NIS2 - der Treibstoff für die ISO 27001

date: Mar 3, 2023
author: Michael Brunner, PhD.

Cyberangriffe gehören zu der weltweit am schnellsten wachsenden Form an Kriminalität. Ein guter Indikator für den aktuellen Zustand ist die Tatsache, dass laut Medienberichten die Versicherbarkeit von Unternehmen gegen Cyberangriffen deutlich schwerer geworden ist. Die Versicherer schrauben den erforderlichen Reifegrad an Sicherheit hoch. Und genau das wird die Ablöse der derzeit gängigen Self-Assessments durch qualifizierte Audits mit der Hinterlegung zwingend erforderlicher Evidenzen mit sich bringen.

Geschäftsführung ist in der Pflicht

Durch die Richtlinie (EU) 2022/2555 erfolgt eine wesentliche Erweiterung der betroffenen Unternehmen und deren Pflichten. Ab 2024 kann davon ausgegangen werden, dass in Österreich ca. 3.000 Unternehmen, unterteilt in 16 Sektoren, ab 50 Mitarbeitern und 10 Mio. EUR Umsatz, nachweislich Cybersecurity Maßnahmen umsetzen müssen. Die nationale Gesetzgebung wird die Überprüfung der Einhaltung der Mindeststandards übernehmen und in weiterer Folge Geschäftsführer von Betreibern kritischer Infrastrukturen in die Pflicht nehmen.

Synergien nutzen

Die Anwendung internationaler (Sicherheits-)Standards soll gefördert werden, die EU-Kommission wird dazu noch konkretisierende Verordnungen erlassen. Unabhängig davon bringt sich jedenfalls die ISO 27001 ins Spiel. Durch massive Überschneidungen von Anforderungen der NIS2 mit der ISO 27001 (siehe Anhang) macht es für betroffene Unternehmen Sinn, in die Herstellung der Zertifizierungsreife bzw. in eine ISO 27001 Zertifizierung zu investieren.

Sowohl die Richtlinie über Netz- und Informationssysteme (NIS2) als auch die ISO 27001 zielen auf die Verbesserung der Sicherheit von Netzwerken und Informationssystemen ab, unterscheiden sich jedoch in einem wesentlichen Punkt. Bei der NIS2 handelt es sich um einen verbindlichen Rechtsakt der Europäischen Union (EU), der die kritischen Infrastrukturen der EU-Mitgliedstaaten verpflichtet, Sicherheit und Widerstandsfähigkeit zu verbessern, um auf Angriffe angemessen reagieren zu können. Die ISO 27001 ist hingegen ein freiwillig anzuwendender Standard, der auf jede Organisation unabhängig ihrer Größe oder Branche angewendet werden kann.

Zeitnahe Gedanken machen

Informationssicherheit ist mittlerweile der entscheidende Wettbewerbsfaktor. Früher ein wenig als Marketinginstrument missverstanden und heute notwendig für das Überleben eines Unternehmens. Zusammenfassend lässt sich sagen, NIS2 ist der perfekte Treibstoff für die ISO 27001. Betreiber kritischer Infrastrukturen sind somit gut beraten, sich zeitnahe Gedanken über eine etwaige ISO 27001 Zertifizierung zu machen, die Überschneidungen der Anforderungen (siehe Mapping) sind einfach sehr verlockend.

Christoph Zajic
CERTAINITY, Head of Process Consulting


Mapping NIS-Verordnung mit der ISO 27001:2022

 

NIS-Verordnung

ISO 27001:2022

Governance und Risikomanagement

Eine Risikoanalyse der Netz- und Informationssysteme ist durchzuführen. Dabei sind spezifische Risiken auf Grundlage einer Analyse der betrieblichen Auswirkungen von Sicherheitsvorfällen zu ermitteln und hinsichtlich der hohen Bedeutung des Betreibers wesentlicher Dienste für das Funktionieren des Gemeinwesens zu bewerten.

Kap. 8.2 Information security risk assessment
Kap. 8.3 Information security risk treatment

Eine Sicherheitsrichtlinie ist zu erstellen und periodisch zu aktualisieren.

A.5.1 Policies for information security
A.5.8 Information security in project management
5.31 Legal, statutory, regulatory and contractual requirements

Die Durchführung der periodischen Überprüfung der Netz- und Informationssystemsicherheit ist zu planen und festzulegen.

A.8.34 Protection of information systems during audit testing

Alle Ressourcen, die erforderlich sind, um die Funktionsfähigkeit der Netz- und Informationssysteme zu gewährleisten, sind im Hinblick auf kurz-, mittel- und langfristige Kapazitätsanforderungen einzuplanen und sicherzustellen.

A.8.6 Capacity management

Die periodische Überprüfung des Informationssicherheitsmanagementsystems ist festzulegen und durchzuführen.

Kap. 9.2 Internal Audit

Sicherheitsrelevante Aspekte sind in den Prozessen des Personalwesens zu berücksichtigen und umzusetzen.

6 People controls
5.1 Policies for information security

 


 

 

NIS-Verordnung

ISO 27001

Umgang mit Dienst-leistern, Lieferanten

Anforderungen an Dienstleister, Lieferanten und Dritte für den Betrieb von, einen sicheren Zugang zu und Zugriff auf Netz- und Informationssysteme sind festzulegen und periodisch zu überprüfen.

A.5.19 Information security in supplier relationships

Die Leistungsvereinbarungen mit Dienstleistern und Lieferanten sind periodisch zu überprüfen und zu überwachen.

A.5.20 Addressing information security within supplier agreements

Sicherheitsarchitektur

Netz- und Informationssysteme sind sicher zu konfigurieren. Diese Konfiguration ist strukturiert zu dokumentieren, die Dokumentation ist aktuell zu halten.

5.37 Documented operating procedures
8.19 Installation of software on operational systems

 

Vermögenswerte, die im Zusammenhang mit Netz- und Informationssystemen stehen, sind strukturiert zu analysieren und zu dokumentieren.

5.9 Inventory of information and other associated assets
5.12 Classification of information

Eine Segmentierung der Netzwerke ist innerhalb der Netz- und Informationssysteme abhängig vom Schutzbedarf vorzunehmen.

8.20 Networks security
8.21 Security of network services

 

Die Sicherheit innerhalb der Netzwerksegmente und der Schnittstellen zwischen den Netzwerksegmenten ist zu gewährleisten.

8.8 Management of technical vulnerabilities
8.19 Installation of software on operational systems
8.22 Segregation of networks

 

Vertraulichkeit, Authentizität und Integrität von Informationen sind durch den angemessenen und wirksamen Einsatz kryptographischer Verfahren und Technologien sicherzustellen.

8.24 Use of cryptography
5.3 Segregation of duties
7.10 Storage media
7.14 Secure disposal or re-use of equipment
7.7 Clear desk and clear screen
8.7 Protection against malware
8.13 Information backup
5.11 Return of assets

 


 

 

NIS-Verordnung

ISO 27001

Systemadministration

Administrative Zugangsrechte sind eingeschränkt nach dem Minimalrechtsprinzip zuzuweisen. Diese Zuweisungen sind periodisch zu überprüfen und gegebenenfalls anzupassen.

8.2 Privileged access rights

Systeme und Anwendungen zur Systemadministration sind ausschließlich für Tätigkeiten zum Zweck der Systemadministration zu verwenden. Die Sicherheit dieser Systeme und Anwendungen ist zu gewährleisten.

8.3 Information access restriction

Identitäts- und Zugriffsmanagement

Es sind Verfahren umzusetzen und Technologien einzusetzen, die die Identifikation und Authentifikation von Benutzern und Diensten gewährleisten.

5.15 Access control

Es sind Verfahren umzusetzen und Technologien einzusetzen, die unautorisierte Zugriffe auf Netz- und Informationssysteme unterbinden.

5.3 Segregation of duties
5.16 Identity management
5.17 Authentication information

Systemwartung und Betrieb

Abläufe und Vorgänge zur Gewährleistung eines sicheren Systembetriebs von Netz- und Informationssystemen sind einzuführen und periodisch zu überprüfen.

5.8 Information security in project management
8.25 Secure development life cycle
7.13 Equipment maintenance

Fernzugriff ist eingeschränkt nach dem Minimalrechtsprinzip und zeitlich beschränkt zu vergeben. Die Fernzugriffsrechte sind periodisch zu überprüfen und gegebenenfalls anzupassen. Die Sicherheit des Fernzugriffs ist zu gewährleisten.

8.1 User endpoint devices

Physische Sicherheit

Der physische Schutz der Netz- und Informationssysteme, insbesondere der physische Schutz vor unbefugtem Zutritt und Zugang, ist zu gewährleisten.

7 Physical controls

 


 

 

NIS-Verordnung

ISO 27001

Erkennung von Vorfällen

Mechanismen zur Erkennung und Bewertung von Vorfällen sind umzusetzen.

8.15 Logging
8.7 Protection against malware
8.8 Management of technical vulnerabilities
8.29 Security testing in development and acceptance

Mechanismen zu Protokollierung und Monitoring, insbesondere von für die Erbringung des wesentlichen Dienstes essentiellen Tätigkeiten und Vorgängen, sind umzusetzen.

8.15 Logging

Mechanismen zur Erkennung und adäquaten Bewertung von Vorfällen durch die Korrelation und Analyse der ermittelten Protokolldaten sind umzusetzen.

8.15 Logging

Bewältigung von Vorfällen

Prozesse zur Reaktion auf Vorfälle sind zu erstellen, aufrechtzuerhalten und zu erproben.

8.7 Protection against malware
5.24 Information security incident management planning and preparation
6.8 Information security event reporting
5.26 Response to information security incidents

Prozesse zur internen und externen Meldung von Vorfällen sind zu erstellen, aufrechtzuerhalten und zu erproben.

5.26 Response to information security incidents
5.5 Contact with authorities

Prozesse zur Analyse und Bewertung von Vorfällen und zur Sammlung relevanter Informationen sind zu erstellen, aufrechtzuerhalten und zu erproben, um den kontinuierlichen Verbesserungsprozess zu fördern.

5.25 Assessment and decision on information security events
5.27 Learning from information security incidents
5.28 Collection of evidence

Betriebskontinuität

Die Wiederherstellung der Erbringung des wesentlichen Dienstes auf einem zuvor festgelegten Qualitätsniveau nach einem Sicherheitsvorfall ist zu gewährleisten.

5.29 Information security during disruption

Notfallpläne sind zu erstellen, anzuwenden, regelmäßig zu bewerten und zu erproben.

8.14 Redundancy of information processing facilities

Krisen-management

Rahmenbedingungen und Prozessabläufe des Krisenmanagements sind für die Aufrechterhaltung des wesentlichen Dienstes vor und während eines Sicherheitsvorfalls zu definieren, umzusetzen und zu erproben.

8.29 Security testing in development and acceptance

(Entwurf ohne Gewähr auf Vollständigkeit)

 

Quellen: