Das Netz- und Informationssystemsicherheitsgesetz (im Folgenden NISG genannt) hat Betreibern wesentlicher Dienste (kritische Infrastrukturen) Anforderungen hinsichtlich Sicherheitsmaßnahmen zur Erkennung, Vermeidung und Minimierung von Risiken und Sicherheitsvorfällen auferlegt. Im ersten Moment klingt dies nach weiteren gesetzlichen Anforderungen, die Unternehmen erfüllen müssen. Doch bei genauerer Betrachtung lässt sich erkennen, dass das NISG und die ISO 27001 in ihren Anforderungen Ähnlichkeiten aufweisen.
Erweiterung eines bestehenden ISMS nach ISO 27001
Ist in Ihrem Unternehmen bereits ein Informationssicherheits-Management-System (ISMS) und im Idealfall eine ISO 27001 Zertifizierung etabliert, ist es möglich, auf bestehenden Prozessen und Regelungen aufzubauen, um Anforderungen des NISG zu erfüllen.
Im Detail:
Überblick über das ISMS
- Gibt es einen Überblick über den Umfang des bestehenden ISMS?
- Sind aus internen oder externen Audits Verbesserungspotenziale bekannt, welche in Hinblick auf die Anforderungen des NISG relevant sein könnten?
Definition NISG relevanter Services
- Sind NISG relevante Services vollständig im Geltungsbereich des ISMS abgedeckt? Wenn nicht, kann der ISMS Geltungsbereich so erweitert werden, dass die NISG relevanten Services inkludiert sind?
- Sollen bei einem ISO 27001 zertifizierten ISMS die NISG relevanten Services von der Zertifizierung abgedeckt sein?
Branchenspezifische Sicherheitsmaßnahmen
- Wurden bestehende Richtlinien und Handbücher zur Informationssicherheit um branchenspezifische Sicherheitsregelungen und Maßnahmen erweitert? Branchenspezifische Sicherheitsstandards können für alle NISG relevanten Sektoren (Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und Digitale Infrastruktur) definiert werden.
Definition von oder Erweiterung bestehender Rollen und Verantwortlichkeiten
- Wurden Rollen und Verantwortlichkeiten für die NISG relevanten Services definiert?
- Wie sind die Verantwortlichkeiten in den Asset Management-Systemen/CMDBs vermerkt, um bspw schnelle Reaktionszeiten im Falle eines Vorfalls gewährleisten zu können?
Erweiterung des ISMS im Bereich Meldewesen
- Sind die behördlichen Meldestellen und der Umfang der Meldung für NISG relevante Sicherheitsvorfälle bekannt?
- Wurden die Verantwortlichkeiten für die Durchführung der Meldung definiert?
- Existieren interne Meldeprozesse, um relevante Stakeholder zu informieren?
Erweiterung des Auditprogramms
- Werden technische Compliance Checks für die NISG relevanten Services durchgeführt und können diese nachgewiesen werden?
- Wird die Effektivität von Maßnahmen für NISG relevante Services vor allem im Bereich Hardening und Patch Management regelmäßig überprüft?
Aufbau eines nach ISO 27001 zertifizierbaren ISMS, welches NISG compliant ist
Sollte noch kein ISMS nach ISO 27001 vorhanden sein, jedoch Interesse an einem solchen existieren, bietet die NISG-Implementierung die ideale Gelegenheit dazu. Im Zuge der NISG-Implementierung können Synergieeffekte zwischen ISO 27001 und NISG genutzt werden, um ein nach ISO 27001 zertifizierbares Managementsystem aufzubauen.
Wie kann KPMG unterstützen?
Das KPMG Cyber-Team hat langjährige Erfahrungen im Aufbau, der Erweiterung und Zertifizierungsbegleitung von Informationssicherheitsmanagementsystemen nach ISO 27001 und ist als Qualifizierte Stelle (QuaSte ) gemäß NISG gelistet.
Von der Planung bis zur Implementierung inkl der Durchführung von Probeaudits ist es KPMG möglich, in jedem der einzelnen Umsetzungsschritte eines ISMS zu unterstützen.
Im Falle einer bereits erfolgten Umsetzung kann KPMG sowohl qualitätssichernde Audits (ohne Zertifizierung) sowie Zertifizierungsaudits durchführen. Dabei besteht die Möglichkeit Kombinationsaudits aus ua ISO 27001, NISG und ISAE 3402 durchzuführen.
Weitere KPMG Autoren
Thomas Horn
Thomas Eder