NIS2-Konformität durch Umsetzung von ISO/IEC 27001:2022
NIS2 stellt zahlreiche Anforderungen zur Beherrschung von Cyber-Risiken. Dies dient dem Schutz von Netz- und Informationssystemen, deren Nutzern und anderen Personen innerhalb der EU vor Umständen, Ereignissen oder Handlungen, die Verfügbarkeit, Authentizität, Integrität und/oder Vertraulichkeit von Daten oder Services beeinträchtigen. Um das erreichen zu können, müssen geeignete Prozesse – im NIS2-Kontext „Cyber-Sicherheitspraxis“ genannt – und Maßnahmen – im NIS-Kontext „Cyber-Sicherheitshygiene“ genannt – wirksam implementiert werden.
Sowohl die Festlegung der benötigten Prozesse als auch die Ableitung geeigneter Maßnahmen erfolgt zweckmäßigerweise im Rahmen eines Informations-Sicherheits-Management-Systems (ISMS). Der zentrale und insbesondere EU-weit geltende Standard für ein ISMS ist die ISO/IEC 27001. Schon bei der Abfassung der NIS2-Richtlinie war ein enger Bezug zur ISO/IEC 27001 durch die Vorgabe aus Art. 21 Abs. 1 in Verbindung mit Erwägungsgrund 79 klar erkenntlich: Bei der Abwehr von Cyber-Risiken sind einschlägige internationale Normen wie die ISO/IEC 27000er Reihe einzubeziehen!
Neue Controls aus dem Annex A der ISO/IEC 27001, welche in der neuen Fassung der ISO/IEC 27002 näher beschrieben sind, eignen sich sogar perfekt zur Umsetzung von NIS2-Anforderungen. Bei der Erfüllung von NIS2-Vorgaben werden aber auch wesentliche Bestandteile aus dem unmittelbar im Rahmen einer Zertifizierung zu erfüllenden Teil der ISO/IEC 27001:2022 benötigt. Hier lohnt ein genauer Blick.
Ausrichtung des Risikomanagements
Bei der klassischen Informationssicherheit werden in erster Linie die Sicherheitsziele der Verfügbarkeit, Integrität und Vertraulichkeit von Daten und Services geschützt. Im NIS2-Kontext kommt die Authentizität als eigenständig zu erfüllendes Sicherheitsziel hinzu.
Bei der üblichen Risikoanalyse wird nur die Auswirkung auf den unmittelbaren Betreiber der Netz- und Informationssysteme im Geltungsbereich von dessen ISMS betrachtet. Im NIS2-Kontext wird dies hinsichtlich unerwünschter Risiken für die Gesellschaft ausgeweitet.
Die neue Fassung der ISO/IEC 27001 fordert im Gegensatz zu ihrem Vorgänger nunmehr, dass die Erfüllung von Sicherheitszielen zu überwachen ist und Kriterien für ISMS-Prozesse festzulegen und deren Steuerung in Übereinstimmung mit diesen Kriterien zu erfolgen haben. An dieser Stelle konvergieren beide Rahmenwerke. Durch die angestrebte Beherrschbarkeit vor unerwünschten Beeinträchtigungen, die sich auch auf Nutzer und andere Personen auswirken können, wird ein Kriterium zur umzusetzenden Güte vorgegeben. Zugleich erhöht sich damit spürbar und nachdrücklich die erreichte Resilienz gegenüber bestehenden Cyber-Gefährdungen. Beide Seiten gewinnen also.
NIS2-spezifische Controls aus der ISO/IEC 27001:2022:
- Die vorhandene Bedrohungslage ist explizit zu analysieren (A.5.7)
- Zu schützende Daten sind gemäß aller vier Sicherheitsziele zu kennzeichnen (A.5.13)
- Der komplette Lebenszyklus von Identitäten ist bei der Ausgestaltung von Zugangsrechten zu betrachten (A.5.16)
- Die etablierte Cyber-Sicherheitspraxis in der Lieferkette ist ausdrücklich zu überwachen (A.5.19 – A.5.22)
- Lessons Learned aus Vorfällen sind bei der Verbesserung der Cyber-Sicherheit zu nutzen (A.5.27)
- Netz- und Informationssysteme müssen so ausgerichtet werden, dass sie Business Continuity-Ziele erfüllen und der Resilienz dienen (A.5.30)
- Eingesetztes Personal und interessierte Parteien sind auf besondere Anforderungen zur Cyber-Sicherheit hin zu schulen (A.6.3)
- Die Aufrechterhaltung physischer Sicherheit bedarf einer ständigen Überwachung (A.7.4)
- Netz- und Informationssysteme sind sicher zu konfigurieren (A.8.9)
- Unübliches Systemverhalten ist zu überwachen (A.8.16)
- Nur sichere Netzwerke und Netzgeräte sind einzubinden (A.8.20)
Die oben aufgelisteten Controls haben im Zuge der Neufassung der ISO/IEC 27001 faktisch einen engen Bezug zu NIS2-Anforderungen bekommen und tragen damit aktiv zur NIS2-Konformität bei.
Mehrere Fliegen mit einer Klappe
Durch konsequente Umsetzung von NIS2-Anforderungen im Rahmen eines an der ISO/IEC 27001:2022 ausgerichteten ISMS wird damit nicht nur NIS2-Konformität erreicht, sondern auch ein zukunftsweisendes ISMS implementiert bzw. fortentwickelt. Das ist somit leichter zertifizierungsfähig und dient damit wiederum als Nachweis wirksam implementierter NIS2-Konformität der Cyber-Sicherheitspraxis in der Lieferkette.
Die Experten der SITS helfen Ihnen sowohl dabei, Ihr ISMS NIS2-konform bzw. konform zur neuen Fassung der ISO/IEC 27001auszurichten, sowie geeignete, zielorientierte und wirksame Maßnahmen zur Cyber-Sicherheitshygiene abzuleiten und praxistauglich umzusetzen.