NIS2: Eine mögliche Umsetzungs- und Prüfgrundlage
- Marc Borgers
- 19. Sept. 2024
- 3 Min. Lesezeit
Die Umsetzung der NIS2-Richtlinie stellt Unternehmen vor neue Herausforderungen im Bereich der Cybersicherheit. Um diesen Prozess zu erleichtern und erste vorbereitende Schritte hin zur Compliance zu ermöglichen, wurde eine Mapping-Tabelle erstellt, die die Anforderungen der NIS2-Richtlinie mit dem ISO/IEC 27001:2022 Standard verbindet.
Die Tabelle nutzt die ISO/IEC 27001:2022 als Ausgangspunkt für die Implementierung von Best Practices, Richtlinien und Kontrollen zur Risikominimierung. Ein besonderes Augenmerk liegt dabei auf dem Anhang A, der wesentliche Sicherheitsmaßnahmen für die ISO/IEC 27001-Konformität festlegt.
Folgende Hauptbereiche werden adressiert:
Governance (Artikel 20 NIS2)
Cybersicherheits-Risikomanagement (Artikel 21 NIS2)
Meldepflichten (Artikel 23 NIS2)
Europäische Cybersicherheits-Zertifizierungssysteme (Artikel 24 NIS2)
Zu den zentralen Aspekten gehören:
Richtlinien zur Risikoanalyse und Informationssystemsicherheit
Vorfallbehandlung
Geschäftskontinuität und Krisenmanagement
Sicherheit in der Lieferkette
Netzwerk- und Informationssystemsicherheit
Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen
Grundlegende Cyberhygiene und Schulungen
Kryptografie und Verschlüsselung
Personalsicherheit und Zugangskontrolle
Es ist wichtig zu betonen, dass die Mapping-Tabelle allein nicht ausreicht, um eine vollständige NIS2-Compliance herzustellen. Sie ist vielmehr ein Hilfsmittel im Compliance-Prozess. Die praktische und nicht nur papierbasierte NIS2-Umsetzung ist ein anspruchsvoller Prozess, der typischerweise 1 bis 3 Jahre dauert. Dies unterstreicht die Notwendigkeit, frühzeitig mit der Implementierung notwendiger Maßnahmen zu beginnen.
Wenn Sie sich auf NIS2 vorbereiten möchten, bieten wir Ihnen unser Audit Coaching an, das speziell darauf ausgerichtet ist, Unternehmen zu unterstützen, die sich noch in den Anfangsphasen der Implementierung von Informationssicherheitsmaßnahmen befinden. Sollten Sie gerade erst damit beginnen, Informationssicherheit in Ihrem Unternehmen einzuführen und noch viele Fragen zu Prozessen, Vorgaben und Best Practices haben, ist dieses Coaching ideal, um Sie umfassend zu begleiten und offene Punkte zu klären.
Für Unternehmen, die bereits weiter in der Umsetzung fortgeschritten sind, empfehlen wir die Durchführung eines Voraudits oder eines internen Audits. Diese Prüfungen helfen Ihnen, den aktuellen Stand Ihrer Informationssicherheit zu bewerten, Schwachstellen zu identifizieren und gezielte Verbesserungen vorzunehmen. Sowohl das Voraudit als auch das interne Audit für NIS2 basieren auf der hier bereitgestellten Mapping-Tabelle, die eine strukturierte und effiziente Vorgehensweise gewährleistet, um die Anforderungen der EU-Richtlinie zu erfüllen.
Mit diesen drei Ansätzen – dem Audit Coaching für Einsteiger und dem Voraudit sowie internen Audit für Fortgeschrittene – bieten wir Ihnen bereits jetzt maßgeschneiderte Lösungen, um die Informationssicherheit in Ihrem Unternehmen effizient zu steigern und die NIS2-Compliance erfolgreich umzusetzen.
EU-NIS 2 (EU 2022/2555) Requirement | ISO/IEC 27001:2022 M=Main A=Annex |
Article 20: Governance | M.5.1; M.5.2; M.5.3; A.5.1; A.5.31; A.5.34; A.5.35; A.5.36; A.6.3 |
Article 21: Cyber security risk management measure - (A) Policies on risk analysis and information system security | M.4.1; M.4.2; M.4.3; M4.4; M.5.2; M.6.1.2; M.6.1.3; M.8.2; M.8.3; A.5.1 |
Article 21: Cyber security risk management measures - (B) Incident handling | A.5.24; A.5.25; A.5.26; A.5.27; A.5.28; A.6.8; A.8.16 |
Article 21: Cyber security risk management measures - (C) Business continuity, such as backup managemen and disaster recovery, and crisis management | M.8.1; M.10.1; A.5.29; A.5.30; A.8.13; A.8.14; A.8.15; A.8.16 |
Article 21: Cyber security risk management measures - (D) Supply chain security, including security-related aspects concerning the relationships between each entity and its direct suppliers or service providers | A.5.8; A.5.19; A.5.20; A.5.21; A.5.22; A.5.23; A.8.21 |
Article 21: Cyber security risk management measures - (E) Security in network and information systems acquisition, development and maintenance, including vulnerability handling and disclosure | A.5.20; A.5.24; A.5.37; A.6.8; A.8.8; A.8.9; A.8.20; A.8.21; A.8.25; A.8.26; A.8.27; A.8.28; A.8.29; A.8.30; A.8.31; A.8.32; A.8.33; A.8.34 |
Article 21: Cyber security risk management measures - (F) Policies and procedures to assess the effectiveness of cybersecurity risk- management measures | M.9.1; M.9.2; M.9.3; A.5.35; A.5.36 |
Article 21: Cyber security risk management measures - (G) Basic cyber hygiene practices and cybersecurity training | M.7.3; M.7.4; A.5.15; A.5.16; A.5.18; A.5.24; A.6.3; A.6.5; A.6.8; A.8.2; A.8.3; A.8.5; A.8.7; A.8.9; A.8.13; A.8.15; A.8.19; A.8.22 |
Article 21: Cyber security risk management measures - (H) Policies and procedures regarding the use of cryptography and, where appropriate, encryption | A.8.24 |
Article 21: Cyber security risk management measures - (I) Human resources security, access control policies and asset management | A.5.9; A.5.10; A.5.11; A.5.12; A.5.13; A.5.14; A.5.15; A.5.16; A.5.17; A.5.18; A.6.1; A.6.2; A.6.4; A.6.5; A.6.6 |
Article 21: Cyber security risk management measures - (J) The use of multi-factor authentication or continuous authentication solutions, secured voice, video and text communications 5and secured emergency communication systems within the entity, where appropriate | A.5.14; A.5.16; A.5.17; A.8.5 |
Article 23: Reporting obligations | A.5.14; A.5.25; A.5.26; A.5.27; A.6.8 |
Article 24: Use of European cybersecurity certification schemes | A.5.20; A.5.31; A.5.36 |