Wenn es aktuell um NIS2 geht, kommt auch immer wieder der Begriff ISO 27001 ins Spiel. Viele Unternehmen fragen sich daher, ob sie im Zuge der neuen Anforderungen automatisch dazu verpflichtet sind, ein entsprechendes Managementsystem einzuführen.

ISO 27001 ist ein international anerkannter Standard für ein Informationssicherheits-Managementsystem (ISMS). Vereinfacht gesagt beschreibt die Norm, wie Unternehmen ihre Daten und Systeme – also beispielsweise IT-Infrastruktur und Netzwerke – proaktiv schützen können. Gleichzeitig legt sie fest, wie Prozesse rund um die Informationssicherheit dokumentiert, überwacht und kontinuierlich verbessert werden.

Eines vorweg: Wer in der NIS2-Richtlinie explizit nach der Aussage sucht, dass ein ISMS verpflichtend eingeführt werden muss, wird diese so nicht finden.

NIS2 fordert stattdessen, dass Unternehmen ein strukturiertes Risikomanagement etablieren, geeignete technische und organisatorische Maßnahmen umsetzen und klare Verantwortlichkeiten festlegen. Die eigentliche Herausforderung liegt daher nicht in der Frage, ob ein ISMS eingeführt werden muss, sondern darin, wie sich die Anforderungen von NIS2 strukturiert, nachhaltig und nachvollziehbar umsetzen lassen.

Genau an dieser Stelle kommt ISO 27001 ins Spiel. Die Norm bietet einen etablierten Rahmen, um die Anforderungen von NIS2 systematisch zu strukturieren, zu dokumentieren und vor allem nachweisbar zu machen – gegenüber dem Management, gegenüber Behörden und auch gegenüber den eigenen Mitarbeitern.

Insbesondere bei der strukturierten Dokumentation von Prozessen und der Einführung von Schutzmaßnahmen zeigt sich in der Praxis der Mehrwert eines solchen Ansatzes. Unternehmen sind gezwungen, sich intensiv mit ihrer bestehenden Infrastruktur auseinanderzusetzen. Dabei werden häufig Schwachstellen sichtbar, die zuvor nicht erkannt wurden. Beispielsweise können im Rahmen einer Asset-Inventarisierung Systeme oder Software identifiziert werden, die nicht mehr benötigt werden, aber weiterhin betrieben werden oder ungepatcht sind und somit ein Sicherheitsrisiko darstellen. Ebenso kommt es häufig vor, dass Wartungsverträge über Jahre hinweg weiterlaufen, obwohl die entsprechende Software längst nicht mehr im Einsatz ist. Gerade in größeren Organisationen können durch diese Transparenz erhebliche Einsparpotenziale getroffen werden.

Ein weiterer zentraler Vorteil eines ISMS liegt in der Nachweisbarkeit. In der Praxis zeigt sich immer wieder ein grundlegendes Problem: Sicherheitsmaßnahmen sind zwar vorhanden, jedoch nicht ausreichend dokumentiert. Im Ernstfall führt dies dazu, dass Unternehmen nur schwer belegen können, welche Maßnahmen tatsächlich umgesetzt wurden. gewinnt genau dieser Punkt an Bedeutung, da im Falle eines Sicherheitsvorfalls geprüft wird, ob angemessene Maßnahmen vorhanden waren und wie diese umgesetzt wurden. Häufig gilt dabei sinngemäß: Was nicht dokumentiert ist, gilt als nicht umgesetzt.