Warum die ISO-27001-Norm für KRITIS ein Muss ist

ISO 27001, die international anerkannte Norm für Informationssicherheit, bietet einen Rahmen für Organisationen, die Risiken minimieren und Compliance sicherstellen wollen oder müssen. Sie ist auch eine Grundlage für KRITIS-Organisationen. 

Wofür steht KRITIS? 

Kritische Infrastrukturen (KRITIS) sind Einrichtungen und Dienste, die für das Funktionieren der Gesellschaft von wesentlicher Bedeutung sind, etwa Energieversorgung, Wasserversorgung, Telekommunikation, Transport, Gesundheitswesen und Finanzwesen. Verfügbarkeit und Zuverlässigkeit dieser Infrastrukturen sind essenziell wichtig für die öffentliche Sicherheit und das Wohlergehen aller. 

Die KRITIS-Regulierung verpflichtet die Betreiber kritischer Infrastrukturen in Deutschland mit dem IT-Sicherheitsgesetz zu Cybersicherheit in KRITIS-Anlagen. Dadurch soll die Versorgung der Gesellschaft und Wirtschaft in den KRITIS-Sektoren in Deutschland geschützt werden. 

Welche Gefahren bedrohen KRITIS? 

Kritische Infrastrukturen (KRITIS) unterliegen aufgrund ihrer Bedeutung für das Gemeinwesen einem besonders hohen Risiko. Bedrohungen können zu Störungen und Ausfällen führen, die schwere gesamtgesellschaftliche Folgen nach sich ziehen. Solche Bedrohungen sind beispielsweise:  

• Naturkatastrophen wie Überschwemmungen, Erdbeben, Stürme und Waldbrände 
• menschengemachte Katastrophen wie Terroranschläge, Sabotage oder kriminelle Aktivitäten 
• Cyberangriffe auf KRITIS-Systeme 
• technisches Versagen von Systemen, Maschinen oder Geräten 
• Versorgungsunterbrechungen (etwa bei Wasser oder Strom)   

Um sich gegen Bedrohungen zu wappnen, müssen KRITIS-Organisationen geeignete Maßnahmen ergreifen, die die Sicherheit und Resilienz ihrer Systeme und Dienstleistungen gewährleisten. Die Einhaltung von Informationssicherheitsstandards, wie der ISO 27001 Norm, gehört dazu. 

Welche Bedeutung hat ISO 27001 für KRITIS? 

Die ISO-27001-Norm regelt die Grundlagen der Informationssicherheit. Sie bietet Organisationen unabhängig von ihrer Größe und Branche einen Rahmen für die Implementierung eines Informationssicherheits-Management-Systems (ISMS). Dieses dient dazu, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. Organisationen, die ISO 27001 implementieren, können Risiken identifizieren, Maßnahmen entwickeln, um diese Risiken zu minimieren oder zu beseitigen, und ein Kontrollsystem einrichten, das die Einhaltung der Sicherheitsmaßnahmen überwacht. 

Für KRITIS-Organisationen ist es besonders wichtig, ISMS-Standards einzuhalten. Ein KRITIS-ISMS ist unverzichtbar, und ein Ausfall kann schwerwiegende Auswirkungen auf die Organisationhaben.   

Die Zertifizierung nach ISO 27001 zeigt, dass eine Organisation ein funktionierendes ISMS implementiert hat und ihren Verpflichtungen zur Informationssicherheit nachkommt. Das sorgt nicht nur für mehr Vertrauen bei Kunden, Geschäftspartnern und anderen Interessengruppen, sondern verbessert auch die Reputation und hilft im Prozess der Nachweise für die KRITIS-Prüfung. Für KRITIS-Organisationen, die ein hohes Maß an Verantwortung tragen, ist dies daher unabdingbar. 

Warum sollten sich KRITIS-Organisationen nach ISO 27001 zertifizieren lassen? 

Die Zertifizierung nach ISO 27001 bringt wichtige Vorteile mit sich, die vor allem für KRITIS-Organisationen nutzbringend sind. Einige der wichtigsten sind: 

• Verbesserung der IT-Sicherheit:  
  

  KRITIS-Organisationen, die die Regelungen der ISO 27001 implementieren, können ihre IT-Sicherheit erhöhen und sich dadurch besser gegen Cyberangriffe und andere IT-Sicherheitsbedrohungen schützen. 

• Erfüllung von Compliance-Anforderungen: 

  Die Zertifizierung nach ISO 27001 hilft KRITIS-Organisationen dabei, Compliance-Anforderungen und die Erwartungen ihrer Kunden und Partner zu erfüllen. 

• Erhöhung des Vertrauens:  
  

  Durch die Zertifizierung zeigen KRITIS-Organisationen, dass sie sich ernsthaft um Informationssicherheit kümmern und bereit sind, sich an international anerkannten Standards zu orientieren. 

• Risikomanagement:  
  

  KRITIS-Organisationen, die die Anforderungen der ISO 27001 umsetzen, verstehen ihre Risiken im Zusammenhang mit Informationssicherheit besser und können geeignete Maßnahmen ergreifen, um diese Risiken zu reduzieren. 

• Wettbewerbsvorteil:  
  

  Die Zertifizierung nach ISO 27001 verschafft KRITIS-Organisationen einen Wettbewerbsvorteil, da sie zeigen können, dass sie in der Lage sind, ihren Kunden und Partnern mehr Sicherheit zu bieten als andere. 

KRITIS-Organisationen tun gut daran, sich genauer mit den Vorteilen einer ISO-27001-Zertifizierung zu befassen und eine Umsetzung zügig anzugehen. 

Wie können sich KRITIS-Organisationen nach ISO 27001 zertifizieren lassen? 

Um die ISO 27001 Norm erfolgreich zu implementieren, müssen Organisationen bestimmte Schritte durchführen: 

• Festlegung des Anwendungsbereichs:

  Grundsätzlich legt ein Unternehmen den Bereich, in dem ein ISMS bestimmte Risiken managt, selbst fest. Dieser ist von anderen Bereichen, der anderweitig oder sogar gar nicht gemanagt wird, abgegrenzt. Bei KRITIS-Unternehmen sollte jedoch in jedem Fall der gesamte Geltungsbereich der KRITIS Anlage im Anwendungsbereich inkludiert sein.  

• Asset Management:

  Besonder bei KRITIS-Anlagen müssen Risiken angemessen identifiziert und behandelt werden. Daher müssen alle Assets (Informationswerte) in den identifizierten Prozessen und mit entsprechenden Verantwortlichkeiten gemanagt werden. 

• Risikomanagement:  
  

  Jede Organisation muss hier u.a. die Risiken identifizieren und analysieren, die die Informationssicherheit bedrohen können, und deren Eintrittswahrscheinlichkeit und den potenziellen Schaden bewerten. Mehr zum Risikomanagement nach ISO 27001 erfahren Sie hier. 

• Entwicklung und Implementierung von Sicherheitsmaßnahmen:  
  

  Jede Organisation muss im Rahmen der Risikobehandlung, falls die Organisation sich unter den möglichen Optionen für KRITIS Betreiber (Vermeidung und Akzeptanz) für die Riskobehandlung dazu entscheidet, die Risiken zu minimieren oder eliminieren; sind entsprechende Sicherheitsmaßnahmen festzulegen und diese im nächsten Schritt implementieren. Die ISO 27001 spezifiziert diese Maßnahmen in ihren Controls aus Anhang A.  

• Schulungen:  

  Die Belegschaft der Organisation muss mit Blick auf Sicherheitsmaßnahmen und Informationssicherheit geschult werden. 

• Interne Audits:

  Jede Organisation muss überprüfen, ob ihr Informationssicherheits-Managementsystem (ISMS) den Anforderungen der ISO 27001 entspricht. 

• Management Review:

  Das es sich bei der Implementierung und Instandhaltung eines ISMS um einen Top-Down-Ansatz handelt, ist es notwendig, dass das Management stets über Verbesserungen und Abweichungen informiert ist. Einmal jährlich sollte daher ein Management Review stattfinden, in dem über die Effektivität des ISMS und Stand der KPIs informiert wird. Üblicherweise geschieht dies nach dem internen Audit. 

• Zertifizierung:  

  Die Organisation beauftragt einen unabhängigen Zertifizierer, der die Konformität mit der ISO 27001 prüft und bestätigt. 

• Aufrechterhaltung des ISMS:

  Die Aufrechterhaltung und Pflege des ISMS ist entscheidend um durchgehende Informationssicherheit zu gewährleisten. Hier ist es empfehlenswert sich an dem PDCS-Zyklus zu orientieren, Zudem müssen weitere interne Audits, Überwachungsaudits und Rezertifizierungsaudits zur Aufrechterhaltung der Zeritifzierung durchgeführt werden..

Welche Rolle spielt die neue NIS-2-Richtlinie für KRITIS-Organisationen?  

Die NIS-2-Richtlinie (Network and Information Systems Directive) wurde im Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht. Sie trat im Januar 2023 in Kraft und ersetzt die NIS-Richtlinie von 2016. Die Mitgliedstaaten müssen die Richtlinie innerhalb von 21 Monaten, bis einschließlich Oktober 2024, nach ihrem Inkrafttreten in nationales Recht umsetzen. 

Die NIS2-Richtlinie reguliert Organisationen mit 50 und mehr Mitarbeitenden sowie einem Jahresumsatz von mindestens zehn Millionen Euro (Essential und Important Entities) in 18 Sektoren und verpflichtet sie zur Umsetzung von Maßnahmen der Cyber Security. Die Richtlinie legt fest, dass KRITIS-Organisationen bestimmte Mindestanforderungen an Cyber Security erfüllen müssen, um ihre IT und Netzwerke zu schützen und die Auswirkungen von Sicherheitsvorfällen, Störungen und Cyberbedrohungen zu minimieren. Die NIS2-Richtlinie betrifft mehr Sektoren und Dienstleistungsbereiche als ihre Vorgängerversion, außerdem enthält sie Neuerungen, die unter anderem strengere Vorschriften für die Meldung von Vorfällen und die Zusammenarbeit zwischen den Mitgliedstaaten vorsieht.  

KRITIS-Organisationen müssen nach der NIS2-Richtlinie unter anderem folgende Maßnahmen ergreifen:

• Risiken im Zusammenhang mit Informationswerten zu managen; 
• geeignete Maßnahmen zur Gewährleistung von Sicherheit und Resilienz ihrer Systeme und Dienstleistungen einführen; 

• Melde- und Reaktionsverfahren bei Sicherheitsvorfällen einhalten; 
• mit nationalen Behörden und anderen beteiligten Parteien zusammenarbeiten. 

Wie hängen ISO 27001 und NIS 2 zusammen? 

Grundsätzlich haben die NIS2-Richtlinie und die ISO-27001-Norm viele Gemeinsamkeiten, direkt vergleichen lassen sich die beiden jedoch nicht. Das hat den Grund, als dass es sich bei der NIS2 um eine europäische Richtline handelt, die erst nach Überführung in nationales Gesetz unmittelbare Geltung für Unternehmen erlangt. Die ISO 27001 hingegen ist ein internationaler Standard für Informationssicherheit, nach dem sich Unternehmen freiwillig zertifizieren lassen können. 

Zwischen NIS2 und ISO 27001 bestehen dahingehend Gemeinsamkeiten, als dass beide dazu beitragen die Cyber- und Informationssicherheit von Organisationen zu verbessern und Maßnahmen festlegen, die die Sicherheit und Resilienz von Informationswerten gewährleisten. 

Die ISO 27001 Norm, international anerkannter Sicherheitsstandard, hilft KRITIS-Organisationen dabei, die Anforderungen der NIS-2-Richtlinie zu erfüllen. Dafür sorgt ein vorgegebener Rahmen für die Umsetzung von Sicherheitsmaßnahmen. Die Einhaltung der ISO 27001 Norm ermöglicht KRITIS-Organisationen, ihre Netzwerke und Informationssysteme noch effektiver zu schützen und die Auswirkungen von Sicherheitsvorfällen zu begrenzen.  

Obwohl die beiden Regelwerke unterschiedliche Ansätze verfolgen, ergänzen Sie sich und tragen dazu bei, die Cybersicherheit von KRITIS-Organisationen zu verbessern.  

Wie unterstützt DataGuard KRITIS-Organisationen?  

DataGuard ist der Spezialist für Informations- und Cybersicherheit. Ein ganzes Team an Fachleuten bietet Expertenwissen und Best Practices aus einer Vielzahl von Projekten und Assessments, zum Beispiel: 

• Beratung und Schulung:  
  KRITIS-Organisationen können auf das Know-how von DataGuard zugreifen, um sich bei der Entwicklung von Sicherheitsstrategien und der Implementierung von Maßnahmen zur Verbesserung der Informationssicherheitauf Basis der ISO 27001 unterstützen zu lassen. 
• Risikobmanagement:  
  Mit Unterstützung von DataGuard können KRITIS-Organisationen ihre Risiken in Bezug auf Informationssicherheit verstehen, bewerten und geeignete Maßnahmen aus der ISO 27001 zu deren Reduzierung ergreifen.  
• Unterstützung bei der Umsetzung von ISO 27001:  
  DataGuard hilft KRITIS-Organisationen dabei, die Anforderungen der ISO-27001-Norm zu erfüllen und die Zertifizierung zu erlangen.  
• Incident-Response-Management:  
  KRITIS-Organisationen können mit der Hilfe von DataGuard schneller und effektiver auf Vorfälle reagieren und die Auswirkungen von Vorfällen minimieren. 

• Datenschutz-Management:  
  DataGuard hilft KRITIS-Organisationen dabei, Datenschutzgesetze einzuhalten und Datenschutzprogramme zu verbessern.  

DataGuard’s Lösung Informationssicherheit-as-a-Service kombiniert die oben genannten Services in einer hybriden Lösung aus digitaler Verwaltung und Management und persönlicher Beratung zur Informationssicherheit.  

Fazit

Kritische Infrastrukturen (KRITIS) sind aufgrund ihrer Bedeutung für die Gesellschaft und Wirtschaft besonders schutzbedürftig. Regulierungen wie das IT-Sicherheitsgesetz und die NIS-2-Richtlinie bilden dies ab. 

Die ISO-27001-Norm bietet KRITIS-Organisationen die Grundlage, die sie brauchen, um die hohen Anforderungen an Sicherheit zu erfüllen und Vertrauen bei Kunden, Geschäftspartnern und anderen interssierten Parteien zu schaffen.  

Möchten Sie wissen, wie Sie kritische Infrastrukturen schützen können? Wollen Sie mehr über die ISO 27001 erfahren oder streben Sie eine Zertifizierung an? Wir bei DataGuard helfen Ihnen gerne weiter – wenden Sie sich noch heute an einen unserer Experten für Informationssicherheit.