dokumentation von Vorfällen und Lernen aus ihnen (Anhang A 5.27) 
  • Ein Verfahren für die Meldung von Vorfällen durch die Mitarbeiter (Anhang A 6.8)  
  • Technische Erfassung von Vorfalldaten und Warnmeldungen (Anhang A 8.15 und 8.16).  

Geschäftskontinuität 

Obwohl beide Rahmenwerke einen risikobasierten Ansatz fordern, entspricht der Zweck von NIS2, die Geschäftskontinuität für essenzielle und wichtige Einrichtungen zu gewährleisten, nicht in angemessener Weise den ISO 27001-konformen Unternehmen mit einer sehr hohen Risikobereitschaft.   

NIS2 verlangt von den Unternehmen, dass sie nicht nur ihre Systeme schützen, sondern auch Pläne zur Aufrechterhaltung des Betriebs während oder nach einem Sicherheitsvorfall haben. Die ISO- 27001 genügt nicht den Erwartungen und Anforderungen der NIS2, die vor allem sektor- und geschäftskontinuitätsspezifisch sind.   

ISO 27001 enthält zwar einige Elemente der Geschäftskontinuität, definiert aber keinen Prozess für das Geschäftskontinuitätsmanagement. Hier kommen ergänzende Normen wie ISO 27002 (Disaster Recovery) und ISO 22301 (Anforderungen an Business-Continuity-Managementsysteme) ins Spiel, die die Einhaltung der NIS2 untermauern.  

Zusammenfassung: NIS2-Compliance durch ISO 27001

Kurz gesagt, die NIS2-Richtlinie legt fest, was Unternehmen zu tun haben, und ISO 27001 liefert die erforderlichen Mittel und Prozesse, um die Anforderungen zu erfüllen. Die Zertifizierung nach ISO 27001 garantiert nicht die Einhaltung der NIS2-Richtlinie. Das „Wie“ von ISO 27001 löst jedoch in hohem Maße das „Was“ von NIS2.   

Die Norm bietet einen wirksamen Governance-Rahmen für die Einrichtung eines ISMS für Informationssicherheit, der die Anforderungen der NIS2 für die Implementierung eines Managementsystems für Cyber- und Informationssicherheit erfüllt. Außerdem stärkt das managementgeführte Governance-Modell der Norm die Anforderungen der NIS2, das Topmanagement in die Entscheidungsfindung und Rechenschaftspflicht einzubeziehen.   

ISO 27001 bereitet Unternehmen auf künftige Anforderungen vor, auch wenn sie derzeit nicht direkt von der NIS2 betroffen sind. Britische oder amerikanische Unternehmen, die in die EU liefern, sind ebenfalls von der Richtlinie betroffen. Selbst wenn Sie ein Zulieferer sind, kann die internationale Anerkennung dieses Rahmens daher als Grundlage dienen, auf der Sie aufbauen können, um die Einhaltung der NIS2 zu erleichtern.