Wie schafft man einen gemeinsamen Nenner für die unterschiedliche NIS2 Umsetzung in den einzelnen EU-Ländern? Und auch noch für das in der Schweiz geltende Informationssicherheitsgesetz?
Unternehmen, welche im „DACH-Raum“, also Deutschland, Österreich und der Schweiz, tätig sind, haben es nicht leicht. Die Maßnahmen für ein hohes Cybersicherheitsniveau werden in der EU in der NIS2-Richtlinie festgelegt. Nachdem EU-Richtlinien der nationalen Umsetzung in den einzelnen Mitgliedsländern bedürfen, kann dies von Land zu Land unterschiedlich sein.
Die NIS2 EU-Richtlinie enthält als Vorgabe 10 Risikomanagementmaßnahmen. Die österreichische Umsetzung im (geplanten) NISG 2024 enthält wiederum 11 Maßnahmen mit jeweils mehreren Unterpunkten (deren Systematik nicht bei allen nachvollziehbar ist). In der Schweiz wurde zu Beginn des Jahres das Informationssicherheitsgesetz (ISG) und seine vier Ausführungsverordnungen in Kraft gesetzt; die neue Schweizer Informationssicherheitsverordnung (ISV) regelt die Aufgaben, Verantwortlichkeiten und Kompetenzen zur Gewährleistung der Informationssicherheit.
Viele Unternehmen sind, selbst wenn sie nicht direkt in die einzelnen Anwendungsbereiche fallen (beispielsweise gilt das Schweizer ISG im Wesentlichen für Behörden), indirekt, und zwar als Mitglied der Lieferkette betroffen. Dies gilt nicht nur für bestehende Lieferantenbeziehung, sondern auch, wenn das Unternehmen in Zukunft Business im DACH-Raum machen möchte.
Solche Unternehmen stehen demnach vor der Herausforderung, die EU-Vorgaben für Informationssicherheit in Form der NIS-Richtlinie, die nationalen Vorgaben in den zugehörigen Umsetzungsgesetzen und dann noch die Schweizer Vorgaben zu erfüllen.
Ein zentraler Aspekt der NIS2 Richtlinie ist die Verpflichtung zur Implementierung eines umfassenden Risikomanagementsystems für Cybersicherheit, jener des Schweizer ISG ist Einführung eines Informationssicherheits-Managementsystem (ISMS). Nachdem keine länderspezifischen Leistungen angeboten werden können, muss ein gemeinsamer Nenner gefunden werden, um die genannten länderspezifischen Vorgaben für Informationssicherheit zu erfüllen.
Die Lösung lautet ISO/IEC 27001 als international anerkannter Standard für Informationssicherheitsmanagementsysteme (ISMS). Zum leichteren Mapping zwischen den national vorgeschriebenen Maßnahmen und der ISO 27001 sind Tabellen verfügbar.