Als CISO und Berater für Informationssicherheit begegne ich derzeit einer wichtigen Frage:
Wie kann man Informationssicherheit in kleinen und mittelständischen Unternehmen im Zuge von NIS-2 gewährleisten?
Viele dieser Unternehmen stehen vor der Herausforderung, dass sie nicht die Ressourcen haben, um eine Zertifizierung nach ISO 27001 zu erlangen oder aufrechtzuerhalten.
Ein erster wichtiger Gedanke, der mir kommt, ist: Muss ich mich überhaupt zertifizieren lassen?
Meiner Meinung nach ist dies nicht zwingend notwendig. Lediglich hilfreich.
Der Leitgedanke in der Informationssicherheit ist, dass Unternehmen die geforderten Maßnahmen umsetzen und nachweisen können. Sicherlich, ein Zertifikat kann diesen Nachweis erleichtern, aber es bringt auch zusätzliche Aufgaben mit sich.
Die Übersicht über die einzelnen Standards zu behalten, ist keine leichte Aufgabe, insbesondere da das NIS-2-Gesetz noch nicht endgültig verabschiedet ist.
Daher dachte ich, es wäre hilfreich, die Anforderungen der ISO und des NIS-2 miteinander zu vergleichen. In meinem “CISO-Assistant”-Programm habe ich das NIS-2-Framework als Grundlage für ein Audit verwendet.
Sie fragen sich, was ein Framework ist? In diesem Kontext beziehe ich mich auf die Anforderungen, die sich aus den Standards ergeben. Bei meinem Tool ergeben sich 127 Anforderungen bei dem ISO-Audit und 13 Anforderungen bei dem NIS-2-Audit.
Das ist auf den ersten Blick überraschend.
Daher habe ich eine Gegenprobe gemacht und ein “übergreifendes Framework” verwendet.
Das “Secure Controls Framework” (SCF, https://securecontrolsframework.com/) bezeichnet sich selbst als “Metaframework”. Es versucht, die Anforderungen aus vielen gängigen Standards in einem übergeordneten Rahmen zu vereinen.
Ein kleines Beispiel dazu:
Die Forderung nach “Asset Governance” findet sich in der ISO 27002 in den Controls 5.30, 5.31 und 7.9.
Die NIS-2 behandelt das Thema in Artikel 21.2(i).
Mit dem SCF-Framework kann man leicht sehen, wo es Überschneidungen gibt.
Das “Metaframework” versucht also im Grunde, dafür zu sorgen, dass man eine Forderung, die nach ISO 27001 bereits erfüllt wurde und die dann in einem anderen Standard (NIS-2, DORA, …) ebenso gefordert wird, als “bereits behandelt” abschließen kann.
Laut dem SCF gibt es 69 Forderungen, die man für die NIS-2-Konformität erfüllen muss.
Das ist etwa die Hälfte der Forderungen aus der ISO.
Wer aktuell einen einfachen Zugang zur NIS-2-Konformität sucht, ist möglicherweise gut beraten, sich nur auf die Forderungen der NIS-2 zu konzentrieren.
Wenn man diese erfüllt und nachweisen kann, sollte das Risiko aus meiner Sicht eingegrenzt und verringert werden. Man kann schließlich nichts “fordern”, was nicht auch im Gesetz gefordert wird, oder?
Durch die Überschneidungen der beiden Normen kann man dann im zweiten Schritt an den ISO 27001-Forderungen arbeiten.
Natürlich wäre es ideal, wenn alle Unternehmen von Anfang an eine ISO 27001-Zertifizierung anstreben würden. Aber manchmal ist ein pragmatischer Ansatz gefragt, damit gerade kleinere Unternehmen nicht überfordert werden.
Ich hoffe, dass dieser Beitrag dazu beiträgt, das Verständnis für die verschiedenen Möglichkeiten zur Einhaltung der Informationssicherheits zu vertiefen.
Am Ende ist nicht wichtig, was man zertifiziert
Wichtig ist nur das, was man wirklich lebt.
Es soll Menschen geben, die auch ohne eine formale Prüfung sehr gut tanzen können.
Framing the Framework?
As a CISO and consultant for information security, the question arises: How can small and medium-sized enterprises ensure information security? Many face the challenge of lacking resources to obtain or maintain ISO 27001 certification.
A key consideration is whether certification is necessary, especially with the upcoming NIS-2 law. The guiding principle is that companies implement and demonstrate required measures. While a certificate can facilitate this, it also brings additional tasks.
Navigating the various standards is not easy, particularly as the NIS-2 law is not yet finalized. Therefore, it’s helpful to compare the requirements of ISO and NIS-2. In my “CISO-Assistant” program, I used the NIS-2 framework as a basis for an audit.
The surprising result is that there are 127 requirements in the ISO audit and 13 in the NIS-2 audit. To cross-check, I used an “overarching framework,” the “Secure Controls Framework” (SCF), which aims to unite the requirements of many common standards.
According to the SCF, there are 69 requirements to comply with NIS-2, roughly half of the ISO requirements. Those seeking a simple path to NIS-2 compliance may be well-advised to focus solely on NIS-2 requirements.
By fulfilling these and providing proof, the risk should be minimized. After all, one cannot “demand” something not required by law, right? Overlaps between the two standards allow for subsequent work on ISO 27001 requirements.
While it would be ideal if all companies pursued ISO 27001 certification from the start, a pragmatic approach is sometimes needed to prevent smaller companies from being overwhelmed. This blog post aims to deepen understanding of the various ways to comply with information security standards.