Youtube Linkedin
Stellen Sie uns Ihre Fragen
DE 🇩🇪
DE 🇩🇪 ENG 🇬🇧 SLO 🇸🇮 HR 🇭🇷 FR 🇫🇷
Konsultieren
Nis2Compliant.org
Sprechen Sie mit einem Experten
Von Matjaz Marin

So implementieren Sie NIS 2-Cybersicherheitsmaßnahmen: Zuordnung zu ISO 27001

So implementieren Sie NIS 2-Cybersicherheitsmaßnahmen: Zuordnung zu ISO 27001

Wenn Sie NIS 2 einhalten müssen, fragen Sie sich vielleicht, wie Sie dabei vorgehen sollen. Die Richtlinie beschreibt, was Sie erreichen müssen, gibt aber keine Anleitung dazu, wie Sie dies erreichen.

Eine der besten Möglichkeiten, diese Compliance-Aufgabe anzugehen, besteht darin, einem etablierten Cybersicherheitsrahmen zu folgen. In diesem Artikel werde ich untersuchen, ob ISO 27001, der führende internationale Cybersicherheitsstandard, dabei helfen kann, diese Anforderungen zu erfüllen.

ISO 27001 kann die meisten Cybersicherheitsanforderungen von NIS 2 abdecken, mit Ausnahme der Vorfallberichterstattung.

Welche Anforderungen an Cybersicherheit und Berichterstattung enthält NIS 2?

Schauen wir uns an, was Unternehmen umsetzen müssen. Interessanterweise sind nur drei Artikel der gesamten NIS-2-Richtlinie für wichtige Organisationen, die konform werden müssen, besonders relevant.

    Artikel 20 – Governance

    Artikel 21 – Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit

    Artikel 23 – Meldepflichten

Alle anderen NIS 2-Artikel richten sich grundsätzlich an staatliche Stellen, die NIS 2 durchsetzen müssen.

Eine detaillierte Aufschlüsselung der Anforderungen aus Artikel 20 und 21 finden Sie in der folgenden Tabelle.

Ist ISO 27001 für NIS 2 relevant?

Obwohl NIS 2 ISO 27001 nicht explizit erwähnt, empfiehlt es die Verwendung „relevanter europäischer und internationaler Standards“. Darüber hinaus schlägt die Präambel von NIS 2 vor, die Normenreihe ISO/IEC 27000 zur Umsetzung von Cybersicherheitsmaßnahmen zu verwenden.

ISO 27001 genießt bei ENISA, der Agentur der Europäischen Union für Cybersicherheit, hohes Ansehen:

ENISA-Mapping-Tool: ENISA hat ein Tool entwickelt, das die Klauseln und Kontrollen von ISO 27001 den Anforderungen der ursprünglichen NIS-Richtlinie (dem Vorgänger von NIS 2) zuordnet.

Bericht 2017: Im Bericht „Mapping of OES Security Requirements to Specific Sectors“ (Zuordnung der OES-Sicherheitsanforderungen zu bestimmten Sektoren) identifizierte ENISA ISO 27001 als den am häufigsten befolgten Standard von Betreibern wesentlicher Dienste (OES), die die alte NIS-Richtlinie einhalten müssen.

Bericht 2021: Der Bericht „NIS Investments“ stellte fest, dass die Mehrheit der Organisationen (51,11 TP3T), die die alte NIS-Richtlinie einhalten, ihre Systeme und Prozesse auf der Grundlage der ISO 27001-Zertifizierung zertifiziert haben.

Unter Berücksichtigung dieser Punkte sowie der weltweiten Akzeptanz von ISO 27001 als ISO-Standard und seiner herausragenden Stellung in der ISO 27000-Reihe ist ISO 27001 eine logische Wahl für die Erreichung der NIS 2-Konformität.

Karte der NIS 2-Artikel mit ISO 27001-Klauseln und -Kontrollen

 

NIS 2-Anforderung

NIS 2 Artikel

ISO 27001-Klausel oder -Kontrolle

Vorgeschlagenes Dokument

Die Leitungsgremien müssen die Maßnahmen zum Risikomanagement im Bereich Cybersicherheit genehmigen

Artikel 20 Absatz 1

6.1.3 Umgang mit Informationssicherheitsrisiken

Risikobehandlungsplan

Leitungsgremien müssen die Umsetzung von Maßnahmen zum Risikomanagement der Cybersicherheit überwachen

Artikel 20 Absatz 1

9.1 Überwachung, Messung, Analyse und Bewertung 9.2 Interne Revision 9.3 Managementbewertung

Messbericht + Interner Prüfbericht + Protokoll der Managementüberprüfung

Die Mitglieder der Leitungsorgane sind verpflichtet, an Schulungen teilzunehmen und ihren Mitarbeitern regelmäßig entsprechende Schulungen anzubieten.

Artikel 20 Absatz 2

7.2 Kompetenz A.6.3 Informationssicherheitsbewusstsein, -ausbildung und -schulung

Schulungs- und Sensibilisierungsplan

Unternehmen müssen geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Risiken zu managen

Artikel 21 Absatz 1

6.1.3 Umgang mit Informationssicherheitsrisiken 6.2 Informationssicherheitsziele und Planung zu deren Erreichung 8.1 Operative Planung und Kontrolle

Risikobehandlungstabelle + Risikobehandlungsplan + verschiedene unten aufgeführte Richtlinien und Verfahren

Bei der Beurteilung der Verhältnismäßigkeit von Maßnahmen werden der Grad der Gefährdung des Unternehmens, seine Größe sowie die Wahrscheinlichkeit des Auftretens von Vorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen, gebührend berücksichtigt.

Artikel 21 Absatz 1

6.1.2 Risikobewertung der Informationssicherheit

Methodik zur Risikobewertung + Tabelle zur Risikobewertung

Richtlinie zur Risikoanalyse

Artikel 21 Absatz 2 Buchstabe a

6.1.2 Risikobewertung der Informationssicherheit

Methodik zur Risikobewertung

Richtlinie zur Sicherheit von Informationssystemen

Artikel 21 Absatz 2 Buchstabe a

5.2 Richtlinie

Richtlinie zur Sicherheit von Informationssystemen

Vorfallbehandlung

Artikel 21 Absatz 2 Buchstabe b

A.5.24 Planung und Vorbereitung des Informationssicherheitsvorfallmanagements A.5.25 Bewertung und Entscheidung über Informationssicherheitsereignisse A.5.26 Reaktion auf Informationssicherheitsvorfälle

Vorfallmanagementverfahren + Vorfallprotokoll

Geschäftskontinuität

Artikel 21 Absatz 2 Buchstabe c

A.5.29 Informationssicherheit bei Störungen

Geschäftskontinuitätsplan

Sicherungsverwaltung

Artikel 21 Absatz 2 Buchstabe c

A.8.13 Informationssicherung

Sicherungsrichtlinie

Notfallwiederherstellung

Artikel 21 Absatz 2 Buchstabe c

A.5.30 IKT-Bereitschaft für Geschäftskontinuität A.8.14 Redundanz von Informationsverarbeitungsanlagen

Notfallwiederherstellungsplan

Krisenmanagement

Artikel 21 Absatz 2 Buchstabe c

(hat weder eine direkt relevante Klausel noch Kontrolle in ISO 27001)

Krisenmanagementplan

Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte in Bezug auf die Beziehungen zwischen den einzelnen Unternehmen und ihren direkten Lieferanten oder Dienstleistern

Artikel 21 Absatz 2 Buchstabe d

A.5.19 Informationssicherheit in Lieferantenbeziehungen A.5.20 Berücksichtigung der Informationssicherheit in Lieferantenvereinbarungen A.5.21 Management der Informationssicherheit in der IKT-Lieferkette A.5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferantenleistungen A.5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten

Lieferantensicherheitsrichtlinie + Sicherheitsklauseln für Lieferanten und Partner + Vertraulichkeitserklärung

Sicherheit bei der Anschaffung, Entwicklung und Wartung von Netzwerk- und Informationssystemen

Artikel 21 Absatz 2 Buchstabe e

A.8.6 Kapazitätsmanagement A.8.7 Schutz vor Schadsoftware A.8.8 Management technischer Schwachstellen A.8.9 Konfigurationsmanagement A.8.25 Sicherer Entwicklungslebenszyklus A.8.26 Anwendungssicherheitsanforderungen A.8.27 Sichere Systemarchitektur und Engineering-Prinzipien A.8.28 Sichere Codierung A.8.29 Sicherheitstests in Entwicklung und Abnahme A.8.30 Ausgelagerte Entwicklung A.8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen A8.32 Änderungsmanagement A8.33 Testinformationen

Richtlinie für sichere Entwicklung + Spezifikation der Anforderungen an Informationssysteme

Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Risikomanagement im Bereich Cybersicherheit

Artikel 21 Absatz 2 Buchstabe f

9.1 Überwachung, Messung, Analyse und Bewertung 9.2 Interne Revision 9.3 Managementbewertung

Messmethodik + Messbericht + Internes Auditverfahren + Interne Audit-Checkliste + Interner Auditbericht + Management-Überprüfungsverfahren

Grundlegende Praktiken der Cyberhygiene

Artikel 21 Absatz 2 Buchstabe g

A.6.8 Meldung von Informationssicherheitsereignissen A.7.7 Aufgeräumter Schreibtisch und aufgeräumter Bildschirm A.7.9 Sicherheit von Vermögenswerten außerhalb des Unternehmens A.7.10 Speichermedien A.8.1 Benutzerendgeräte A.8.5 Sichere Authentifizierung A.8.7 Schutz vor Schadsoftware A8.13 Informationssicherung A8.19 Installation von Software auf Betriebssystemen A8.24 Einsatz von Kryptografie

IT-Sicherheitsrichtlinie

Schulung zur Cybersicherheit

Artikel 21 Absatz 2 Buchstabe g

7.2 Kompetenz A.6.3 Informationssicherheitsbewusstsein, -ausbildung und -schulung

Schulungs- und Sensibilisierungsplan

Richtlinien und Verfahren zur Verwendung von Kryptografie und Verschlüsselung

Artikel 21 Absatz 2 Buchstabe h

A.8.24 Einsatz von Kryptographie

Richtlinie zur Verwendung von Verschlüsselung

Personalsicherheit

Artikel 21 Absatz 2 Buchstabe i

A.6.1 Screening A.6.2 Beschäftigungsbedingungen A.6.3 Bewusstsein, Schulung und Training zur Informationssicherheit A.6.4 Disziplinarverfahren A.6.5 Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses

Sicherheitsrichtlinie für die Personalabteilung

Zugriffskontrollrichtlinien

Artikel 21 Absatz 2 Buchstabe i

A.5.15 Zugangskontrolle

Zugriffskontrollrichtlinie

Vermögensverwaltung

Artikel 21 Absatz 2 Buchstabe i

A.5.9 Bestandsaufnahme von Informationen und anderen damit verbundenen Vermögenswerten A.5.10 Akzeptable Verwendung von Informationen und anderen damit verbundenen Vermögenswerten A.5.11 Rückgabe von Vermögenswerten A.7.9 Sicherheit von Vermögenswerten außerhalb der Geschäftsräume

Verfahren zur Vermögensverwaltung + Inventarisierung der Vermögenswerte

Der Einsatz von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen

Artikel 21 Absatz 2 Buchstabe j

A.5.16 Identitätsmanagement A.5.17 Authentifizierungsinformationen A.8.5 Sichere Authentifizierung

Authentifizierungsrichtlinie

Gesicherte Sprach-, Video- und Textkommunikation

Artikel 21 Absatz 2 Buchstabe j

A.5.14 Informationsübertragung A.8.21 Sicherheit von Netzwerkdiensten

Richtlinie zur Informationsübermittlung + Richtlinie zur sicheren Kommunikation

Gesicherte Notfallkommunikationssysteme innerhalb der Einheit

Artikel 21 Absatz 2 Buchstabe j

A.8.20 Netzwerksicherheit

Richtlinie für sichere Kommunikation

Berücksichtigen Sie die spezifischen Schwachstellen jedes einzelnen Zulieferers und Dienstleisters sowie die allgemeine Produktqualität und Cybersicherheitspraktiken seiner Zulieferer und Dienstleister, einschließlich ihrer sicheren Entwicklungsverfahren.

Artikel 21 Absatz 3

A.5.19 Informationssicherheit in Lieferantenbeziehungen A.5.21 Management der Informationssicherheit in der IKT-Lieferkette A.5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferantenleistungen A.5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten

Lieferantensicherheitsrichtlinie + Bericht zur Risikobewertung und -behandlung

Ergreifen Sie geeignete und verhältnismäßige Korrekturmaßnahmen

Artikel 21 Absatz 4

10.2 Nichtkonformität und Korrekturmaßnahmen

Verfahren zur Korrekturmaßnahme + Formular zur Korrekturmaßnahme

ISO 27001 und NIS 2: Geltungsbereich und Umsetzung

Von den 26 in NIS 2 festgelegten Cybersicherheitsanforderungen kann ISO 27001 25 abdecken. Die einzige Ausnahme ist das Krisenmanagement, das in ISO 27001 nicht umfassend abgedeckt ist.

Meldepflichten erfüllen

NIS 2 Artikel 23 schreibt spezielle Berichtspflichten vor, die mit ISO 27001 nicht vollständig erfüllt werden können.

Verwendung von ISO 27001 zur Einhaltung von NIS 2

Basierend auf der Zuordnung sind hier die Schritte, die mit ISO 27001 implementiert werden können:

  1. Durchführen einer Erstschulung
  2. Schreiben Sie eine Richtlinie auf höchster Ebene zur Informationssystemsicherheit
  3. Definieren Sie die Risikomanagementmethode
  4. Führen Sie eine Risikobewertung und Behandlung durch
  5. Erstellen und genehmigen Sie den Risikobehandlungsplan
  6. Implementieren Sie Cybersicherheitsmaßnahmen
  7. Einrichten der Lieferkettensicherheit
  8. Richten Sie eine Bewertung der Cybersicherheitseffektivität ein
  9. Kontinuierliche Schulungen zur Cybersicherheit einrichten
  10. Führen Sie regelmäßige interne Audits durch
  11. Führen Sie regelmäßige Managementprüfungen durch
  12. Korrekturmaßnahmen durchführen

Die Schritte 1 und 2 sind hier nicht aufgeführt, da sie sich auf das Projektmanagement konzentrieren. Schritt 11, „Einrichten von Vorfallbenachrichtigungen“, ist aus zuvor erläuterten Gründen nicht aufgeführt.

Zusammenfassung: NIS 2 vs. ISO 27001

Zusammenfassend lässt sich sagen, wie ISO 27001 zur Einhaltung von NIS 2 verwendet werden kann:

  • ISO 27001 kann die meisten Cybersicherheitsanforderungen von NIS 2 erfüllen, mit Ausnahme der Meldung von Vorfällen.
  • 12 von 15 Implementierungsschritten können mit ISO 27001 erreicht werden.

Dies ist eine starke Übereinstimmung und weist darauf hin, dass ISO 27001 eine solide Wahl für die NIS 2-Konformität ist, insbesondere angesichts der Tatsache, dass NIS 2 und ENISA die Verwendung etablierter Cybersicherheitsstandards fördern.

// Populäre Artikel

Sprechen Sie mit einem NIS 2-Experten

Treffen Sie sich mit Matt und buchen Sie einen kostenlos 15 Min Rufen Sie unten an, um besser zu verstehen, wie Sie die NIS 2-Konformität in Ihrem Unternehmen implementieren können

Konsultieren Sie einen Spezialisten

oder

Stellen Sie uns Ihre Fragen
Linkedin Youtube

Über uns.

Diese von NIS2Compliant.org kuratierte Seite bietet öffentlich zugängliche Informationen zu allem, was mit der kommenden NIS2-Richtlinie zu tun hat. Sie werden klar und prägnant präsentiert und sind somit leicht zu nutzen.

 

Haftungsausschluss
Die auf dieser Website bereitgestellten Informationen dienen ausschließlich Bildungs- und Informationszwecken. Der Inhalt ist kein Ersatz für professionelle Beratung oder sonstige Rechtsberatung, -dienstleistungen usw. Die Administratoren und Mitwirkenden der Website übernehmen keine Zusicherungen oder Gewährleistungen hinsichtlich der Informationen auf der Website. Wenn Sie sich auf diese Informationen verlassen, geschieht dies daher ausschließlich auf Ihr eigenes Risiko.

Mehr Informationen:

Newsfeeds.

In Kontakt kommen.

Buchen Sie ein 15-minütiges Gespräch

Telefon:
00386 41 948 698

Email:
become@nis2compliant.org

Urheberrecht: Nis2Compliant.org