Sie fragen sich: Wie ist der Stand bei EU NIS2? Derzeit gibt es einen 189-seitigen Referentenentwurf des Bundesministeriums des Innern und für Heimat. Dieser wartet noch auf die Verabschiedung als Regierungsentwurf, um schließlich ab dem 18. Oktober 2024 nationales Recht zu werden. So zumindest der Plan. Den Referentenentwurf können Sie hier einsehen. Aber sagen Sie schon mal alle Ihre Meetings für heute ab. Es erwarten Sie 189 Seiten voller Paragraphen zur Cybersicherheit. Keine leichte Lektüre und schon gar nicht leicht zu verstehen. Die Bundesregierung steht vor einer komplexen Entscheidung. Gut möglich also, dass sich das Gesetz verzögert.

Wenn Sie von NIS 2 betroffen sind, haben Sie aktuell zwei Möglichkeiten:

  1. Sie warten einfach ab, bis Sie zu 100 % wissen, wie das finale Gesetz aussieht.
  2. Sie nutzen die Zeit und setzen um, was Sie schon jetzt umsetzen können.

Jetzt fragen Sie zurecht, wie Sie das denn machen sollen, wenn das Gesetz noch gar nicht verabschiedet wurde? Wenn Sie die Vorschriften aus dem Referentenentwurf extrahieren und mit denen der ISO/IEC 27001 übereinanderlegen, dann sehen Sie, dass ein Großteil der NIS2-Anforderungen abgedeckt wird.

Das unabhängige Nachschlagewerk für KRITIS-Betreiber und Kritische Infrastrukturen OpenKritis hat hier ein Mapping für ISO 27001 und NIS2 angelegt.

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist eine überarbeitete Version der ursprünglichen NIS-Richtlinie (Network and Information Systems Directive). Sie zielt darauf ab, die Cybersicherheit in der EU zu verbessern, indem sie strengere Anforderungen an die Betreiber wesentlicher Dienste und digitale Dienstleister stellt. Diese Richtlinie umfasst Bereiche wie Risikomanagement, Sicherheitsvorfälle, Business Continuity und Lieferantenmanagement.

Die Bedeutung von ISO 27001

ISO/IEC 27001 ist ein international anerkannter Standard für Informationssicherheits-Managementsysteme (ISMS). Er bietet einen systematischen Ansatz zur Verwaltung sensibler Unternehmensinformationen, um sicherzustellen, dass sie sicher bleiben. ISO 27001 deckt eine breite Palette von Sicherheitsmaßnahmen ab, darunter Risikomanagement, Incident Management, Business Continuity und mehr.

Überschneidungen zwischen ISO 27001 und NIS2

Hier fünf Beispiele:

1. Risikomanagement:

  • ISO 27001: Umfasst detaillierte Verfahren zur Identifizierung, Bewertung und Behandlung von Risiken.
  • NIS2: Erfordert ebenfalls umfassende Risikomanagement-Maßnahmen, die grundlegend durch ISO 27001 abgedeckt werden.

2. Informationssicherheitsmanagementsystem (ISMS):

  • ISO 27001: Definiert die Anforderungen an ein ISMS.
  • NIS2: Benötigt ein ISMS zur Verwaltung der Informationssicherheit. Durch eine ISO 27001 sind Sie startklar.

3. Business Continuity Management (BCMS):

  • ISO 27001: Beinhaltet Maßnahmen zur Aufrechterhaltung des Betriebs und Notfallwiederherstellung.
  • NIS2: Erfordert viele BCM-Maßnahmen. Durch eine ISO 27001 sind gut aufgestellt.

4. Lieferanten- und Dienstleistermanagement:

  • ISO 27001: Spezifische Kontrollen für die Sicherheit in der Lieferkette.
  • NIS2: Beinhaltet Anforderungen an die Sicherheit der Lieferkette, die durch ISO 27001 unterstützt werden.

5. Vorfallmanagement:

  • ISO 27001: Detaillierte Kontrollen für das Management von Sicherheitsvorfällen.
  • NIS2: Beinhaltet Meldepflichten und Management von Vorfällen, die durch ISO 27001 abgedeckt werden.

Eine ISO 27001 ist (fast) immer eine gute Idee

Wenn Sie schon jetzt wissen, dass Sie von EU NIS2 betroffen sind und noch kein ISMS nach ISO 27001 oder eine ISO-Zertifizierung besitzen, ist es ein No-Brainer, ISO 27001 umzusetzen. Eine ISO/IEC 27001-Zertifizierung ist für viele Unternehmen empfehlenswert. Ob ein Unternehmen eine ISO/IEC 27001-Zertifizierung anstreben sollte, hängt von verschiedenen Faktoren ab:

auch die Europäische Agentur für Cybersicherheit (ENISA) werden koordinierte Sicherheitsrisikobewertungen kritischer Lieferketten durchführen. Diese Bewertungen werden sowohl technische als auch, wenn anwendbar, nichttechnische Risikofaktoren berücksichtigen. 

1. Art und Umfang der Geschäftstätigkeit:

  • Sie sind ein Unternehmen, das mit sensiblen oder vertraulichen Daten arbeitet, wie zum Beispiel Finanzdienstleister, Gesundheitsdienstleister oder Unternehmen im IT-Sektor? Sie profitieren stark von der Zertifizierung.
  • Sie sind zudem ein Unternehmen, das kritische Infrastrukturen betreibt oder Dienstleistungen für solche Infrastrukturen anbietet? Sie sollten definitiv eine Zertifizierung in Betracht ziehen.

2. Kundenerwartungen und Anforderungen:

  • Viele Kunden und Geschäftspartner erwarten oder verlangen, dass ihre Lieferanten und Dienstleister nach ISO/IEC 27001 zertifiziert sind, um sicherzustellen, dass deren Informationen sicher gehandhabt werden.
  • Eine Zertifizierung kann ein Wettbewerbsvorteil sein und das Vertrauen der Kunden in das Unternehmen stärken.

3. Rechtliche und regulatorische Anforderungen:

  • In einigen Branchen oder Regionen gibt es spezifische rechtliche oder regulatorische Anforderungen an die Informationssicherheit, die durch eine ISO/IEC 27001-Zertifizierung erfüllt werden können.

4. Risikomanagement:

  • Unternehmen, die ihre Informationssicherheitsrisiken systematisch identifizieren, bewerten und steuern möchten, profitieren von den klaren Vorgaben und dem strukturierten Ansatz der ISO/IEC 27001.
  • Die Zertifizierung kann helfen, Sicherheitsvorfälle zu vermeiden oder deren Auswirkungen zu minimieren, was langfristig Kosten sparen kann.

5. Interne Sicherheitskultur und Prozesse:

  • Unternehmen, die eine starke Sicherheitskultur fördern und kontinuierlich ihre Informationssicherheitsprozesse verbessern möchten, finden in der ISO/IEC 27001 einen geeigneten Rahmen.

Unsere Softwarelösung GRASP: Ein integrierter Ansatz zur Erfüllung von ISO 27001 und NIS2

GRASP wurde entwickelt, um Unternehmen dabei zu unterstützen, die Anforderungen von ISO 27001 zu erfüllen und gleichzeitig die NIS2-Richtlinie zu berücksichtigen. Hier sind einige der herausragenden Merkmale unserer Lösung:

  • Risikomanagement: Automatisierte Tools zur Risikoanalyse und Risikobewertung, die sowohl ISO 27001 als auch NIS2 entsprechen.
  • ISMS-Implementierung: Benutzerfreundliche Module zur Implementierung und Verwaltung eines ISMS gemäß ISO 27001.
  • Vorfallmanagement: Integrierte Funktionen zur Erkennung, Meldung und Verwaltung von Sicherheitsvorfällen.
  • Lieferantenmanagement: Tools zur Überwachung und Bewertung von Lieferanten und Dienstleistern, um die Sicherheitsanforderungen zu gewährleisten.
  • Schulungen und Awareness: Module für Mitarbeiterschulungen und Awareness-Programme, um sicherzustellen, dass Ihr Team auf dem neuesten Stand der Sicherheitspraktiken ist.

Die Implementierung von ISO 27001 bietet eine solide Grundlage zur Erfüllung der NIS2-Anforderungen. Wenn Sie eine ISO 27001 mit GRASP umsetzen, sind Sie in puncto NIS2 nicht nur eine Nasenlänge voraus, sondern zwei.