Ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 ist ein strukturiertes System aus Verfahren und Regeln zur Herstellung eines hohen IT-Sicherheitsniveaus in Organisationen. Obwohl die ISO 27001 selbst keine gesetzlichen Anforderungen darstellt, orientiert sie sich an Best Practices und berücksichtigt den Kontext der jeweiligen Organisation. Die Norm wird regelmäßig aktualisiert, um den sich entwickelnden technischen Möglichkeiten und damit verbundenen Anforderungen gerecht zu werden.
Die Einführung eines ISMS ist nicht für alle Unternehmen gesetzlich vorgeschrieben, sondern nur für bestimmte Branchen, insbesondere für Betreiber kritischer Infrastrukturen (KRITIS). Zu diesen gehören Branchen wie Energieversorgung, Telekommunikation und Gesundheitswesen, die strenge Vorgaben bei der Absicherung ihrer Systeme erfüllen müssen, um Störungen in teils lebenswichtigen Sektoren zu verhindern.
Für eine Zertifizierung des Unternehmens nach ISO 27001 ist ein ISMS eine Voraussetzung. Die Zertifizierungspflicht betrifft insbesondere Netzbetreiber und ist im Energiewirtschaftsgesetz (EnWG) festgeschrieben. Darüber hinaus fordern oft Kunden, Kooperationspartner oder Verbände eine erfolgreiche ISO 27001-Zertifizierung, besonders bei großen Konzernen und im öffentlichen Sektor.
Zur erfolgreichen Implementierung und Pflege eines ISMS ist es wichtig, dass das Management die Umsetzung unterstützt, Ressourcen bereitstellt, regelmäßige Überprüfungen und Anpassungen vornimmt und sicherstellt, dass alle Mitarbeiter das ISMS verstehen und anwenden. Für die Zertifizierung prüft eine unabhängiger Auditor*in, ob die Organisation die Anforderungen der Norm einhält. Das ISMS muss an die gelebten Prozesse und Abläufe sowie an die eingesetzten Systeme und Schutzmechanismen angepasst werden, um dem aktuellen Stand der Technik zu entsprechen.
Noch ist ein ISMS für viele Unternehmen keine gesetzliche Pflicht ist, wird es dennoch empfohlen, um Risiken zu identifizieren und zu minimieren, Daten und Systeme zu schützen, Compliance-Anforderungen zu erfüllen, denn schon bald wird die NIS2 Richtlinie in die deutsche Gesetzgebung einfließen und dann werden deutlich mehr Unternehmen verpflichtet sein, rein auf Basis von Branchenangehörigkeit und Mitarbeiterzahl ein ISMS System einzuführen.
Die NIS-2 Richtlinie
Die NIS2-Richtlinie, die im Januar 2023 in Kraft getreten ist, stellt eine erweiterte und überarbeitete Version der bisherigen EU-Richtlinie über Netz- und Informationssicherheit (NIS-Richtlinie) dar. Diese Richtlinie zielt darauf ab, die Cybersicherheit in kritischen Sektoren zu stärken und innerhalb der EU ein gemeinsames Sicherheitsniveau zu erreichen.
Die NIS2-Richtlinie betrifft einen Großteil aller mittleren und großen Unternehmen, die auf dem Binnenmarkt der Europäischen Union tätig sind, einschließlich Organisationen außerhalb der EU, die für den EU-Markt von wesentlicher Bedeutung sind. Die Richtlinie definiert elf „Essential“ und sieben „Important“ Sektoren, in denen die Organisationen bzw. Unternehmen tätig sind und die ein ISMS umsetzen müssen. Zu den „Essential“ Sektoren gehören beispielsweise Energie, Transport, Bankwesen, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser und digitale Infrastruktur.
Für die Umsetzung eines ISMS im Rahmen der NIS2-Richtlinie müssen Unternehmen angemessene Sicherheitsmaßnahmen für ihre IT-Sicherheit vornehmen, einschließlich der Implementierung von Sicherheitsrichtlinien, der Identifizierung und Bewältigung von Sicherheitsvorfällen sowie der Umgangsweise mit Cyberangriffen. Die meisten dieser Anforderungen lassen sich in einem ISMS abbilden.
Unternehmen, die die Anforderungen der NIS2-Richtlinie nicht erfüllen, können mit verschiedenen Durchsetzungsmaßnahmen konfrontiert werden, darunter verbindliche Anordnungen, die Empfehlung eines Sicherheitsaudits und Verwaltungsstrafen in Höhe von bis zu 10 Millionen Euro oder zwei Prozent des gesamten, weltweit erzielten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr.
Zusammenfassend macht die NIS2-Richtlinie die Umsetzung eines ISMS für eine breite Palette von Unternehmen in Europa verpflichtend, insbesondere für solche, die in den definierten „Essential“ und „Important“ Sektoren tätig sind. Die Umsetzung muss bis zum 17. Oktober 2024 erfolgt sein.
Wenn Sie wissen wollen, ob auch Sie von NIS2 betroffen sein werden, informieren Sie sich gerne in unseren anderen Arkikeln zum Thema:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: