Mapping-Tabelle NIS2 zu ISO 27001:2022
In der Übergangsphase zur Einhaltung der NIS2-Anforderungen stehen viele betroffene Organisationen vor erheblichen Herausforderungen.
NIS-2-Richtlinie |
Um diesen Aufbau-Prozess zu unterstützen, haben wir unten eine Tabelle zusammengestellt, welche die Anforderungen von NIS2 mit den Standards der ISO 27001 in Einklang bringt. Das ISO 27001-Rahmenwerk bietet eine solide Grundlage für die Bewertung der Cybersicherheitsstrategie einer Organisation. Unsere Tabelle ist darauf ausgelegt, die Übereinstimmung einer Organisation mit den relevanten Kontrollen zu messen und somit eine Vorbereitung auf die Anpassungen der Mitgliedsstaaten zu ermöglichen.
In der untenstehenden Tabelle wird das Mapping der NIS2-Maßnahmen zur ISO/IEC 27001:2022-Norm dargestellt. ISO 27001 zielt darauf ab, ein Gerüst aus Best-Practice-Richtlinien, Verfahren und Kontrollmechanismen für die Informationssicherheit zu bieten, um das Risiko von Sicherheitsverletzungen zu minimieren. Beim Mapping der NIS2-Maßnahmen auf den ISO 27001:2022-Standard werden hauptsächlich die entsprechenden Kontrollen aus Anhang A des ISO 27001:2022-Standards herangezogen, da diese aus einer Kontrollperspektive die besten Hinweise liefern.
Auch die ISO 27002:2022 muss aus einer NIS2-Perspektive betrachtet werden müssen. ISO 27001 dient dem Aufbau der Grundlagen der Informationssicherheit und des Rahmens. ISO 27002 behandelt Implementierungskontrollen und -guidelines. ISO 27001 ist im Vergleich zu ISO 27002 nicht so detailliert, wenn es um Implementierungskontrollen und -guidelines geht. Obwohl die ISO 27002 die Details für die Implementierung der in ISO 27001 definierten Anhang A-Kontrollen liefert, ist das direkte Mapping von NIS2 auf ISO 27001 ebenfalls sinnvoll, angesichts der Rolle, die ISO 27001 bei der Schaffung der Grundlagen für Informationssicherheit spielt. Die nachfolgende Tabelle liefert einige Details des Mappings von NIS2 auf den ISO 27001:2022-Standard.
NIS2 Maßnahmen | ISO 27001:2022 |
---|---|
A Richtlinien zur Risikoanalyse und Sicherheit von Informationssystemen | 5.2 Richtlinie, 6.1.2 Bewertung von Informationssicherheitsrisiken, 6.1.3 Behandlung von Informationssicherheitsrisiken, 8.2 Bewertung von Informationssicherheitsrisiken, 8.3 Behandlung von Informationssicherheitsrisiken, Anhang A, 5.1 Richtlinien für Informationssicherheit |
B Vorfallbehandlung | Anhang A, 5.24 Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen, 5.25 Bewertung und Entscheidung bei Informationssicherheitsereignissen, 5.26 Reaktion auf Informationssicherheitsvorfälle, 5.27 Lernen aus Informationssicherheitsvorfällen, 5.28 Sammlung von Beweisen, 6.8 Berichterstattung über Informationssicherheitsereignisse |
C Geschäftskontinuität und Krisenmanagement | Anhang A, 5.29 Informationssicherheit bei Störungen, 5.30 ICT-Bereitschaft für Geschäftskontinuität, 8.13 Informationssicherung, 8.14 Informationssicherung |
D Sicherheit der Lieferkette | Anhang A, 5.19 Informationssicherheit in Lieferantenbeziehungen, 5.20 Berücksichtigung der Informationssicherheit in Lieferantenvereinbarungen, 5.21 Verwaltung der Informationssicherheit in der ICT-Lieferkette, 5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendiensten, 5.23 Informationssicherheit bei Nutzung von Cloud-Diensten |
E Netzwerk- und Informationssystembeschaffung | Anhang A, 5.37 Dokumentierte Betriebsverfahren, 8.8 Management von technischen Schwachstellen, 8.9 Konfigurationsmanagement, 8.20 Netzwerksicherheit, 8.21 Sicherheit von Netzwerkdiensten |
F Richtlinien zum Management von Cybersicherheitsrisiken | 9.1 Überwachung, Messung, Analyse und Bewertung, 9.2 Internes Audit, 9.3 Managementbewertung, Anhang A, 5.35 Unabhängige Überprüfung der Informationssicherheit |
G Cyberhygiene und Schulungen zur Cybersicherheit | 7.3 Bewusstsein, 7.4 Kommunikation, Anhang A, 6.3 Sensibilisierung, Bildung und Schulung zur Informationssicherheit |
H Kryptographie und Verschlüsselung | Anhang A, 8.24 Einsatz von Kryptographie |
I Personalwesen und Asset-Management | Anhang A, 5.9 Bestandsaufnahme von Informationen und anderen zugehörigen Vermögenswerten, 5.10 Akzeptabler Gebrauch von Informationen und anderen zugehörigen Vermögenswerten, 5.15 Zugriffskontrolle, 5.16 Identitätsmanagement, 5.17 Authentifizierungsinformationen, 5.18 Zugriffsrechte, 6.1 Überprüfung, 6.2 Arbeitsbedingungen, 6.4 Disziplinarverfahren, 6.5 Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses, 6.6 Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
J Multi-Faktor-Authentifizierung und sichere Kommunikation | Anhang A, 5.14 Übertragung von Informationen, 5.16 Identitätsmanagement, 5.17 Authentifizierungsinformationen |
Das könnte Sie auch interessieren:
- 28.11.2023: Umsetzung der NIS-2 - Richtlinie