Thought Leadership
NIS2 ist gekommen, um zu bleiben. Auch im neuen Jahr beschäftigt die EU-Richtlinie zahlreiche IT-Verantwortliche.
Kann ISO/IEC 27001 als solide Grundlage für NIS2 Compliance dienen? Wo gibt es Überschneidungen, wo Diskrepanzen? Und was können Unternehmen ganz praktisch machen, um NIS2-compliant zu werden?
Überblick ISO/IEC 27001
ISO/IEC 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme (ISMS). Sie ermöglicht Unternehmen, ein effektives Information Security Management System zu etablieren und zu pflegen. Damit wird die Informationssicherheit für Organisationen transparenter und ihre Cyberresilienz gesteigert. Eine Zertifizierung nach ISO/IEC 27001 ist grundsätzlich freiwillig. Jedoch sind Betreiber Kritischer Infrastrukturen (KRITIS) seit 2018 gemäß IT-Sicherheitsgesetz dazu verpflichtet, alle zwei Jahre die Umsetzung eines Informationssicherheits-Managementsystems nachzuweisen. Nicht wenige liefern diesen Nachweis in Verbindung mit einer erfolgreichen Zertifizierung nach ISO/IEC 27001.
ISO/IEC 27001 und NIS2
Die Norm umfasst in ihren 10 Kapiteln und ihrem Anhang detaillierte Ansätze, Methoden und Schritte, die dazu beitragen, die umfassenden Anforderungen von NIS2 zu erfüllen, und ist für alle in der EU tätigen Unternehmen relevant, die mit sensiblen Informationen umgehen. Die NIS2-Richtlinie bezieht sich in Abschnitt 79 direkt auf die ISO/IEC 27000-Reihe. Insgesamt deckt die Norm bereits viele Anforderungen von NIS2 ab. Jedoch gibt es spezifische zusätzliche Anforderungen, die berücksichtigt werden müssen.
Wo passen ISO/IEC 27001 und NIS2 (nicht) zusammen?
Ganz konkret deckt die ISO/IEC 27001 NIS2-Anforderungen in zahlreichen Bereichen ab – von der Risikoanalyse, über das Krisenmanagement bis hin zur Bewertung der Wirksamkeit von Maßnahmen – und wird am Stand der Technik (in der jeweiligen Branche) gemessen. Jedoch gibt es auch gewisse Unterschiede in der Zertifizierung, so dass Unternehmen in diesen Bereichen zusätzliche Maßnahmen ergreifen müssen, um ihre NIS2-Compliance zu erreichen. Die Details dazu liefert folgende Tabelle.
NIS2 Compliance nachweisen – Zertifikat notwendig?
NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen, die unterschiedliche Vorgaben zu erfüllen haben. Auf dem Weg zu NIS2-Compliance empfiehlt sich für alle betroffenen Organisationen als erster Schritt ein Risiko-Assessment und eine Gap Analyse. Sie helfen Schwachstellen in bereits etablierten Cybersecurity-Maßnahmen aufzudecken. Auf dieser Basis können die Unternehmen dann Verbesserungen vornehmen. Entweder lassen sie sich dann nach ISO 27001 zertifizieren und erfüllen zusätzlich die obengenannten NIS2 spezifischen Vorgaben.
Alternativ können sie nachweislich Konformität auf der Grundlage der Schließung der im NIS2-Risikobewertungsbericht festgestellten Lücken sowie der Aufrechterhaltung und kontinuierlichen Verbesserung des ISMS erlangen. Als kleinere oder mittelgroße Organisation ist es wichtig, sich zuerst auf die ISMS-Implementierung zu konzentrieren, da eine ISO 27001 Zertifizierung für wichtige Einrichtungen zweitrangig – und nicht immer unbedingt notwendig – ist.
Praktische Tipps für die Umsetzung von NIS2
Schenken Sie besonders den Abschnitten Aufmerksamkeit, die sowohl in ISO/IEC 27001 als auch in NIS2 am häufigsten vorkommen, wie zum Beispiel dem ISMS-Anwendungsbereich und dem Verzeichnis der Vermögenswerte, der Risikoidentifizierung und -bewertung, Incident Response und Schwachstellenmanagement, Zugriffskontrolle, Endpoint- und Netzwerksicherheit sowie der Schaffung eines Bewusstseins für Informationssicherheit und Cyberhygiene. Orientieren Sie sich dafür gerne an dem von ENISA veröffentlichten Konsultationsentwurf zur Umsetzung von Sicherheitsmaßnahmen gemäß NIS2.
Erstellen Sie eine erweiterte Anwendbarkeitserklärung (Statement of Applicability, SoA), die über das geforderte SoA der ISO/IEC 27001 hinausgeht und NIS2-spezifische Anforderungen und Kontrollen enthält.
Dokumentieren Sie Ihre Konformit.tsbemühungen, und legen Sie klare Rollen und Verantwortlichkeiten fest. Führen Sie außerdem regelmäßige Überprüfungen durch, um die Konformität kontinuierlich zu gewährleisten.
Denken Sie daran: NIS2 existiert nicht isoliert. Prüfen Sie, welche anderen EU-, nationalen und branchenspezifischen Sicherheitsanforderungen und -standards in Verbindung mit NIS2 berücksichtigt werden müssen. Stellen Sie sicher, dass alle anderen relevanten Anforderungen und Standards (DORA, CER, GDPR, EU-RCE-Richtlinie, IEC 62443) identifiziert und in eine Liste von Anforderungen aufgenommen werden.
Auch wenn IT-Verantwortliche NIS2 mittlerweile nicht mehr hören können – das Gesetz wird auch in Deutschland kommen. Daher ist es spätestens jetzt an der Zeit mit Risk-Assessments und Gap Analysen zu beginnen und ein ISMS aufzubauen.
