In der sich ständig weiterentwickelnden Cybersicherheitslandschaft treten Standards und Vorschriften oft parallel auf – was die Frage aufwirft:
- Wie lassen sie sich miteinander in Einklang bringen?
- Und erfüllt die Einhaltung des einen die Verpflichtungen des anderen?
Schauen wir uns ISO/IEC 27001 und die NIS-2-Richtlinie der EU genauer an – zwei weit verbreitete Rahmenwerke, an denen sich Unternehmen heute orientieren.
ISO/IEC 27001: Ein bewährtes globales Rahmenwerk für Informationssicherheit
ISO/IEC 27001 wurde erstmals 2005 veröffentlicht und zuletzt 2022 aktualisiert und ist die internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Sie definiert einen systematischen Ansatz für den Umgang mit sensiblen Informationen – unter Einbeziehung von Menschen, Prozessen und Technologien.
Unternehmen können sich von akkreditierten Stellen zertifizieren lassen. Dazu gehören:
- Implementierung von Kontrollen aus ISO/IEC 27002 (unterstützende Richtlinie)
- Kontinuierliche Verbesserung durch PDCA (Plan-Do-Check-Act)
- Nachweis der tatsächlichen Umsetzung, nicht nur der Dokumentation
ISO 27001 wird geschätzt, weil es skalierbar, auditierbar und branchen- und länderübergreifend weit verbreitet ist – oft bildet es die Grundlage für die Sicherheits-Governance von Unternehmen.
NIS-2: Das regulatorische Rückgrat der EU für Cybersicherheit
Die Richtlinie 2023/1366/EU über Netz- und Informationssicherheit (NIS-2), die 2023 in Kraft getreten ist, erhöht die Anforderungen an die Cybersicherheit für kritische und wichtige Einrichtungen innerhalb der EU – darunter Energie, Verkehr, Finanzen, Gesundheitswesen, IKT-Dienstleistungen, Fertigung und mehr.
Im Gegensatz zur ISO ist NIS-2 rechtsverbindlich. Jeder EU-Mitgliedstaat muss sie in nationales Recht umsetzen, wobei bei Nichteinhaltung Strafen drohen.
Der Kern von NIS-2 liegt in Artikel 21, der vorschreibt, dass Organisationen geeignete technische, betriebliche und organisatorische Maßnahmen zur Risikosteuerung umsetzen müssen. Dazu gehören:
- Risikoanalyse und Sicherheitsrichtlinien
- Umgang mit Vorfällen
- Geschäftskontinuität (Business Continuity) und Notfallwiederherstellung (Disaster Recovery)
- Sicherheit der Lieferkette
- Zugangskontrolle und Vermögensverwaltung
- Verschlüsselung und Umgang mit Schwachstellen
- Sicherheit und Schulung der Mitarbeiter
Wie ISO/IEC 27001 und NIS-2 übereinstimmen – Hochrangige Zuordnung
Während ISO/IEC 27001 eine freiwillige internationale Norm und NIS-2 eine verbindliche EU-Richtlinie ist, stimmen ihre zugrunde liegenden Sicherheitsprinzipien und Kontrollziele weitgehend überein.
Betrachten wir einige der wichtigsten Bereiche aus Artikel 21 von NIS-2 und wie sie sich im Vergleich zu ISO/IEC 27001 darstellen:
- Risikoanalyse und Sicherheitsrichtlinien
NIS-2 verlangt von Organisationen, regelmäßige Risikobewertungen durchzuführen und risikobasierte Sicherheitsrichtlinien umzusetzen (Artikel 21, Abschnitt a). - Umgang mit Vorfällen (Incident Handling)
Artikel 21 (Abschnitt b) der NIS2 fordert Fähigkeiten zur Verhinderung, Erkennung, Reaktion und Wiederherstellung nach Vorfällen.
ISO/IEC 27001 deckt dies in mehreren Bereichen ab, darunter die Planung der Reaktion auf Vorfälle, Erkennungsfähigkeiten, Prozesse zur Lösung von Vorfällen und das Lernen nach Vorfällen, um die zukünftige Widerstandsfähigkeit zu verbessern. - Geschäftskontinuität und Notfallwiederherstellung (Business Continuity and Disaster Recovery)
NIS-2 (Abschnitt c) betont die Aufrechterhaltung der Geschäftskontinuität und die Sicherstellung von Notfallwiederherstellungsfähigkeiten.
ISO/IEC 27001 behandelt dies durch seine Anforderungen an die Geschäftskontinuitätsplanung, einschließlich Backup-Strategien, Redundanz und Testen von Notfallverfahren. - Sicherheit der Lieferkette
Artikel 21 (Abschnitt d) betont die Notwendigkeit, Risiken zu managen, die von Drittanbietern und Dienstleistern ausgehen.
ISO/IEC 27001 spiegelt dies durch spezielle Kontrollen im Bereich Lieferantenbeziehungsmanagement und Risikobewertung von Dritten wider, wodurch sichergestellt wird, dass die Sicherheitsverantwortlichkeiten klar definiert und überwacht werden. - Zugriffskontrolle und Vermögensverwaltung (Access Control and Management)
Die Abschnitte e und f von Artikel 21 befassen sich mit der Notwendigkeit der Identitäts- und Zugriffsverwaltung sowie der Bestandsaufnahme von Vermögenswerten.
ISO betont diese Bereiche durch Kontrollen der Benutzerzugriffsbereitstellung, Authentifizierung, geringsten Privilegien und der Pflege eines aktuellen Vermögensregisters. - Verschlüsselung und sichere Kommunikation
Abschnitt g der NIS-2 bezieht sich auf die Verwendung von Kryptografie und sicherer Kommunikation zum Schutz von Daten.
ISO/IEC 27001 enthält ebenfalls Richtlinien für die Implementierung kryptografischer Kontrollen und die Sicherung von Daten während der Übertragung und im Ruhezustand. - Verwundbarkeits- und Konfigurationsmanagement (Vulnerability and Configuration Management)
NIS-2 (Abschnitt h) fordert ein effektives Umgang mit Schwachstellen und Richtlinien zur Gewährleistung einer sicheren Konfiguration.
ISO unterstützt dies mit Kontrollen für Schwachstellenmanagement, Patching, Systemhärtung und Änderungskontrollverfahren. - Sicherheit und Sensibilisierung der Mitarbeiter
Artikel 21 betont auch, wie wichtig es ist, dass die Mitarbeiter geschult und informiert sind und innerhalb klarer Sicherheitsrichtlinien arbeiten.
ISO/IEC 27001 enthält einen vollständigen Bereich zu Sensibilisierungsschulungen, Benutzerverantwortlichkeiten und der Entwicklung einer Sicherheitskultur im gesamten Unternehmen.
Zusammenfassend lässt sich sagen, dass NIS-2 und ISO/IEC 27001 zwar in Sprache und Struktur unterscheiden, aber in Bezug auf die Sicherheitsziele dieselbe Sprache sprechen. ISO bietet einen flexiblen, detaillierten Rahmen für die Umsetzung der Anforderungen, während NIS-2 die rechtlichen Mindestanforderungen festlegt, die Organisationen erfüllen müssen.
Wenn Sie nach ISO/IEC 27001 zertifiziert sind, sind Sie dann auch NIS-2-konform?
Weitestgehend ja, aber nicht automatisch.
ISO/IEC 27001 bietet einen soliden Rahmen, der fast alle technischen und organisatorischen Anforderungen von NIS-2 abdeckt. NIS-2 stellt jedoch über technische Kontrollen hinausgehende regulatorische Anforderungen, wie zum Beispiel:
- Spezifische Fristen für die Meldung von Vorfällen
- Sektorspezifische Aufsicht durch nationale Behörden
- Anforderungen an die Rechenschaftspflicht und Governance für die oberste Führungsebene
Mit einer ISO-27001-Zertifizierung sind Sie also schon weit voraus, müssen aber dennoch Folgendes tun:
- Validierung der Meldeverfahren
- Erfüllung governance-spezifischer Verpflichtungen
- Sicherstellung der Übereinstimmung mit lokalen NIS-2-Implementierungen (da die Durchsetzung von Eu-Land zu EU-Land unterschiedlich ist)
Auf der anderen Seite: Wenn Sie sich auf NIS-2 vorbereiten, ist die Einführung von ISO/IEC 27001 eine effiziente, weltweit anerkannte Methode, um:
- Ihre Kontrollverfahren zu strukturieren
- Ihre Sorgfaltspflicht nachzuweisen
- Einen kontinuierlichen Verbesserungszyklus einzurichten
- Sich auf die Validierung durch Dritte vorzubereiten
Fazit
ISO/IEC 27001 und NIS-2 sind eher aufeinander abgestimmt als
Das eine ist freiwillig, das andere obligatorisch – aber beide zielen auf dasselbe Ergebnis ab: eine robuste, risikobasierte und gut dokumentierte Cybersicherheitsstrategie.
Für Unternehmen, die in der EU tätig sind, ist die Nutzung von ISO/IEC 27001 als Grundlage für die NIS-2-Konformität nicht nur effektiv, sondern auch strategisch sinnvoll.
