NIS2 und ISO 27001: Ein praktischer Abgleich zur Umsetzung der NIS2-Richtlinie in der Praxis
Einen Überblick über NIS2 und dessen Systematik hatten wir bereits im letzten Blog-Beitrag gegeben. Die NIS2-Richtlinie und dessen deutsches Umsetzungsgesetz bringt neue Standards für die Cybersicherheit in der EU und fordert Unternehmen, robuste Maßnahmen zur Risikominimierung und Sicherheit in ihren Systemen umzusetzen. Insbesondere kritische Sektoren sind stark von den Anforderungen betroffen. Hier kommt das Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 ins Spiel: Mit einem strategisch implementierten ISMS können die meisten NIS2-Vorgaben effektiv erfüllt werden.
NIS2 und ISO 27001: Warum ein Abgleich wichtig ist
ISO 27001 ist die international führende Norm für Informationssicherheitsmanagementsysteme, weil dieses auf einer risikobasierten Planung, Umsetzung und Verbesserung von Sicherheitsmaßnahmen beruht. Viele Anforderungen der NIS2-Richtlinie lassen sich somit durch die ISO 27001-Kontrollen abdecken. Allerdings gibt es auch spezifische NIS2-Forderungen, die zusätzliche Maßnahmen oder Anpassungen verlangen, so dass ein Abgleich der beiden Systeme Klarheit darüber schaffen soll, wo ISO 27001 ausreicht und wo zusätzliche Schritte erforderlich sind.
Die Vorteile eines integrierten Ansatzes
Ein ISMS nach ISO 27001 bietet Ihnen eine solide Basis, um die Anforderungen der NIS2 umzusetzen. So profitieren Sie von bewährten Standards und können gleichzeitig die Compliance mit den NIS2-Richtlinien sicherstellen. Ein integrierter Ansatz spart Ressourcen und erleichtert das Management von Risiken. Wenn Sie ein standardisiertes ISMS implementieren, reduzieren Sie nicht nur Ihre Risiken, sondern stärken auch Ihre Unternehmensresilienz. Gleichzeit erfüllen Sie damit gesetzliche Vorgaben.
Tabelle: NIS2-Vorgaben und zugehörige ISO 27001-Kontrollen
| NIS2 Vorgabe | Fundstelle | Entsprechendes ISO 27001 Kapitel oder ISO 27002 Control | Anforderung erfüllt? |
|---|---|---|---|
| Dokumentation und Berichtspflichten | §30 (1) Satz 3 | 7.5 Dokumentierte Informationen 6.1.3, 8.3 Vorfallsmanagement | ✅ ISO 27001 fordert umfassende Dokumentation der Sicherheitsmaßnahmen. |
| Sicherheitsrichtlinien und -prozesse | §30 (2) Satz 1 | 6.1, 8.2, 8.3, A.5.29, A.5.30, A.5.31, A.5.32 Risk Management, BCM, Compliance | ✅ NIS2 fordert einen gefahrenübergreifenden Ansatz, die Berücksichtigung des Stands der Technik sowie die Einhaltung von einschlägigen Normen. Doch die Risikobewertung aus ISO 27001 und ergänzende Controls sollten dies sicherstellen. |
| Risiko- und Sicherheitsbewertung | §30 (2) Nr. 1 | 6.1, 8.2, 8.3 Risk Assessment A.5.1 – A.5.4 IS-Konzepte | ✅ ISO 27001 behandelt Risikobewertungen umfassend und fordert Konzepte für die Informationssicherheit. NIS2 verlangt regelmäßige umfassende Risikoanalysen für kritische Systeme. |
| Vorfallsmanagement | §30 (2) Nr. 2 | A.5.2, A.5.24 – A.5.30, A.6.8 Vorfallsmanagement | ✅ ISO 27001 fordert bereits ein umfangreiches Vorfallsmanagement. |
| Resilienz, Notfallwiderherstellung, Incident Response und Krisenmanagement | §30 (2) Nr. 3 | 6.1, 8.2, 8.3 Risk Management, A.5.29, A.5.30, A.8.6, A.8.13, A.8.14, A.8.16 Vorfallsmanagement, Business Continuity, Backup-Management | ❌ ISO 27001 deckt Incident Management ab. NIS2 erfordert jedoch erweitertes Krisenmanagement, was durch Notfalltests und regelmäßige Notfallplanung ergänzt werden sollte. Hierbei kann sich an ISO 22301 Business Continuity Management (BCM) orientiert werden. |
| Lieferantenmanagement | §30 (2) Nr. 4 | A.5.19 – A.5.23 Lieferantenmanagement | ✅ ISO 27001 fordert bereits ein umfangreiches Lieferantenmanagement. |
| Sicherheit bei Erwerb, Entwicklung und Wartung sowie Management und Offenlegung von Schwachstellen | §30 (2) Nr. 5 | A.5.19 – A.5.23 Lieferantenmanagement A.5.8, A.8.25 – A.8.34 Sicherheit bei Entwicklung A.7.13, A.8.9, A.8.19, A.8.31, A.8.32 Sicherheit bei der Wartung A.5.7, A.8.8 Schwachstellenmanagement | ✅ ISO 27001 dürfte rechtliche Vorgaben abdecken. |
| Bewertung von Risikomanagementmaßnahmen | §30 (2) Nr. 6 | 9.1 – 9.3, A.8.34 Bewertungen und interne Audits | ✅ ISO 27001 dürfte rechtliche Vorgaben abdecken. |
| Cyberhygiene, Awareness und Training | §30 (2) Nr. 7 | 7.2, 7.3, A.6.3, A.6.5 Awareness A.7.7 Clean Desk und Screen | ✅ ISO 27001 sieht regelmäßiges Awareness vor und trägt ergänzend zur Cyberhygiene bei. |
| Kryptographie | §30 (2) Nr. 8 | A.5.14 Informationsübermittlung A.8.20, A.8.21 Netzwerksicherheit A.8.24 Kryptographie | ✅ ISO 27001 dürfte rechtliche Vorgaben abdecken. |
| Personalsicherheit, Zugriffsmanagement, Asset Management | §30 (2) Nr. 9 | 7.2, 7.3, A.5.20, A.6.1 – A.6.7 Awareness und Personalsicherheit A.5.8, A.5.14, IS im Projektmanagement und bei der Informations- übermittlung A.5.9 – A.5.13, A.7.9, A.7.10, A.7.14, A.8.3, A.8.10 Asset Management A.5.15 – A.5.18 Access Control, Identity Management, Authentisierung | ✅ NIS2 fordert Maßnahmen bzgl. Personalsicherheit, Zugriffkontrollen und Asset Management. Diese können durch den ISO-Standard erfüllt werden. |
| 2FA, sichere Kommunikation und Notfallkommunikation | §30 (2) Nr. 10 | A.5.17, A.8.5 Authentisierung A.8.24 Kryptographie A.8.20, A.8.21 Netzwerksicherheit A.8.12 Verhinderung von Datenlecks A.8.14 Redundanz | ❌ ISO 27001 dürfte das meiste erfüllen, allerdings sollte bzgl. Notfallkommunikation nochmal nachgeschärft werden. Hierbei kann sich an ISO 22301 Business Continuity Management (BCM) orientiert werden. |
| Besondere Maßnahmen für Betreiber von kritischer Anlagen | §31 (1) | 6.1, 8.2, 8.3 Risikomanagement | ✅ Das in der ISO 27001 vorgesehene Risikomanagement dürfte rechtliche Vorgaben abdecken. |
| Angriffserkennung durch Betreiber von kritischer Anlagen | §31 (2) | u.a. A.5.24 – A.5.30 Vorfallsmanagement A.7.1 – 7.5 Physischer Schutz A.8 Technologische Maßnahmen | ✅ ISO 27001 dürfte rechtliche Vorgaben abdecken. |
| Meldung und Weitergabe von Bedrohungen | §32 (1) | A.5.24 – A.5.30 Vorfallsmanagement | ❌ ISO 27001 fordert zwar die Behandlung von IS-Vorfällen, sieht aber derzeit noch keine Meldung vor. Empfehlung: Es sind spezifische Protokolle für die Meldung und den Austausch von Bedrohungsdaten mit Behörden zu entwickeln. |
| Registrierungspflicht für besonders wichtige und wichtige Einrichtungen sowie für weitere besondere Einrichtungen, Einrichtung von Kontakstellen bei KRITIS | §33 (1), §33 (2), §34(1) | A.5.5 Kontakt mit Behörden A.5.31 Compliance | ✅ ISO 27001 fordert die Einhaltung geltender Gesetze. Registrierung müsste dann aber gesondert vorgenommen werden. |
| Unterrichtungspflicht gegenüber Kunden | §35 (1) u. (2) | A.5.26 Reaktion auf Vorfälle A.5.31 Compliance | ✅ ISO 27001 sieht eine Reaktion auf IS-Vorfälle vor. Diese muss gemäß der gesetzlichen Vorgaben umgesetzt werden. |
| Verantwortung und Schulung der Geschäftsführung | §38 (1) u. (3) | 7.2, 7.3, A.6.3 Awareness 5.1, A.5.2 Verantwortung für Informationssicherheit | ✅ ISO 27001 dürfte rechtliche Vorgaben abdecken. |
NIS2 und ISO 27001: Eine sichere und nachhaltige Kombination
Mit einem durchdachten ISMS und einigen wenigen Ergänzungen, schaffen Sie die Grundlage für eine langfristige NIS2-Konformität und eine robuste Informationssicherheitsstrategie. Unsere Experten unterstützen Sie gerne bei der Implementierung eines maßgeschneiderten ISMS nach ISO 27001 und beraten Sie bei der Anpassung an die NIS2-Vorgaben. So bleiben Sie rechtlich abgesichert und schützen Ihre Systeme proaktiv vor potenziellen Bedrohungen.
Kontaktieren Sie uns und erfahren Sie, wie wir Sie bei der Umsetzung von NIS2 und ISO 27001 unterstützen können.
Bei Fragen dazu steht Ihnen Maurice Oettel zur Verfügung:
Maurice Oettel
zertifizierter Datenschutzbeauftragter und Datenschutzauditor
zertifizierter Informationssicherheitsbeauftragter
