ISO 27001 für KRITIS
Die Cybersecurity-Standards der ISO 27000-Familie definieren für viele Industrien die Grundlagen für ein Management-System zur Steuerung von Informationssicherheit (ISMS). Daneben gibt es Standards für viele weitere Aspekte wie Risiko-Management und Vorgaben für bestimmte Branchen und Technologien. Sicherheitsmaßnahmen sind in ISO-Kontrollen definiert.
ISO 27001 dient als Schablone für die Zuordnung verschiedener Security-Standards in den OpenKRITIS-Mappings für KRITIS, NIS2, NIS2 Implementing Act und DORA.
Mapping von Cyber Security Standards und KRITIS
Abgleich von BSI KRITIS, C5, ISO 27001 und TKG Katalog 2.0.
PDF ∙
OpenKRITIS-Analyse von KRITIS-Standards ∙ 2024
ISO 27000 Standards
ISO 27001 und 27002
Der zertifizierbare Standard für Managementsysteme ISO/IEC 27001:2022 enthält Anforderungen an die Planung, Implementierung, Betrieb und kontinuierliche Verbesserung eines ISMS. Für das Management von Informationssicherheitsrisiken umfasst der Annex A des Standards sogenannte Kontrollen mit diversen Sicherheitsmaßnahmen.
ISO 27001 und die zugehörigen Best Practices aus ISO/IEC 27002:2022 wurden mit der letzten Revision in 2022 vollständig überarbeitet. An den Anforderungen an das Managementsystem aus Kapitel 4-10 gab es nur wenige Änderungen; der Annex A des Standards wurde in vier Bereiche und 93 Kontrollen umstrukturiert und die Kontrollen überarbeitet.
| Kapitel | Bereich und Domänen | Kontrollen |
|---|---|---|
| 4-10 | Managementsystem | Anforderungen |
| Annex A.5 | Organisation | 37 |
| Annex A.6 | Personelle Sicherheit | 8 |
| Annex A.7 | Physische Sicherheit | 14 |
| Annex A.8 | Technologien | 34 |
Für Branchen und Technologien wie Cloud, Telekommunikation und Energie gibt es Erweiterungen der ISO 27001-Kontrollen in Form der ISO 2701X Standards. Diese Codes of practices wie ISO 27011, ISO 27017 und ISO 27019 können nicht eigenständig zertifiziert werden, erlauben Betreibern jedoch eine spezifische(re) Auswahl an Sicherheitskontrollen.
Zum ISMS-Abgleich helfen Mappings gegen andere Standards und Regelwerke.
ISO 2701X Technologien
Die ISO 2701X-Standards sind Empfehlungen für Betreiber bestimmter Dienste und Technologien und enthalten als Code of practice zusätzliche Controls. Diese erweitern das grundlegende Managementsystem nach ISO 27001/27002 um technologie- und branchenspezifische Themen und können von KRITIS-Betreibern als Ergänzung für Branchenspezifika genutzt werden.
| Familie | Standards | Technologien |
|---|---|---|
| ISO 27001 | ISO 27011 | Telekommunikation |
| ISO 27001 | ISO 27017 | Cloud |
| ISO 27001 | ISO 27018 | Datenschutz Cloud |
| ISO 27001 | ISO 27019 | Energie |
| ISO/IEC | IEC 62443 | Industrieanlagen |
2701X-Controls ändern und ergänzen die Anforderungen bestehender ISO 27001-Kapitel bzw. Annex-A-Domänen und -Kontrollen. Die Empfehlungen erweitern das zugrundeliegende Management-System nach ISO 27001 – sie stellen keinen eigenen, zertifizierbaren Standard dar.
- ISO 27011 Telekommunikation: ISO/IEC 27011:2024 ist eine Empfehlung für Anbieter von Telekommunikationsnetzen und -diensten mit 14 eigenen Controls und telko-spezifischer Ergänzung der nativen ISO-Kontrollen. Die Version spiegelt bereits die neue Struktur der ISO/IEC 27001:2022 wider.
- ISO 27017 Cloud: ISO/IEC 27017:2015 ist eine Empfehlung für Betreiber von Cloud-Diensten.
- ISO 27018 Datenschutz in Cloud: ISO/IEC 27018:2018 ist eine Empfehlung für den Schutz personenbezogener Daten bei Public Cloud Anbietern.
- ISO 27019 Energie: ISO/IEC 27019:2017 ist eine Empfehlung für Energieversorger, die Controls mit Schwerpunkt Prozesssteuerung, PLCs, Kommunikation, Smart Meters, Energie-Management, Smart Grids und angepasste Risiko-Methodiken enthält.
ISO und KRITIS/NIS2
Mapping
OpenKRITIS-Mappings helfen, ISMS und umgesetzte ISO 27001 Maßnahmen anderen Standards der Informationssicherheit zuzuordnen. Neben vielen Übereinstimmungen gibt es einige Lücken zwischen den Regelwerken, die dann mit Maßnahmen behandelt werden sollten:
- Zuordnung der einzelnen NIS2-Anforderungen aus dem deutschen NIS2-Umsetzungsgesetz zu Standards: BSI KRITIS-Maßnahmen, ISO 27001:2022 und NIS2 Implementing Act (IT).
- Zuordnung der 100 KRITIS-Anforderungen der BSI-Konkretisierung zu C5, ISO 27001, NIS2, NIST CSF.
Nutzen für KRITIS und NIS2
Die Anforderungen aus ISO 27001 fordern den Betrieb eines geeigneten, angemessenen und wirksamen Managementsystems. Aus einem funktionierenden ISMS ergibt sich die Umsetzung von Sicherheitsmaßnahmen zur Risikobehandlung, etwa der Maßnahmen aus ISO 27001 Annex A, wobei auch eigene Maßnahmen möglich sind.
Im Vergleich dazu gehen die Anforderungen, die sich durch die KRITIS-Regulierung bzw. zukünftig NIS2 ergeben, im Umfang über den Betrieb eines ISMS hinaus. Typische Lücken zwischen ISO 27001 und KRITIS-/NIS2-Anforderungen entstehen in den Bereichen Registrierung, Meldung von Sicherheitsvorfällen, Business Continuity und Krisenmanagement, Unterrichtung von Öffentlichkeit und Kunden etc. Mehr dazu im Mapping.
Geltungsbereich
Der Geltungsbereich eines ISMS nach ISO 27001 ist grundsätzlich vom Unternehmen frei wählbar. Er kann dabei die gesamte Organisation umfassen oder nur Teile davon, z. B. Geschäftsbereiche oder -prozesse. Der Geltungsbereich ist der Bereich im Unternehmen, in dem das ISMS etabliert und angewendet werden soll. ISO 27001 enthält dabei konkrete Anforderungen an die Analyse, Definition und Dokumentation des Geltungsbereichs.
Zertifizierung
Ein nach ISO 27001 etabliertes ISMS kann im Rahmen eines externen Audits zertifiziert werden. Der Umfang der Zertifizierung, also der zertifizierte Geltungsbereich des ISMS, kann dem operativen Geltungsbereich des ISMS entsprechen; es sind aber auch kleinere Bereiche möglich, z. B. wenn ein ISMS konzernweit betrieben wird, jedoch nur einzelne Konzerngesellschaften oder Anlagen zertifiziert werden sollen.
Ein gültiges ISO 27001-Zertifikat kann als Bestandteil von KRITIS-Nachweisen verwendet werden. Dabei müssen jedoch verschiedene Aspekte betrachtet werden:
- Formal muss der zertifizierte Geltungsbereich des ISMS die Kritische Infrastruktur bzw. die kritische Dienstleistung vollständig umfassen. Sofern Unternehmens- oder Anlagenteile, die für den KRITIS-Nachweis betrachtet werden müssen, nicht im Umfang der ISO-Zertifizierung liegen, müssen sie nach KRITIS-Methodik vollständig geprüft werden.
- Inhaltlich muss auch bei bestehender ISO-Zertifizierung mit passendem Geltungsbereich der "KRITIS-Blickwinkel" berücksichtigt werden. Naturgemäß liegt der Fokus des Schutzes Kritischer Infrastrukturen auf der Gewährleistung der Verfügbarkeit kritischer Dienstleistungen und Anlagen, was zu einer von ISO abweichenden Prüfmethodik führt. Diese Abweichungen im Blickwinkel treffen insbesondere die Bereiche KRITIS-Schutzziele, IT-Schutzbedarfe, Umgang mit Risiken oder Umsetzung von Maßnahmen.
Ein gültiges ISO 27001-Zertifikat kann somit als Bestandteil von KRITIS-Nachweisen verwendet werden und senkt typischerweise den Aufwand der KRITIS-Prüfung. Es stellt jedoch keinen vollständigen Ersatz dar.
IEC 62443 Industriesicherheit
Der Standard IEC 62443 Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme definiert als Normenreihe Anforderungen für die Sicherheit industrieller Steuerung und Automatisierung (Industrial Automation and Control Systems - IACS).
IEC 62443 wird von KRITIS-Betreibern für die IT-Sicherheit von Industrieanlagen genutzt und ist in einigen Branchen dafür auch regulatorisch vorgeschrieben. Es gibt (noch) keine direkte Anwendung von IEC 62443 für KRITIS-Nachweise und -Maßnahmen
Für IEC 62443 gibt es (zurzeit) noch kein eigenständiges Zertifizierungsschema — möglich sind aber Zertifizierungen zusammen mit ISO 27001 als ISMS. Die IEC 62443 Normenreihe umfasst seit 2009 verschiedene Teilstandards, die teilweise noch in Arbeit sind:
| Standard | Datum | Inhalt |
|---|---|---|
| 62443-1-1 | 2009 | Grundlagen und Konzepte |
| 62443-1-2 | i.A. | Terminologie |
| 62443-1-3 | i.A. | Metriken |
| 62443-1-4 | i.A. | Lebenszyklen |
| 62443-1-5 | i.A. | Regeln für Profile |
| 62443-2-1 | 2010 | Sicherheitsprogramm für Betreiber von Anlagen |
| 62443-2-2 | i.A. | Einstufung |
| 62443-2-3 | 2015 | Patch-Management |
| 62443-2-4 | 2017 | Anforderungen für Provider und Integratoren |
| 62443-2-5 | i.A. | Implementation guidance |
| 62443-3-1 | 2009 | Sicherheitstechnologien |
| 62443-3-2 | 2017 | Risiko-Assessment und System-Design |
| 62443-3-3 | 2013 | Technische Anforderungen an Systeme und Security-Level |
| 62443-4-1 | 2018 | Sichere Entwicklung (Development Lifecycle) |
| 62443-4-2 | 2019 | Technische Anforderungen an Produkte und Komponenten |
| 62443-5-1 | i.A. | Profile |
| 62443-5-2 | i.A. | Profile |
| 62443-6-1 | i.A. | Evaluierungsmethodik für IEC 62443-2-4 (Provider) |
| 62443-6-2 | i.A. | Evaluierungsmethodik für IEC 62443-4-2 (Produkte) |
Bei der Umsetzung der einzelnen IEC 62443-Standards gibt es verschiedene Stufen:
- Security Level: Geplante Schutzziele basierend auf Bedrohungen von 0 (keine besondere Anforderung) bis 4 (Angreifer mit Vorsatz, fortschrittliche Werkzeuge und Motivation).
- Maturity Level: Reifegrade für die Umsetzung von IT-Sicherheit von 1 (initial und ad-hoc) bis 4 (kontinuierliche Verbesserung).
Weitere Informationen
Literatur
- ISO/IEC 27011:2024, Information security controls based on ISO/IEC 27002 for telecommunications organizations, ISO/IEC JTC 1/SC 27, 2024
- ISO/IEC 27017:2015, Code of practice for Information security controls based on ISO/IEC 27002 for cloud services, ISO/IEC JTC 1/SC 27, 2015
- ISO/IEC 27018:2019, Code of practice for Information security controls based on ISO/IEC 27002 for for protection of personally identifiable information (PII) in public clouds acting as PII processors, ISO/IEC JTC 1/SC 27, 2019
- ISO/IEC 27019:2017, Code of practice for Information security controls based on ISO/IEC 27002 for the energy utility inndustry, ISO/IEC JTC 1/SC 27, 2019
- Nutzung eines bestehenden ISO/IEC 27001-Zertifikats als Bestandteil eines Nachweises gemäß § 8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- CIP Standards, North American Electric Reliability Corporation, 2022