NIS2 - der Treibstoff für die ISO 27001Datum: 03.03.2023
Autor: Michael Brunner, Head of Security Engineering
Cyberangriffe gehören zu der weltweit am schnellsten wachsenden Form an Kriminalität. Ein guter Indikator für den aktuellen Zustand ist die Tatsache, dass laut Medienberichten die Versicherbarkeit von Unternehmen gegen Cyberangriffen deutlich schwerer geworden ist. Die Versicherer schrauben den erforderlichen Reifegrad an Sicherheit hoch. Und genau das wird die Ablöse der derzeit gängigen Self-Assessments durch qualifizierte Audits mit der Hinterlegung zwingend erforderlicher Evidenzen mit sich bringen.
Geschäftsführung ist in der Pflicht
Durch die Richtlinie (EU) 2022/2555 erfolgt eine wesentliche Erweiterung der betroffenen Unternehmen und deren Pflichten. Ab 2024 kann davon ausgegangen werden, dass in Österreich ca. 3.000 Unternehmen, unterteilt in 16 Sektoren, ab 50 Mitarbeitern und 10 Mio. EUR Umsatz, nachweislich Cybersecurity Maßnahmen umsetzen müssen. Die nationale Gesetzgebung wird die Überprüfung der Einhaltung der Mindeststandards übernehmen und in weiterer Folge Geschäftsführer von Betreibern kritischer Infrastrukturen in die Pflicht nehmen.
Synergien nutzen
Die Anwendung internationaler (Sicherheits-)Standards soll gefördert werden, die EU-Kommission wird dazu noch konkretisierende Verordnungen erlassen. Unabhängig davon bringt sich jedenfalls die ISO 27001 ins Spiel. Durch massive Überschneidungen von Anforderungen der NIS2 mit der ISO 27001 (siehe Anhang) macht es für betroffene Unternehmen Sinn, in die Herstellung der Zertifizierungsreife bzw. in eine ISO 27001 Zertifizierung zu investieren.
Sowohl die Richtlinie über Netz- und Informationssysteme (NIS2) als auch die ISO 27001 zielen auf die Verbesserung der Sicherheit von Netzwerken und Informationssystemen ab, unterscheiden sich jedoch in einem wesentlichen Punkt. Bei der NIS2 handelt es sich um einen verbindlichen Rechtsakt der Europäischen Union (EU), der die kritischen Infrastrukturen der EU-Mitgliedstaaten verpflichtet, Sicherheit und Widerstandsfähigkeit zu verbessern, um auf Angriffe angemessen reagieren zu können. Die ISO 27001 ist hingegen ein freiwillig anzuwendender Standard, der auf jede Organisation unabhängig ihrer Größe oder Branche angewendet werden kann.
Zeitnahe Gedanken machen
Informationssicherheit ist mittlerweile der entscheidende Wettbewerbsfaktor. Früher ein wenig als Marketinginstrument missverstanden und heute notwendig für das Überleben eines Unternehmens. Zusammenfassend lässt sich sagen, NIS2 ist der perfekte Treibstoff für die ISO 27001. Betreiber kritischer Infrastrukturen sind somit gut beraten, sich zeitnahe Gedanken über eine etwaige ISO 27001 Zertifizierung zu machen, die Überschneidungen der Anforderungen (siehe Mapping) sind einfach sehr verlockend.
Christoph Zajic
CERTAINITY, Head of Process Consulting
Mapping NIS-Verordnung mit der ISO 27001:2022
| NIS-Verordnung | ISO 27001:2022 |
Governance und Risikomanagement | Eine Risikoanalyse der Netz- und Informationssysteme ist durchzuführen. Dabei sind spezifische Risiken auf Grundlage einer Analyse der betrieblichen Auswirkungen von Sicherheitsvorfällen zu ermitteln und hinsichtlich der hohen Bedeutung des Betreibers wesentlicher Dienste für das Funktionieren des Gemeinwesens zu bewerten. | Kap. 8.2 Information security risk assessment |
Eine Sicherheitsrichtlinie ist zu erstellen und periodisch zu aktualisieren. | A.5.1 Policies for information security | |
Die Durchführung der periodischen Überprüfung der Netz- und Informationssystemsicherheit ist zu planen und festzulegen. | A.8.34 Protection of information systems during audit testing | |
Alle Ressourcen, die erforderlich sind, um die Funktionsfähigkeit der Netz- und Informationssysteme zu gewährleisten, sind im Hinblick auf kurz-, mittel- und langfristige Kapazitätsanforderungen einzuplanen und sicherzustellen. | A.8.6 Capacity management | |
Die periodische Überprüfung des Informationssicherheitsmanagementsystems ist festzulegen und durchzuführen. | Kap. 9.2 Internal Audit | |
Sicherheitsrelevante Aspekte sind in den Prozessen des Personalwesens zu berücksichtigen und umzusetzen. | 6 People controls |
| NIS-Verordnung | ISO 27001 |
Umgang mit Dienst-leistern, Lieferanten | Anforderungen an Dienstleister, Lieferanten und Dritte für den Betrieb von, einen sicheren Zugang zu und Zugriff auf Netz- und Informationssysteme sind festzulegen und periodisch zu überprüfen. | A.5.19 Information security in supplier relationships |
Die Leistungsvereinbarungen mit Dienstleistern und Lieferanten sind periodisch zu überprüfen und zu überwachen. | A.5.20 Addressing information security within supplier agreements | |
Sicherheitsarchitektur | Netz- und Informationssysteme sind sicher zu konfigurieren. Diese Konfiguration ist strukturiert zu dokumentieren, die Dokumentation ist aktuell zu halten. | 5.37 Documented operating procedures
|
Vermögenswerte, die im Zusammenhang mit Netz- und Informationssystemen stehen, sind strukturiert zu analysieren und zu dokumentieren. | 5.9 Inventory of information and other associated assets | |
Eine Segmentierung der Netzwerke ist innerhalb der Netz- und Informationssysteme abhängig vom Schutzbedarf vorzunehmen. | 8.20 Networks security
| |
Die Sicherheit innerhalb der Netzwerksegmente und der Schnittstellen zwischen den Netzwerksegmenten ist zu gewährleisten. | 8.8 Management of technical vulnerabilities
| |
Vertraulichkeit, Authentizität und Integrität von Informationen sind durch den angemessenen und wirksamen Einsatz kryptographischer Verfahren und Technologien sicherzustellen. | 8.24 Use of cryptography |
| NIS-Verordnung | ISO 27001 |
Systemadministration | Administrative Zugangsrechte sind eingeschränkt nach dem Minimalrechtsprinzip zuzuweisen. Diese Zuweisungen sind periodisch zu überprüfen und gegebenenfalls anzupassen. | 8.2 Privileged access rights |
Systeme und Anwendungen zur Systemadministration sind ausschließlich für Tätigkeiten zum Zweck der Systemadministration zu verwenden. Die Sicherheit dieser Systeme und Anwendungen ist zu gewährleisten. | 8.3 Information access restriction | |
Identitäts- und Zugriffsmanagement | Es sind Verfahren umzusetzen und Technologien einzusetzen, die die Identifikation und Authentifikation von Benutzern und Diensten gewährleisten. | 5.15 Access control |
Es sind Verfahren umzusetzen und Technologien einzusetzen, die unautorisierte Zugriffe auf Netz- und Informationssysteme unterbinden. | 5.3 Segregation of duties | |
Systemwartung und Betrieb | Abläufe und Vorgänge zur Gewährleistung eines sicheren Systembetriebs von Netz- und Informationssystemen sind einzuführen und periodisch zu überprüfen. | 5.8 Information security in project management |
Fernzugriff ist eingeschränkt nach dem Minimalrechtsprinzip und zeitlich beschränkt zu vergeben. Die Fernzugriffsrechte sind periodisch zu überprüfen und gegebenenfalls anzupassen. Die Sicherheit des Fernzugriffs ist zu gewährleisten. | 8.1 User endpoint devices | |
Physische Sicherheit | Der physische Schutz der Netz- und Informationssysteme, insbesondere der physische Schutz vor unbefugtem Zutritt und Zugang, ist zu gewährleisten. | 7 Physical controls |
| NIS-Verordnung | ISO 27001 |
Erkennung von Vorfällen | Mechanismen zur Erkennung und Bewertung von Vorfällen sind umzusetzen. | 8.15 Logging |
Mechanismen zu Protokollierung und Monitoring, insbesondere von für die Erbringung des wesentlichen Dienstes essentiellen Tätigkeiten und Vorgängen, sind umzusetzen. | 8.15 Logging | |
Mechanismen zur Erkennung und adäquaten Bewertung von Vorfällen durch die Korrelation und Analyse der ermittelten Protokolldaten sind umzusetzen. | 8.15 Logging | |
Bewältigung von Vorfällen | Prozesse zur Reaktion auf Vorfälle sind zu erstellen, aufrechtzuerhalten und zu erproben. | 8.7 Protection against malware |
Prozesse zur internen und externen Meldung von Vorfällen sind zu erstellen, aufrechtzuerhalten und zu erproben. | 5.26 Response to information security incidents | |
Prozesse zur Analyse und Bewertung von Vorfällen und zur Sammlung relevanter Informationen sind zu erstellen, aufrechtzuerhalten und zu erproben, um den kontinuierlichen Verbesserungsprozess zu fördern. | 5.25 Assessment and decision on information security events | |
Betriebskontinuität | Die Wiederherstellung der Erbringung des wesentlichen Dienstes auf einem zuvor festgelegten Qualitätsniveau nach einem Sicherheitsvorfall ist zu gewährleisten. | 5.29 Information security during disruption |
Notfallpläne sind zu erstellen, anzuwenden, regelmäßig zu bewerten und zu erproben. | 8.14 Redundancy of information processing facilities | |
Krisen-management | Rahmenbedingungen und Prozessabläufe des Krisenmanagements sind für die Aufrechterhaltung des wesentlichen Dienstes vor und während eines Sicherheitsvorfalls zu definieren, umzusetzen und zu erproben. | 8.29 Security testing in development and acceptance |
(Entwurf ohne Gewähr auf Vollständigkeit)
Quellen:
- https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022L2555&from=DE
- Anlaufstelle Netz- und Informationssystemssicherheitsgesetz (NISG)nis.gv.at
- RIS - Netz- und Informationssystemsicherheitsgesetz - Bundesrecht konsolidiert, Fassung vom 13.02.2023 (bka.gv.at)
- Sicherheitsmaßnahmen für Betreiber wesentlicher Dienste (nis.gv.at)
- https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/689333/EPRS_BRI(2021)689333_EN.pdf
- https://greco.services/home-deutsch/losungen/cyber-crime/
- ISO/IEC 27001 und 27002:2022