Die NIS-2-Richlinie und die ISO-27001

Nachdem Erwägungsgrund 79 explizit die ISO 27000-Norm als Maßnahme zur Einhaltung von Compliance-Anforderungen nennt, soll im Folgenden ein Überblick über diese Norm gegeben werden. Dabei liegt der Fokus insbesondere auf der zentralen Norm ISO/IEC 27001, welche die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) spezifiziert. Diese international anerkannte Norm dient Organisationen als Leitfaden, um Informationssicherheit systematisch zu verwalten und kontinuierlich zu optimieren.

Ziele der ISO/IEC 27001

Die ISO/IEC 27001 verfolgt mehrere Hauptziele:

1. Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen: Informationen sollen nur autorisierten Personen zugänglich sein, vollständig und korrekt bleiben sowie bei Bedarf verfügbar sein.
2. Risikomanagement: Risiken für die Informationssicherheit werden identifiziert, bewertet und durch geeignete Maßnahmen minimiert.
3. Einhaltung gesetzlicher und vertraglicher Anforderungen: Die Norm unterstützt Organisationen dabei, alle relevanten rechtlichen und regulatorischen Anforderungen zu erfüllen.
4. Kontinuierliche Verbesserung: Ein zentraler Bestandteil ist die ständige Optimierung des ISMS.

Aufbau der ISO/IEC 27001

Die Norm ist in mehrere Abschnitte gegliedert, die den gesamten Lebenszyklus eines ISMS abdecken:

1. Einführung und Anwendungsbereich: Erläuterung des Zwecks und der Geltungsbereiche.
2. Normative Verweise: Bezugnahme auf verwandte Normen.
3. Begriffe und Definitionen: Festlegung zentraler Begriffe.
4. Kontext der Organisation: Analyse interner und externer Einflussfaktoren sowie Berücksichtigung der Interessen relevanter Stakeholder.
5. Führung: Verantwortung der Unternehmensleitung bei der Umsetzung und Förderung des ISMS.
6. Planung: Definition von Informationssicherheitszielen sowie Durchführung von Risikoanalysen.
7. Unterstützung: Bereitstellung von Ressourcen, Schulung der Mitarbeiter und Dokumentation.
8. Betrieb: Steuerung und Umsetzung der Prozesse sowie der Maßnahmen zur Risikobehandlung.
9. Bewertung der Leistung: Überwachung und Analyse der ISMS-Performance, einschließlich interner Audits.
10. Verbesserung: Maßnahmen zur kontinuierlichen Weiterentwicklung, einschließlich Korrekturmaßnahmen.

Kontrollziele und Maßnahmen (Anhang A)

Ein zentraler Bestandteil der Norm ist Anhang A, der 14 Kontrollbereiche mit spezifischen Kontrollzielen und Maßnahmen aufführt. Dazu gehören unter anderem:

• Informationssicherheitsrichtlinien: Entwicklung und Implementierung von Richtlinien.
• Organisation der Informationssicherheit: Sicherstellung einer geeigneten internen Organisation und Regelungen für mobile Geräte.
• Zugangssteuerung: Regulierung und Schutz von Zugriffsrechten.
• Kryptographie: Einsatz von kryptografischen Methoden.
• Physische und umgebungsbezogene Sicherheit: Schutz von Infrastruktur und Geräten.
• Betriebssicherheit: Maßnahmen gegen Schadsoftware sowie Sicherstellung der Datensicherung.
• Kommunikationssicherheit: Sicherheit in Netzwerken und beim Datenaustausch.
• Compliance: Einhaltung gesetzlicher und vertraglicher Anforderungen.

Jedes dieser Kontrollziele wird durch konkrete Maßnahmen operationalisiert. So wird beispielsweise im Bereich "Organisation der Informationssicherheit" die Richtlinie für mobile Geräte definiert, um damit verbundene Risiken zu managen.

Der PDCA-Zyklus

Die Implementierung der ISO/IEC 27001 basiert auf dem prozessorientierten Plan-Do-Check-Act (PDCA)-Zyklus. Dieser Ansatz unterstützt Organisationen dabei, kontinuierlich zu planen, umzusetzen, zu überprüfen und Verbesserungen vorzunehmen, um die Informationssicherheit nachhaltig zu gewährleisten.

Dieser strukturierte und umfassende Rahmen macht die ISO/IEC 27001 zu einem unverzichtbaren Instrument für Organisationen, die ein robustes und effektives ISMS etablieren möchten.

‍