1. Aktualität und wirtschaftliche Bedeutung
Cyberangriffe stellen Unternehmen und Organisationen weltweit immer wieder vor neue Herausforderungen. Darunter zählt neben Attacken mit kriminellem Hintergrund (vgl. KPMG e-crime Studie 2017) auch gezieltes Vorgehen gegen Versorgungsdienstleistungen. In Deutschland will der Gesetzgeber durch das IT-Sicherheitsgesetz Betreiber sogenannter „Kritischer Infrastrukturen“ verpflichten, sich auf diese neuen Bedrohungen vorzubereiten.
Vor diesem Hintergrund ist der Aufbau eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001 für viele Unternehmen sowohl ein Ansatz zur strukturierten Verbesserung der Informationssicherheit, als auch zur Erlangung eines Wettbewerbsvorteils. Um gegenüber Kunden und Regulatoren einen Nachweis erbringen zu können, dass das ISMS normkonform betrieben wird, kann hier eine Zertifizierung sinnvoll und teilweise auch notwendig sein.
2. Inhalt
Die positive Außenwirkung eines zertifizierten ISMS nach ISO/IEC 27001 für bestehende oder potentielle Kunden wird in Deutschland seit Kurzem durch die Anforderungen des IT-Sicherheitsgesetzes um eine regulatorische Komponente ergänzt.
Gerade als Dienstleister ist eine Zertifizierung nach ISO/IEC 27001 ein gern genutztes und valides Mittel um gegenüber Kunden darstellen zu können, dass Informationssicherheitsrisiken gezielt und strukturiert behandelt werden. Oftmals entfällt durch eine entsprechende Zertifizierung auch ein großer Teil des Aufwands von Dienstleisteraudits zur Informations- und IT-Sicherheit.
Im Kontext des IT-Sicherheitsgesetzes sind mit der Veröffentlichung der zweiten Verordnung zur Bestimmung kritischer Infrastrukturen Mitte 2017, welche die Sektoren „Finanz- und Versicherungswesen“, „Gesundheit“ sowie „Transport und Verkehr“ behandelt, nun für relevante Wirtschaftssektoren Anforderungen definiert. Die entsprechenden Regelungen für die Sektoren "Energie", "Informationstechnik und Telekommunikation", "Wasser" und "Ernährung" sind bereits seit Mai 2016 in Kraft. Konkret bedeutet dies, das nun die zweijährige Frist für KRITIS-Betreiber läuft, in der die Anforderungen aus dem IT-Sicherheitsgesetz analysiert und gegebenenfalls umgesetzt werden müssen. Der Gesetzgeber hat hierfür eine Frist von zwei Jahren nach Inkrafttreten der entsprechenden Verordnung festgesetzt, für die KRITIS-Betreiber aus den Sektoren der neuen Verordnung ist damit der 1. Juli 2019 der Stichtag. Kernelemente sind die kritischen Anlagen bei Betreibern und die dafür festgelegten Schwellwerte. Diese bestimmen, ab wann eine bestimmte Anlage als KRITIS und der jeweilige Betreiber als KRITIS-Betreiber gilt.
Kernanforderung des IT-Sicherheitsgesetzes KRITIS-Betreiber ist u.a. die Pflicht zur Umsetzung von angemessenen Sicherheitsstandards zum Schutz der kritischen Dienstleistung. Dabei geht es um technische und organisatorische Maßnahmen für ein gesetzeskonformes Mindestmaß an IT-Sicherheit. Beispiele hierfür sind insbesondere Managementsysteme für Informationssicherheit (ISMS), welche sich z.B. gemäß BSI Aussage an dem internationalen Standard ISO/IEC 27001 orientieren können.
Zwar reicht eine alleinige Zertifizierung nach ISO/IEC 27001 für KRITIS-Betreiber nicht aus (hier sind noch weitere Anforderungen zu betrachten), bildet aber auf jeden Fall eine sehr gute Ausgangslage für eine erfolgreiche Nachweiserbringung gegenüber dem BSI.
3. Zusammenfassung und Highlights
Eine Zertifizierung des ISMS nach ISO/IEC 27001 kann in vielen Fällen eine positive Außenwirkung für bestehende und zukünftige Kunden haben. In unsicheren Zeiten können Unternehmen hier Pluspunkte sammeln und sich am Markt besser positionieren. In Zusammenhang mit dem IT-Sicherheitsgesetz und regulatorischen Anforderungen besteht ein weiterer Nutzen für ein Zertifikat.
4. KPMG Cert GmbH als Ansprechpartner
Die KPMG Cert GmbH bietet als, durch die Deutschen Akkreditierungsstelle (DAkkS) akkreditierte, Zertifizierungsstelle mit langjähriger Erfahrung die Durchführung von sämtlichen Audits in allen Phasen einer Zertifizierung nach ISO/IEC 27001 an. Wir unterstützen dabei sowohl durch Prä-Audits, Zertifizierungsaudits, Überwachungsaudits und Re-Zertifizierungsaudits.