NIS2 & ISO/IEC 27001:2022: Die Anforderungen
Blog

NIS2 & ISO/IEC 27001:2022: Neue Controls zur Erfüllung beider Anforderungen

2022 wurden parallel einerseits die NIS2-Richtlinie der EU und andererseits die neue Fassung der ISO/IEC 27001, nach der ein ISMS zertifiziert werden kann, veröffentlicht. Beide Rahmenwerke, aus denen wichtiger Input zur Bewältigung relevanter Cyber-Risiken hervorgeht, weisen zahlreiche Überschneidungen auf. Eine Orientierung an der ISO/IEC 27001:2022 hilft daher nachdrücklich bei der Erfüllung von NIS2-Anforderungen.
3 Minuten
05. April 2024

NIS2-Konformität durch Umsetzung von ISO/IEC 27001:2022

NIS2 stellt zahlreiche Anforderungen zur Beherrschung von Cyber-Risiken. Dies dient dem Schutz von Netz- und Informationssystemen, deren Nutzern und anderen Personen innerhalb der EU vor Umständen, Ereignissen oder Handlungen, die Verfügbarkeit, Authentizität, Integrität und/oder Vertraulichkeit von Daten oder Services beeinträchtigen. Um das erreichen zu können, müssen geeignete Prozesse – im NIS2-Kontext „Cyber-Sicherheitspraxis“ genannt – und Maßnahmen  – im NIS-Kontext „Cyber-Sicherheitshygiene“ genannt – wirksam implementiert werden.

Sowohl die Festlegung der benötigten Prozesse als auch die Ableitung geeigneter Maßnahmen erfolgt zweckmäßigerweise im Rahmen eines Informations-Sicherheits-Management-Systems (ISMS). Der zentrale und insbesondere EU-weit geltende Standard für ein ISMS ist die ISO/IEC 27001. Schon bei der Abfassung der NIS2-Richtlinie war ein enger Bezug zur ISO/IEC 27001 durch die Vorgabe aus Art. 21 Abs. 1 in Verbindung mit Erwägungsgrund 79 klar erkenntlich: Bei der Abwehr von Cyber-Risiken sind einschlägige internationale Normen wie die ISO/IEC 27000er Reihe einzubeziehen!

Neue Controls aus dem Annex A der ISO/IEC 27001, welche in der neuen Fassung der ISO/IEC 27002 näher beschrieben sind, eignen sich sogar perfekt zur Umsetzung von NIS2-Anforderungen. Bei der Erfüllung von NIS2-Vorgaben werden aber auch wesentliche Bestandteile aus dem unmittelbar im Rahmen einer Zertifizierung zu erfüllenden Teil der ISO/IEC 27001:2022 benötigt. Hier lohnt ein genauer Blick.

Ausrichtung des Risikomanagements

Bei der klassischen Informationssicherheit werden in erster Linie die Sicherheitsziele der Verfügbarkeit, Integrität und Vertraulichkeit von Daten und Services geschützt. Im NIS2-Kontext kommt die Authentizität als eigenständig zu erfüllendes Sicherheitsziel hinzu.

Bei der üblichen Risikoanalyse wird nur die Auswirkung auf den unmittelbaren Betreiber der Netz- und Informationssysteme im Geltungsbereich von dessen ISMS betrachtet. Im NIS2-Kontext wird dies hinsichtlich unerwünschter Risiken für die Gesellschaft ausgeweitet.

Die neue Fassung der ISO/IEC 27001 fordert im Gegensatz zu ihrem Vorgänger nunmehr, dass die Erfüllung von Sicherheitszielen zu überwachen ist und Kriterien für ISMS-Prozesse festzulegen und deren Steuerung in Übereinstimmung mit diesen Kriterien zu erfolgen haben. An dieser Stelle konvergieren beide Rahmenwerke. Durch die angestrebte Beherrschbarkeit vor unerwünschten Beeinträchtigungen, die sich auch auf Nutzer und andere Personen auswirken können, wird ein Kriterium zur umzusetzenden Güte vorgegeben. Zugleich erhöht sich damit spürbar und nachdrücklich die erreichte Resilienz gegenüber bestehenden Cyber-Gefährdungen. Beide Seiten gewinnen also.

NIS2-spezifische Controls aus der ISO/IEC 27001:2022:

  • Die vorhandene Bedrohungslage ist explizit zu analysieren (A.5.7)
  • Zu schützende Daten sind gemäß aller vier Sicherheitsziele zu kennzeichnen (A.5.13)
  • Der komplette Lebenszyklus von Identitäten ist bei der Ausgestaltung von Zugangsrechten zu betrachten (A.5.16)
  • Die etablierte Cyber-Sicherheitspraxis in der Lieferkette ist ausdrücklich zu überwachen (A.5.19 – A.5.22)
  • Lessons Learned aus Vorfällen sind bei der Verbesserung der Cyber-Sicherheit zu nutzen (A.5.27)
  • Netz- und Informationssysteme müssen so ausgerichtet werden, dass sie Business Continuity-Ziele erfüllen und der Resilienz dienen (A.5.30)
  • Eingesetztes Personal und interessierte Parteien sind auf besondere Anforderungen zur Cyber-Sicherheit hin zu schulen (A.6.3)
  • Die Aufrechterhaltung physischer Sicherheit bedarf einer ständigen Überwachung (A.7.4)
  • Netz- und Informationssysteme sind sicher zu konfigurieren (A.8.9)
  • Unübliches Systemverhalten ist zu überwachen (A.8.16)
  • Nur sichere Netzwerke und Netzgeräte sind einzubinden (A.8.20)

Die oben aufgelisteten Controls haben im Zuge der Neufassung der ISO/IEC 27001 faktisch einen engen Bezug zu NIS2-Anforderungen bekommen und tragen damit aktiv zur NIS2-Konformität bei.

Mehrere Fliegen mit einer Klappe

Durch konsequente Umsetzung von NIS2-Anforderungen im Rahmen eines an der ISO/IEC 27001:2022 ausgerichteten ISMS wird damit nicht nur NIS2-Konformität erreicht, sondern auch ein zukunftsweisendes ISMS implementiert bzw. fortentwickelt. Das ist somit leichter zertifizierungsfähig und dient damit wiederum als Nachweis wirksam implementierter NIS2-Konformität der Cyber-Sicherheitspraxis in der Lieferkette.

Die Experten der SITS helfen Ihnen sowohl dabei, Ihr ISMS NIS2-konform bzw. konform zur neuen Fassung der ISO/IEC 27001auszurichten, sowie geeignete, zielorientierte und wirksame Maßnahmen zur Cyber-Sicherheitshygiene abzuleiten und praxistauglich umzusetzen.

Der Cyber Chronicle Newsroom
Wir versorgen Sie mit aktuellen News, Daten und Trendthemen
Cyber Defense
Microsoft Sentinel als Azure SIEM – Vorteile & Kosten
Mehr erfahren
AI
KI-Attacken abwehren: So lassen sich Daten und Systeme schützen
Mehr erfahren
Assessment & Advisory
ISO-27001-Zertifizierung ohne Umwege
Mehr erfahren
Assessment & Advisory
Mit Managed Services gegen den Fachkräftemangel
Mehr erfahren
Security & IT Solutions
Workload Security mit SASE, so funktioniert’s
Mehr erfahren
Cloud Platform Security
DevOps-Sicherheit: Belastungstest für Kultur und Technologie
Mehr erfahren
Identity & Access Management
Biometrie – mehr Sicherheit ohne Passwort?
Mehr erfahren
Cyber Defense
Threat Intelligence – Wissen ist Macht & Sicherheit
Mehr erfahren
NIS2
NIS2 & ISO/IEC 27001:2022: Neue Controls zur Erfüllung beider Anforderungen
Mehr erfahren
Identity & Access Management
So schafft Privileged Access Management mehr Sicherheit
Mehr erfahren
Assessment & Advisory
vCISO - mehr IT-Sicherheit durch flexible Unterstützung
Mehr erfahren
AI
Cloud Platform Security
KI von Microsoft: Ist Ihr Unternehmen Copilot Ready?
Mehr erfahren
NIS2
NIS2 & Risikomanagement: Wann sind Cyber-Risiken wirklich beherrschbar?
Mehr erfahren
Zero Trust
Zero Trust – mehr IT-Sicherheit durch weniger Vertrauen
Mehr erfahren
Cloud Platform Security
Schutzschild für Ihre Cloud-Plattformen: Tipps, Kniffe, Fallstricke
Mehr erfahren
Assessment & Advisory
Security-Allrounder CISO: Auslagern oder selbst anheuern?
Mehr erfahren
Wir sind für Sie da
Einfach Formular ausfüllen und unsere Experten melden sich.

Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen