3 Hinweise für ISO 27001-zertifizierte Unternehmen

„Im Laufe des Gesetzgebungsprozesses wurde ISO 27001 oftmals als wichtige Grundlage für NIS-2-Compliance genannt. Dennoch erleben wir im Zertifizierungsalltag oftmals noch eine große Unsicherheit, ob die Zertifizierung alleine ausreicht, um die gesetzlich geregelten Vorgaben zu erfüllen“, meint Thomas Janz, Product Compliance Manager IT Standards bei TÜV SÜD. „Deshalb haben wir das Wichtigste jetzt zusammengefasst.“

1. Betroffenheitsprüfung: Bin ich von NIS2 betroffen und wenn ja – in welchem Ausmaß?

Solange die EU-Verordnung in Deutschland noch nicht umgesetzt war, haben viele Organisationen die Frage der Betroffenheit auf die lange Bank geschoben – gehören wir zu den „wichtigen“ oder „besonders wichtigen Einrichtungen“ nach NIS2? Mit dem offiziellen Inkrafttreten des Umsetzungsgesetzes am 6. Dezember gilt jetzt umso dringender: Es ist Zeit, seine Betroffenheit zu prüfen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat noch einmal betont, dass Unternehmen selbst herausfinden müssen, ob sie vom Gesetz betroffen sind. Ausschlaggebend sind neben der Zugehörigkeit zu bestimmten Sektoren, Grenzwerte hinsichtlich Mitarbeitenden (> 250 = besonders wichtig; > 50 wichtig), Umsatz und Bilanz (> 50 Mio € = besonders wichtig; > 10 Mio € = wichtig). Aufgrund ihrer essentiellen Versorgungsfunktion fallen KRITIS-Unternehmen automatisch in die Kategorie „besonders wichtige Einrichtungen“.

2. Bestandsaufnahme: Erfüllt mein ISMS die technischen Vorgaben und wird es in der Praxis auch wirklich gelebt?

Die im Gesetz vorgesehenen Maßnahmen zum Risikomanagement dienen dazu, „Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten“ (Kapitel 2, §30). Unternehmen, die nach ISO 27001 zertifiziert sind, haben einen Großteil der geforderten Maßnahmen bereits etabliert und im Rahmen der Zertifizierung unabhängig prüfen und dokumentieren lassen. Dennoch ist es wichtig, das ISMS kontinuierlich zu leben und zu verbessern, um die gesetzlichen Bestimmungen auch langfristig zu erfüllen. Der Stand der Technik wandelt sich, und somit muss sich auch ein ISMS kontinuierlich an die Gegebenheiten anpassen. Hier empfiehlt sich ein Blick in die Publikation zum Stand der Technik von TeleTrusT. Nur so wird ein Risikomanagement aktiv gelebt.

3. Compliance: Wie schließe ich die Lücke zwischen ISO 27001-Zertifizierung und den NIS2-Vorgaben?

Eine ISO 27001-Zertifizierung hilft Unternehmen, die organisatorischen und technischen Grundlagen für die Erfüllung der gesetzlichen Vorgaben zu schaffen. Dennoch reicht die Zertifizierung alleine für „wichtige“ und „besonders wichtige Einrichtung“ nicht aus. Um die gesetzlichen Bestimmungen zu erfüllen, müssen zertifizierte Unternehmen das Statement of Applicability in ihrer ISO 27001-Zertifizierung um die Vorgaben zum Vulnerability and Incident Management erweitern. Sie sind darüber hinaus verpflichtet, sich proaktiv im BSI-Portal zu registrieren und erhebliche Sicherheitsvorfälle zu melden. Die Vorgaben reichen von einer schnellen Erstmeldung (innerhalb der ersten 24 Stunden), einem Zwischenreport (innerhalb von 72 Stunden) bis hin zu einer Abschlussmeldung (spätestens nach 3 Monaten bis zum Abschluss des Sicherheitsvorfalls).

Weitere Informationen zu den NIS2-Services von TÜV SÜD gibt es unter https://www.tuvsud.com/en/topics/cybersecurity/nis2-services.