Mit den steigenden Anforderungen an Cybersicherheit und regulatorische Compliance wird es für Unternehmen immer wichtiger, die verschiedenen Sicherheitsstandards und Richtlinien zu verstehen. Neben der neuen NIS2-Richtlinie spielen auch der internationale Standard ISO 27001, die KRITIS-Verordnung und der Digital Operational Resilience Act (DORA) eine Rolle bei der Sicherstellung der Informations- und Cybersicherheit. In diesem Artikel erläutern wir die Unterschiede zwischen NIS2, ISO 27001, KRITIS und DORA und zeigen auf, in welchen Bereichen NIS2 tiefer greift und spezifischere Anforderungen stellt.
Was ist DORA (Digital Operational Resilience Act)?
Bevor wir die Unterschiede und Gemeinsamkeiten der genannten Rahmenwerke betrachten, ist es wichtig, DORA kurz zu erklären. Die DORA-Verordnung (Digital Operational Resilience Act) ist eine EU-weite Regulierung, die speziell auf den Finanzsektor abzielt und darauf ausgerichtet ist, die operationelle Belastbarkeit von Finanzdienstleistern zu stärken. DORA fordert von Finanzinstituten, dass sie widerstandsfähige IT-Systeme und Cybersecurity-Protokolle einrichten, um kontinuierliche Geschäftsprozesse auch im Falle von IT-Störungen oder Cyberangriffen zu gewährleisten.
NIS2, ISO 27001, KRITIS und DORA im Vergleich
- Anwendungsbereich
– ISO 27001: ISO 27001 ist ein internationaler Standard für Informationssicherheitsmanagement, der für Unternehmen aller Branchen und Größen freiwillig angewendet werden kann.
– KRITIS: Die KRITIS-Verordnung richtet sich speziell an Unternehmen, die als Betreiber kritischer Infrastrukturen gelten, wie etwa Energieversorger, Krankenhäuser oder Verkehrsbetriebe, fordert die Einführung eines Informationssicherheitsmanagementsystems und empfiehlt dies gemäß der ISO 27001 oder eines abgeleiteten, vom BSI genehmigten Standards zu tun.
– NIS2: Die NIS2-Richtlinie weitet ihren Anwendungsbereich auf eine breitere Gruppe von Unternehmen aus. Sie betrifft nicht nur Betreiber kritischer Infrastrukturen, sondern auch viele mittlere und große Unternehmen in verschiedenen Sektoren wie Gesundheit, Transport, Energie und digitale Infrastrukturen. NIS2 wird nach Genehmigung durch den Bundesrat wahrscheinlich im März 2025 zu einer Anpassung der KRITIS-Verordnung führen.
– DORA: DORA ist speziell auf den Finanzsektor ausgerichtet und betrifft Finanzinstitute wie Banken, Versicherungen, Zahlungsdienstleister und andere Unternehmen, die in Finanzdienstleistungen tätig sind. DORA zielt darauf ab, die digitale Widerstandsfähigkeit von Finanzunternehmen zu stärken, sodass sie Cyberangriffe oder IT-Ausfälle besser bewältigen können.
- Risikomanagement und Sicherheitsanforderungen
– ISO 27001: ISO 27001 legt einen risikobasierten Ansatz für das Management der Informationssicherheit fest, bietet jedoch Flexibilität hinsichtlich der spezifischen Maßnahmen, die Unternehmen ergreifen sollen. Es ist ein umfassendes ISMS (Informationssicherheitsmanagementsystem), das eine regelmäßige Überprüfung und kontinuierliche Verbesserung der Sicherheitsmaßnahmen beinhaltet.
– KRITIS: Die KRITIS-Verordnung legt spezifische Anforderungen an den Schutz der Systeme kritischer Infrastrukturen fest. Betreiber müssen angemessene technische und organisatorische Maßnahmen ergreifen, um Cyberrisiken zu minimieren und Ausfallzeiten zu verhindern.
– NIS2: NIS2 geht über die Anforderungen von ISO 27001 hinaus, indem es spezifischere Maßnahmen für den Schutz von Netzwerken und Informationssystemen fordert. Unternehmen müssen unter anderem Vorfallreaktionspläne erstellen, eine Notfallwiederherstellung sicherstellen, dürfen nur vom BSI freigegebene kritische Komponenten einsetzen und müssen regelmäßige Prüfungen durchführen. Der Fokus liegt auch stärker auf der Reaktion auf Sicherheitsvorfälle und der schnellen Meldung an Behörden.
– DORA: DORA hat einen sehr starken Fokus auf die operationelle Belastbarkeit von Finanzdienstleistern. Neben klassischen Cybersicherheitsmaßnahmen, wie sie in ISO 27001 oder NIS2 gefordert werden, betont DORA auch die Notwendigkeit eines robusten Krisenmanagements, den Schutz gegen IT-Ausfälle und die Einhaltung strenger Prüfungs- und Meldepflichten, um die Kontinuität der Geschäftstätigkeit sicherzustellen. Es geht auch auf die Verwaltung von Drittanbietern ein, um sicherzustellen, dass ausgelagerte IT-Dienste ebenfalls widerstandsfähig sind. Es dürfen nur vom BSI freigegebene kritische Komponenten eingesetzt werden.
- Meldepflichten bei Sicherheitsvorfällen
– ISO 27001: Die Norm schreibt vor, dass Unternehmen Sicherheitsvorfälle dokumentieren und Maßnahmen zur Verbesserung ergreifen. Eine externe Meldepflicht ist jedoch nicht explizit vorgeschrieben.
– KRITIS: Betreiber kritischer Infrastrukturen müssen Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, allerdings nur bei Vorfällen, die den Betrieb der kritischen Infrastruktur direkt beeinträchtigen.
– NIS2: NIS2 erweitert die Meldepflichten erheblich. Unternehmen müssen Vorfälle nicht nur schneller melden, sondern auch potenziell kritische Vorfälle, die noch keine unmittelbaren Auswirkungen haben, der zuständigen Behörde mitteilen. Die strengeren Meldepflichten zwingen Unternehmen zu einer proaktiveren Überwachung und Berichterstattung.
– DORA: Ähnlich wie NIS2 verlangt DORA von Finanzinstituten, Vorfälle zeitnah zu melden. Der Unterschied liegt jedoch darin, dass DORA spezifische Meldepflichten für den Finanzsektor enthält, einschließlich der Meldung von IT-Ausfällen und Cybervorfällen, die potenzielle Auswirkungen auf die Stabilität des Finanzmarktes haben könnten.
- Sanktionen
– ISO 27001: ISO 27001 ist ein freiwilliger Standard. Sanktionen gibt es in der Regel nur, wenn die Zertifizierung aus vertraglichen oder regulatorischen Gründen erforderlich ist und nicht eingehalten wird.
– KRITIS: Bei Verstößen gegen die KRITIS-Vorgaben können Bußgelder verhängt werden, wobei diese auf bestimmte Sektoren und Vorfälle beschränkt sind.
– NIS2: NIS2 führt strenge Sanktionen ein, die bei Nichteinhaltung verhängt werden können. Diese Sanktionen basieren auf einem Prozentsatz des Unternehmensumsatzes und sind in ihrer Höhe deutlich strenger als bei KRITIS und ISO 27001. Außerdem wird das verantwortliche Management explizit für die Einführung und den Betrieb eines regelkonformen ISMS verantwortlich und haftbar gemacht.
– DORA: DORA sieht ebenfalls hohe Strafen vor, insbesondere wenn Cybervorfälle oder IT-Ausfälle die Stabilität des Finanzmarktes beeinträchtigen könnten. Die Sanktionen sind spezifisch auf Finanzunternehmen und deren Verantwortung für die operative Sicherheit und Resilienz zugeschnitten. Auch hier wird das verantwortliche Management explizit für die Einführung und den Betrieb eines regelkonformen ISMS verantwortlich und haftbar gemacht.
- Governance und Verantwortlichkeiten
– ISO 27001: Unternehmen, die ISO 27001 implementieren, müssen klare Verantwortlichkeiten für die Informationssicherheitsmaßnahmen definieren, haben jedoch große Flexibilität bei der Umsetzung.
– KRITIS: Die KRITIS-Verordnung fordert spezifische Verantwortlichkeiten für den Betrieb und die Sicherheit der kritischen Infrastrukturen, jedoch wird keine umfassende Governance-Struktur gefordert.
– NIS2: NIS2 geht hier weiter und verlangt eine klare Zuweisung von Verantwortlichkeiten auf Management-Ebene. Unternehmen müssen sicherstellen, dass Cybersicherheitsmaßnahmen in die Gesamtstrategie des Unternehmens eingebunden sind und eine kontinuierliche Überwachung und Verbesserung stattfindet.
– DORA: DORA fordert von Finanzunternehmen nicht nur klare Verantwortlichkeiten auf Management-Ebene, sondern verlangt auch regelmäßige Berichte und Audits, um die operationelle Belastbarkeit der Organisation sicherzustellen. Die Governance muss sicherstellen, dass die Cybersicherheitsstrategie eng mit den geschäftlichen und regulatorischen Anforderungen verbunden ist.
Fazit: Wo geht NIS2 tiefer als ISO 27001, KRITIS und DORA?
NIS2 geht in mehreren Bereichen tiefer als ISO 27001, KRITIS und teilweise auch DORA:
– Breiterer Anwendungsbereich: NIS2 betrifft mehr Sektoren und Unternehmen als KRITIS bisher und ist breiter aufgestellt als DORA, das sich nur auf den Finanzsektor konzentriert. ISO 27001 bleibt als freiwilliger Standard flexibel, wird jedoch in vielen Branchen nicht verpflichtend umgesetzt.
– Strengere Meldepflichten: Im Vergleich zu den anderen Rahmenwerken hat NIS2 besonders strenge und proaktive Meldepflichten für Sicherheitsvorfälle.
– Höhere Sanktionen: Die Sanktionen bei NIS2 sind strenger und betreffen mehr Unternehmen als die Regelungen in ISO 27001 und KRITIS. Sie sind vergleichbar mit den strengen Sanktionen in DORA, die speziell auf den Finanzsektor abzielenund das verantwortliche Management in eine erweiterte Haftung für Informationssicherheit nimmt.
– Stärkere Governance-Anforderungen: NIS2 fordert klar definierte Verantwortlichkeiten auf Management-Ebene, was über die Anforderungen von ISO 27001 und KRITIS hinausgeht. In dieser Hinsicht ist NIS2 mit DORA vergleichbar, jedoch umfassender in der breiteren Anwendung.
NIS2 greift tiefer als ISO 27001 und KRITIS und geht in einigen Bereichen sogar über die Anforderungen von DORA hinaus. Unternehmen, die NIS2-Compliance herstellen müssen, müssen sich intensiver mit Cybersicherheit, Governance und Vorfallmanagement auseinandersetzen.