Cybersicherheit braucht Zeit.

„Schnelle“ Umsetzung eines ISMS für die NIS2-Richtlinie ab Oktober 2024?

Die verlässliche Einführung eines ISMS dauert zusammen mit seiner Zertifizierung gerne 15 bis 36 Monate. Deshalb sollten Sie heute damit anfangen.

 

Brauche ich ein ISMS?

Grob gesagt sollten Sie sich ab 50 Mitarbeitern und 10 Mio € Umsatz aktiv informieren, ob Sie in Bälde nach den neuen § 30 Abs. 1 und § 31 aus dem Gesetzentwurf zum BSI-Gesetz ab 17. Oktober 2024 ein ISMS einführen müssen.

Mein Kollege, Markus Vatter, hat in seinem Artikel „NIS-2 Richtlinie“ im Juli detailliert erklärt, wer alles dazu verpflichtet werden soll. Daran wird sich nicht mehr viel ändern, weil es durch die EU-Richtlinie NIS2-RL 2022/2555 schon weitgehend vorgegeben wird.

Es gibt aber noch weitere Gründe, die Informationssicherheit dauerhaft aktiv aufrechtzuerhalten.

  • So ist am 03. Juli 2024 die EU-Lieferkettenrichtlinie (LK-RL 2024/1760) in Kraft getreten und die führt in Ergänzung des deutschen Lieferkettengesetzes (LkSG) nach und nach dazu, dass die großen Unternehmen schon heute ihre Geschäftspartner als Kunde oder als Auftraggeber zertifizieren lassen, um die eigenen Nachweisanforderungen zu erfüllen. Wir erleben zur Zeit, dass unsere Kunden von Ihren Geschäftspartnern verstärkt nach ISO 27001, TISAX (Automobilindustrie) etc. gefragt werden.

  • Zuletzt ist es ein ISMS Teil und Ausdruck eines funktionierenden Qualitätsmanagements, d. h. Ihre D&O- Cybersicherheits- oder Haftpflichtversicherung kann Zahlungen für Schäden verweigern, wenn Sie trotz erkennbarerer Risiken nicht durch ein ISMS vorgesorgt haben.

 

Zeit sparen durch Einschränkungen

Am meisten Zeit können Sie als Dienstleister sparen, indem Sie Ihr ISMS in der ersten Ausbaustufe einschränken. Das geht qualitativ, indem Sie statt ISO 27001 erst Mal „nur“ BSI-Standard 200-3 anwenden und quantitativ, indem Sie das ISMS nur auf die direkten Kundenprozesse anwenden, aber beispielsweise Ihre interne Verwaltung ausnehmen.

Falls später die Ansprüche in der ein- oder anderen Dimension wachsen sollten, haben Sie bereits eine Basis, auf der Sie schnell aufbauen können.

Wenn Sie jetzt schon wissen, dass Sie später in Qualität oder Quantität mehr brauchen, ist es natürlich effektiver, es gleich richtig zu machen. Aber das ISMS ist – einmal eingeführt – ein ständiger, sich selbst verbessernder Prozess, d.h. ein Upgrade ist schon mitgedacht.

 

Umsetzung

Typische Roadmap

  • 3 bis 12 Monate Einführung

  • 12 Monate erster normaler PDCA-Zyklus

  • 9 Monate Zertifizierung

Erste Schritte

Der erste Schritt ist natürlich, dass Sie festlegen, dass und in welcher Ausprägung sie ein ISMS wollen. Dann sollten Sie sich einen kompetenten Berater suchen, der Ihnen bei der Überprüfung dieser Entscheidung hilft und sie bei der Umsetzung begleitet.

D. h. er wird mit Ihnen eine Roadmap vereinbaren, wie erst Top-Down angefangen z.B. mit einer ISMS-Richtlinie die Grundlagen geschaffen werden, dann werden die Assets identifiziert und klassifiziert, die Strukturen für Umsetzung und Risikomanagement festgelegt, Kontrollmechanismen entwickelt und dann alles in den Alltag integriert.

Überprüfungszyklus

Wenn das ISMS „lebt“, durchläuft es ständig, also meist jährlich, den Kreislauf von Planen, Umsetzen, Überprüfen, Handeln, auf Englisch (Plan – Do – Check – Act, PDCA).

Zertifizierung

Nach dem ersten PDCA-Zyklus ist ein guter Zeitpunkt, um dann ggf. einen weiteren, externen Auditor zu beauftragen, der den ersten Zertifizierungsprozess mit Ihnen und Ihrem ISMS-Berater startet. Er prüft, ob Sie nicht nur alles standardisiert haben, sondern ob das auch in die Tat umgesetzt wird. Vor dem ersten durchlaufenen PDCA-Zyklus wäre sonst das Risiko zu hoch, dass die Zertifizierung misslingt und man doppelt zahlt. Sie erfolgt gewöhnlich in zwei Schritten. Zuerst werden Dokumente und Betrieb sorgfältig geprüft und dann werden Nachfragen gestellt und beantwortet. Sie gilt meist für drei Jahre, in denen kleine Zwischenprüfungen erfolgen können.

 

Weiterführend

 

Autor: Thomas Hofmann, Data Privacy Legal Consultant, 13.08.2024

Find out more here.

I will gladly advise you and look forward to receiving your questions.

Data Privacy Legal Consultant

Florian Thomas Hofmann