Home » Fachbeiträge » Security Management » Warum Unternehmen ein ISMS brauchen

Schlüssel zur Erfüllung neuer IT-Sicherheitsanforderungen: Warum Unternehmen ein ISMS brauchen

Die Implementierung eines Informationssicherheits-Managementsystems (ISMS) ist für viele Unternehmen heute unerlässlich, um die zahlreichen neuen Gesetze im Bereich der Cybersicherheit zu erfüllen. Unser Autor gibt einen kurzen Überblick über die gesetzlichen Anforderungen und beschreibt die wichtigsten Vorteile eines ISMS.

6 Min. Lesezeit
ISMS
Foto: ©AdobeStock/grey

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Organisationen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts der wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Vorgaben zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei. Im Folgenden werden einige der wichtigsten Gesetze zur IT-Sicherheit vorgestellt:

Neue gesetzliche Reglungen zur IT-Sicherheit

  • Network Information Security Directive (NIS-2): Die NIS-2-Richtlinie muss bis zum 17. Oktober 2024 von den nationalen Gesetzgebern der EU-Mitgliedstaaten umgesetzt werden. Sie erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie von 2016 und legt strengere Sicherheitsanforderungen für Betreiber wesentlicher und Anbieter digitaler Dienste fest. Betroffene Unternehmen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um ihre Netzwerke und Informationssicherheitssysteme zu schützen. Die NIS-2-Richtlinie umfasst zudem auch erweiterte Meldepflichten bei Sicherheitsvorfällen sowie strengere Sanktionen bei Verstößen.
  • Digital Operational Resilience Act (DORA): Der Digital Operational Resilience Act konzentriert sich auf die Stärkung der operationellen Resilienz im Finanzsektor. Finanzunternehmen werden verpflichtet, robuste Systeme und Prozesse zu implementieren, um sicherzustellen, dass sie gegenüber Cyberangriffen und anderen IT-bezogenen Störungen widerstandsfähiger sind. Dies umfasst regelmäßige Tests und Bewertungen der IT-Sicherheitsmaßnahmen sowie die Erstellung von Notfallplänen und Krisenübungen. Die in der Verordnung niedergelegten Pflichten treffen die betroffenen Stellen ab dem 17. Januar 2025.
  • Critical Entities Resilience Directive (CER-Richtlinie): Die CER-Richtlinie, die parallel zur NIS-2-Richtlinie im Januar 2023 in Kraft trat und durch die Bundesregierung bis Oktober 2024 umgesetzt werden muss, richtet sich an die Betreiber kritischer Infrastrukturen. Sie verlangt von diesen Unternehmen, umfassende Risikoanalysen durchzuführen und geeignete Sicherheitsmaßnahmen zu implementieren, um ihre Widerstandsfähigkeit gegen eine Reihe von Bedrohungen wie Naturkatastrophen, Terroranschläge, Insiderbedrohungen oder auch Sabotage zu stärken. Abgrenzend zur NIS-2-Richtlinie betrifft die CER-Richtlinie Vorgaben zur Cyberresilienz, nicht zur Cybersicherheit.
  • Cyber Resilience Act (CRA): Der Cyber Resilience Act, der in der zweiten Hälfte des Jahres 2024 in Kraft treten und ab 2027 gelten soll, zielt darauf ab, Verbraucher und Unternehmen zu schützen, die Produkte oder Software mit einer digitalen Komponente kaufen oder verwenden. Hersteller und Einzelhändler sollen verbindliche Cybersicherheitsanforderungen einhalten müssen, wobei sich der entsprechende Schutz über den gesamten Produktlebenszyklus erstrecken soll. Die Pflichten umfassen die Implementierung von Mechanismen zur schnellen Behebung von Sicherheitslücken sowie auch die Bereitstellung regelmäßiger Sicherheitsupdates.
  • Verordnung über Künstliche Intelligenz (KI-VO): Die Verordnung über Künstliche Intelligenz (KI-VO) wurde im Juli 2024 im Amtsblatt der EU veröffentlicht, 20 Tage später ist sie in Kraft getreten. Die einzelnen Vorschriften und resultierende Verpflichtungen werden gestaffelt Geltung erlangen. Die Verordnung zielt darauf ab, die Nutzung von KI-Systemen sicherer und transparenter zu gestalten. Die Verordnung legt Anforderungen an die Entwicklung, Bereitstellung und Nutzung von KI-Systemen fest, insbesondere in Bezug auf Risikobewertungen, Transparenz und die Einhaltung ethischer Standards.

Neben den oben genannten Gesetzen gibt es eine Vielzahl weiterer Regelungen, die die IT-Sicherheit betreffen. Dazu gehören das IT-Sicherheitsgesetz 2.0 in Deutschland, das spezifische Anforderungen an die Sicherheitsmaßnahmen von Betreibern kritischer Infrastrukturen stellt, sowie die Datenschutz-Grundverordnung (DSGVO), die umfassende Vorgaben zum Schutz personenbezogener Daten macht. Diese Regelungen ergänzen und verstärken die Anforderungen an die IT-Sicherheit in Unternehmen.

ISMS: Ein Überblick

Ein Informationssicherheits-Managementsystem (ISMS) ist ein systematischer Ansatz zur Verwaltung sensibler Unternehmensinformationen, um deren Sicherheit zu gewährleisten. Es bindet Menschen, Prozesse und IT-Systeme ein, auf deren Zusammenwirken eine umfassende Informationssicherheitsstrategie aufgebaut wird. Ein ISMS basiert oft auf international anerkannten Standards wie ISO/IEC 27001 oder SOC 2 und bietet einen strukturierten Rahmen zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken.

Ein solches System hat zahlreiche Vorteile, die es Unternehmen ermöglichen, den Anforderungen der neuen IT-Sicherheitsgesetze gerecht zu werden und darüber hinaus die allgemeine Sicherheitslage zu verbessern. So bietet der ganzheitliche Ansatz des ISMS die Möglichkeit, alle Aspekte der Informationssicherheit, von technischen Maßnahmen bis hin zu organisatorischen Prozessen, zu integrieren und somit eine umfassende Abdeckung aller potenziellen Sicherheitslücken zu gewährleisten.

Darüber hinaus unterstützt ein ISMS Unternehmen bei der Erfüllung der gesetzlichen Anforderungen aus NIS-2, DORA, CER-Richtlinie, CRA sowie KI-VO und reduziert damit das Risiko von Sanktionen und anderen rechtlichen Konsequenzen. Es bietet zudem einen strukturierten Ansatz, der es Unternehmen erleichtert, fundierte Entscheidungen zu treffen und gezielte Sicherheitsmaßnahmen zu ergreifen.

Durch klar definierte Prozesse und Verantwortlichkeiten können die Verantwortlichen schneller und effizienter auf Vorfälle reagieren und so den möglichen Schaden minimieren. Ein ISMS stellt sicher, dass alle Beteiligten wissen, welche Schritte im Fall eines Sicherheitsvorfalls zu unternehmen sind und dass notwendige Maßnahmen sofort eingeleitet werden können, um die Auswirkungen auf das Unternehmen so gering wie möglich zu halten.

Dies kann gegenüber Kunden, Geschäftspartnern und Aufsichtsbehörden dokumentiert werden: Eine Zertifizierung nach ISO/IEC 27001 oder SOC 2 schafft Vertrauen, weil Unternehmen damit nachweisen, dass sie hohe Sicherheitsstandards einhalten und der Informationssicherheit Priorität einräumen. Besonders im öffentlichen Sektor sind ISMS-Zertifizierungen oft eine Voraussetzung für die Teilnahme an Ausschreibungen. Unternehmen, die eine solche Zertifizierung vorweisen können, haben somit bessere Chancen, neue Aufträge zu gewinnen und sich von der Konkurrenz abzuheben.

Nicht zuletzt erhöht ein ISMS das Sicherheitsbewusstsein innerhalb der Organisation, indem es eine Kultur fördert, die dazu beiträgt, die Wahrscheinlichkeit menschlicher Fehler, die häufig die Ursache von Sicherheitsvorfällen sind, zu verringern. Wenn alle Mitarbeiterinnen und Mitarbeiter ein tiefes Verständnis für Sicherheitspraktiken entwickeln und diese konsequent anwenden, sinkt das Risiko von Sicherheitslücken erheblich.

Schließlich erleichtert ein zertifiziertes ISMS die Durchführung interner und externer Audits, da die Prozesse und Dokumentationen klar definiert sind und die Unternehmen so Zeit und Ressourcen besser nutzen können.

Wesentliche Schritte zur Einführung eines ISMS

Bei der Einführung eines ISMS ist ein strukturiertes und systematisches Vorgehen unerlässlich. Die einzelnen Schritte dabei sind:

  • Initiierung und Planung: Festlegung der Ziele und des Umfangs des ISMS, Ernennung eines ISMS-Teams und Entwicklung einer ISMS-Politik
  • Risikobewertung und -behandlung: Durchführung einer umfassenden Risikobewertung zur Identifikation potenzieller Bedrohungen und Schwachstellen; Entwicklung und Implementierung von Maßnahmen zur Risikobehandlung
  • Implementierung der Kontrollen: Umsetzung der identifizierten Sicherheitsmaßnahmen und Schulung der Mitarbeiter. Unternehmen sollten sicherstellen, dass sie geeignete technische und organisatorische Maßnahmen implementieren, um ihre Informationssicherheit zu verbessern.
  • Überwachung und Bewertung: kontinuierliche Überwachung der Wirksamkeit des ISMS und Durchführung regelmäßiger interner Audits
  • Zertifizierung: Vorbereitung auf das externe Audit und Durchführung durch eine anerkannte Zertifizierungsstelle
  • Pflege und kontinuierliche Verbesserung des ISMS unter Anwendung des sogenannten Plan-Do-Check-Act-(PDCA)-Ansatzes

Fazit

Die Implementierung eines ISMS und dessen Zertifizierung nach international anerkannten Standards ist für Unternehmen in der heutigen digitalen Welt nahezu unverzichtbar. Ein ISMS bietet einen systematischen Ansatz, um Informationssicherheitsrisiken zu managen und gesetzliche Anforderungen zu erfüllen. Es schafft Vertrauen bei Kunden und Geschäftspartnern, erleichtert Audits und verbessert die Erfolgsaussichten bei Ausschreibungen.

Die Einführung eines zertifizierten ISMS bietet die Chance, die Informationssicherheitsstrategie eines Unternehmens auf ein solides Fundament zu stellen, besonders vor dem Hintergrund der zunehmenden Bedeutung von Cybersecurity und neuer gesetzlicher Anforderungen. Um die so erreichte Cybersicherheit der Systeme auch langfristig zu gewährleisten, ist eine kontinuierliche Verbesserung und Anpassung des ISMS an neue Bedrohungen und technologische Entwicklungen entscheidend.

Porträt Dr. Jan Scharfenberg, LL.M.

Dr. Jan Scharfenberg, LL.M. (Stellenbosch) ist als Rechtsanwalt bei der Kanzlei Schürmann Rosenthal Dreyer im Bereich Datenschutz-und Informationssicherheitsrecht tätig. Daneben arbeitet er als Director für den Bereich Informationssicherheit bei der ISiCO Datenschutz GmbH. Dr. Jan Scharfenberg verfügt über mehr als 15 Jahre Erfahrung im Bereich Regulatory und Corporate Compliance, mit Stationen in einer renommierten internationalen Großkanzlei und als Rechts- und Complianceabteilungsleiter in einem Gesundheits-Start-ups eines internationalen Versicherungskonzerns.
www.srd-rechtsanwaelte.de

Andere interessante Fachbeiträge

Monitor mit Quellcode und abstraktem Hintergrund

ISO/IEC 18974:2023 (1)

Neben zahlreichen Vorteilen birgt Open-Source-Software auch erhebliche Sicherheitsrisiken. Die ISO 18974 ermöglicht Unternehmen, diese Herausforderungen strukturiert anzugehen und ...

Symbol der E-Mail-Verschlüsselung

Effiziente E-Mail-Verschlüsselung weiterentwickelt mit GINA V2

Mit GINA V2 steht eine innovative Lösung für die sichere Spontanverschlüsselung bei der E-Mail-Kommunikation bereit, diese Verschlüsselungsform bietet höchsten Datenschutz und ermö...

Digitale Daten vor Strommasten

Zugriff verweigert

Kritische Infrastrukturen (KRITIS) sind nicht zuletzt aufgrund ihrer hohen gesellschaftlichen und politisch-strategischen Relevanz ein beliebtes Ziel für Cyberangriffe. Die zunehme...