NIS-Verordnung und ISO 27001 im Kombi-Audit: CIS sieht Synergien von mehr als 80 Prozent. [...]
Mit alarmierenden Ergebnissen ließ kürzlich der russische Antiviren-Softwarehersteller Kaspersky aufhorchen: In einer Kraftwerkssteuerung hatten die Experten mehr als 50 Sicherheitslücken aufgedeckt. Das Cyber-Attacken auf strategische Ziele bereits tägliche Wirklichkeit sind, veranschaulicht auch der Hacker-Angriff auf das österreichische Außenministerium vor wenigen Wochen.
Fast 20 Jahre Zertifizierungserfahrung
Zum Schutz kritischer Infrastruktur in Bereichen wie Energie, Verkehr oder Finanzen trat im Juli 2019 die NIS-Verordnung für Netz- und Informationssystemsicherheit (NISV) als nationale Umsetzung des EU-NIS-Gesetzes in Kraft. Durch das Bundesministerium für Inneres wurde die Zertifizierungsorganisation CIS nun im Februar bevollmächtigt, als qualifizierte Stelle für NISV-Überprüfungen zu fungieren. „Die CIS blickt auf fast 20 Jahre Erfahrung mit Zertifizierungen in der Informationssicherheit – unsere Auditoren bringen Praxis- und Normwissen gezielt in die Audits ein, zum Mehrwert für die überprüften Organisationen“, betont CIS-Geschäftsführer Erich Scheiber. Betroffen sind Betreiber wesentlicher Dienste (BwD) aus Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasserversorgung sowie Betreiber digitaler Infrastruktur, die per BMI-Bescheid zuvor informiert wurden.
Strategische Ziele der Cyber-Angreifer
„Weltweit vermuten Experten hinter Cyber-Angriffen auf strategische Ziele ausländische Regierungen, die wirtschaftliche oder militärische Absichten verfolgen“, erklärt Erich Scheiber. Die Anzahl von Cyber-Angriffen, ebenso wie die Schutzanforderungen, werden weiter steigen. Entsprechend umfassend fordert die NISV Sicherheitsmaßnahmen, die aufgrund von Risikoanalysen einzuführen und mittels kontinuierlicher Verbesserung auf dem neuesten Stand zu halten sind. Inhaltlich fordert die NISV zu mehr als 80 Prozent deckungsgleiche Sicherheitsmaßnahmen wie die internationale Norm für Informationssicherheit ISO 27001. „Grundsätzlich sind alle Forderungen der NISV durch ISO 27001 abgedeckt, allerdings geht die Verordnung stellenweise tiefer ins Detail“, erklärt CIS-Auditor Robert Jamnik. Das BMI hat hierzu NIS Fact Sheets herausgebracht, die als Hilfestellung dienen.
Delta-Audit gibt Sicherheit vor NISV-Prüfung
Das erste Unternehmen, ein prominenter Betreiber wesentlicher Dienste mit langjähriger ISO-27001-Zertifizierung, wurde bereits von CIS nach den NISV-Anforderungen auditiert. „Unternehmen, die bisher schon auf hohem Niveau nach ISO 27001 zertifiziert waren, können mit relativ geringem Aufwand NISV-konform werden“, betont der CIS-Experte. Beide Regelwerke können in einem Kombi-Audit effizient geprüft werden. Ebenso wie bei ISO 27001 gibt es auch bei der NISV alle drei Jahre ein Re-Zertifizierungsaudit. Robert Jamnik ergänzt: „Für Organisationen, die auf Nummer sicher gehen wollen führt die CIS auf Wunsch zuvor Delta-Audits durch, die einen notwendigen Lückenschluss zwischen ISO 27001 und NISV detailliert aufzeigen“.
Be the first to comment