NIS2 vs. ISO 27001: So nutzen Sie Ihr ISMS für die Compliance

Für viele CISOs, IT-Leiter und Compliance Officer bringt die NIS2-Richtlinie neue, strengere Cybersicherheitsverpflichtungen in ganz Europa mit sich. Die gute Nachricht ist, dass Organisationen, die bereits nach ISO 27001 zertifiziert sind, nicht bei Null anfangen müssen. ISO 27001, der internationale Standard für Informationssicherheits-Managementsysteme, bietet einen robusten Rahmen, der sich erheblich mit den Anforderungen der NIS2-Richtlinie überschneidet. Die Nutzung Ihres bestehenden Informationssicherheits-Managementsystems (ISMS) ist nicht nur effizient; es ist eine strategische Notwendigkeit, um Ihren Weg zur NIS2-Compliance zu optimieren.

Dieser Leitfaden zeigt Ihnen, wie Sie Ihre ISO 27001-Kontrollen den NIS2-Anforderungen zuordnen, die kritischen Unterschiede hervorheben und aufzeigen, wie Ihre aktuelle Zertifizierung Ihren Weg zur NIS2-Compliance beschleunigen kann, wodurch wertvolle Zeit und Ressourcen gespart werden.

Verbindliche Verordnung vs. Freiwilliger Standard: Der Schlüsselunterschied

Bevor wir uns den technischen Überschneidungen widmen, ist es entscheidend, den fundamentalen Unterschied zwischen NIS2 und ISO 27001 zu verstehen:

  • NIS2-Richtlinie (EU 2022/2555): Eine verbindliche rechtliche Verpflichtung
    • NIS2 ist ein Gesetz der Europäischen Union. Sobald es von den Mitgliedstaaten in nationales Recht umgesetzt wurde, wird es zu einer verbindlichen rechtlichen Anforderung für alle betroffenen Einrichtungen.
    • Es legt einen Grundrahmen für das Cybersicherheits-Risikomanagement und die Meldung von Vorfällen fest, mit spezifischen Anforderungen und strengen Fristen.
    • Nichteinhaltung zieht erhebliche Verwaltungsstrafen (bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen; 7 Millionen Euro oder 1,4 % für wichtige Einrichtungen) und potenzielle persönliche Haftung für die Geschäftsleitung nach sich.
    • Sie konzentriert sich auf spezifische Sektoren, die für das Funktionieren der Gesellschaft und Wirtschaft als kritisch erachtet werden, mit dem Ziel, die allgemeine Cyberresilienz der EU zu verbessern.
  • ISO/IEC 27001: Ein freiwilliger internationaler Standard
    • ISO 27001 ist ein internationaler Standard, der einen Rahmen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS) bietet.
    • Die Zertifizierung nach ISO 27001 ist freiwillig. Organisationen entscheiden sich dafür, um ihr Engagement für Informationssicherheit zu demonstrieren, Risiken systematisch zu managen und oft auch, um vertragliche oder Stakeholder-Anforderungen zu erfüllen.
    • Er ist technologieunabhängig und bietet einen generischen Satz von Kontrollen (Anhang A), die an jede Organisation angepasst werden können.
    • Obwohl er dazu beiträgt, gute Sicherheitspraktiken zu demonstrieren, ist die ISO 27001-Zertifizierung allein nicht automatisch gleichbedeutend mit NIS2-Compliance.

Im Wesentlichen sagt Ihnen NIS2, was Sie erreichen müssen und wann Sie melden müssen, gestützt durch Rechtskraft. ISO 27001 bietet einen bewährten, international anerkannten Rahmen dafür, wie diese Sicherheitsziele effektiv zu verwalten und umzusetzen sind. Die Synergie liegt darin, das „Wie“ der ISO 27001 zu nutzen, um das „Was“ der NIS2 zu erfüllen.

Zuordnungstabelle: ISO 27001 Anhang A-Kontrollen zu NIS2 Artikel 21-Anforderungen

NIS2 Artikel 21 beschreibt die zentralen Cybersicherheits-Risikomanagementmaßnahmen, die besonders wichtige und wichtige Einrichtungen implementieren müssen. Diese Maßnahmen sind so konzipiert, dass sie umfassend und proportional zu den Risiken sind. Glücklicherweise stimmt ein erheblicher Teil dieser Anforderungen mit den in Anhang A von ISO 27001:2022 festgelegten Kontrollen überein.

Nachfolgend finden Sie eine vereinfachte Zuordnung, die veranschaulicht, wie wichtige Kontrollen des ISO 27001:2022 Anhangs A die Anforderungen des NIS2 Artikel 21 erfüllen können. Dies ist keine erschöpfende Liste, zeigt aber die starke grundlegende Überschneidung.

NIS2 Artikel 21 (2) Anforderungen für Cybersicherheits-Risikomanagementmaßnahmen:

  1. Richtlinien zur Risikoanalyse und Informationssystemsicherheit;
  2. Vorfallsbewältigung;
  3. Geschäftskontinuität, wie z.B. Backup-Management und Notfallwiederherstellung, sowie Krisenmanagement;
  4. Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte bezüglich der Beziehung zwischen jeder Einrichtung und ihren direkten Lieferanten oder Dienstleistern;
  5. Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich des Umgangs mit Schwachstellen und deren Offenlegung;
  6. Richtlinien und Verfahren zur Nutzung von Kryptographie und, wo angebracht, Verschlüsselung;
  7. Sicherheit der Personalressourcen, Zugangskontrolle und Asset-Management;
  8. Die Nutzung von Multifaktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen, gesicherten Sprach-, Video- und Textkommunikationen sowie gesicherten Notfallkommunikationssystemen innerhalb der Einrichtung, wo angebracht.

Zuordnung der ISO 27001:2022 Anhang A-Kontrollen zu den NIS2 Artikel 21-Anforderungen:

NIS2 Artikel 21 (2) AnforderungRelevante ISO 27001:2022 Anhang A Kontrolle(n)Erläuterung der Überschneidung
(a) Richtlinien zur Risikoanalyse und InformationssystemsicherheitA.5.1 Informationssicherheitsrichtlinien
A.5.7 Bedrohungsanalyse
A.5.3 Rollen und Verantwortlichkeiten für Informationssicherheit		ISO 27001 schreibt eine übergeordnete Informationssicherheitsrichtlinie vor, die aus Risikobewertungen (A.5.1) abgeleitet ist und klare Verantwortlichkeiten (A.5.3) zuweist, was die Richtlinienanforderung der NIS2 direkt unterstützt. Bedrohungsanalyse (A.5.7) ist entscheidend für eine effektive Risikoanalyse.
(b) VorfallsbewältigungA.5.24 Management von Informationssicherheitsvorfällen
A.5.27 Sammlung von Beweismitteln
A.8.16 Überwachungsaktivitäten		Das umfassende Vorfallsmanagement der ISO 27001 (A.5.24) deckt Erkennung, Analyse, Reaktion und Wiederherstellung ab und stimmt mit NIS2 überein. Überwachung (A.8.16) unterstützt die Früherkennung. NIS2 fügt jedoch spezifische Meldefristen hinzu.
(c) Geschäftskontinuität, Backup-Management, Notfallwiederherstellung und KrisenmanagementA.5.30 IKT-Bereitschaft für Geschäftskontinuität
A.5.31 Planung der Geschäftskontinuität
A.5.32 Notfallwiederherstellung		ISO 27001 fordert robuste Pläne für IKT-Bereitschaft, Geschäftskontinuität (A.5.30, A.5.31) und Notfallwiederherstellung (A.5.32), die Kernbestandteile des Resilienzzieles der NIS2 sind. NIS2 kann detailliertere Tests oder spezifische Krisenkommunikationspläne erfordern.
(d) Sicherheit der LieferketteA.5.19 Informationssicherheit in Lieferantenbeziehungen
A.5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten
A.6.3 Informationssicherheit in Lieferantenbeziehungen		ISO 27001 behandelt das Management der Lieferantensicherheit (A.5.19, A.6.3) und die Cloud-Dienste-Sicherheit (A.5.23), was den Fokus der NIS2 auf Lieferkettenrisiken direkt unterstützt. NIS2 erfordert oft explizitere Due Diligence und vertragliche Bestimmungen.
(e) Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich des Umgangs mit Schwachstellen und deren OffenlegungA.8.15 Entwicklungssicherheit
A.8.25 Sicherer Entwicklungslebenszyklus
A.8.26 Anwendungssicherheitsanforderungen
A.8.28 Sichere Programmierung
A.8.29 Sicherheitstests während Entwicklung und Abnahme
A.8.8 Management technischer Schwachstellen		ISO 27001 bietet umfassende Kontrollen für die Sicherheit während des gesamten SDLC (A.8.25, A.8.26, A.8.28, A.8.29) und das Schwachstellenmanagement (A.8.8), was eine starke Grundlage für diese NIS2-Anforderung bildet.
(f) Richtlinien und Verfahren zur Nutzung von Kryptographie und, wo angebracht, VerschlüsselungA.5.25 Informationssicherheit beim Einsatz von KryptographieISO 27001 fordert explizit eine Richtlinie für den effektiven Einsatz von Kryptographie (A.5.25), womit das Mandat der NIS2 direkt erfüllt wird.
(g) Sicherheit der Personalressourcen, Zugangskontrolle und Asset-ManagementA.6.4 Disziplinarverfahren
A.6.6 Anstellungsbedingungen
A.6.7 Informationssicherheitsbewusstsein, -schulung und -ausbildung
A.7.2 Bereitstellung des Benutzerzugangs
A.7.3 Privilegierte Zugriffsrechte
A.7.4 Einschränkung des Informationszugriffs
A.7.8 Überprüfung des Benutzerzugriffs
A.5.9 Inventar von Informationen und anderen zugehörigen Assets
A.5.10 Akzeptable Nutzung von Informationen und anderen zugehörigen Assets		ISO 27001 hat dedizierte Abschnitte für HR-Sicherheit (A.6.x), umfassende Zugangskontrolle (A.7.x) und Asset-Management (A.5.9, A.5.10), was direkt mit NIS2 übereinstimmt.
(h) Die Nutzung von Multifaktor-Authentifizierung (MFA) oder kontinuierlichen Authentifizierungslösungen, gesicherten Sprach-, Video- und Textkommunikationen sowie gesicherten NotfallkommunikationssystemenA.8.5 Sichere Authentifizierung
A.8.2 Sichere Programmierung (für Kommunikationen)
A.8.1 Sicherer Entwicklungslebenszyklus (für Systeme)		Während ISO 27001 eine sichere Authentifizierung vorschreibt (A.8.5), ist NIS2 präskriptiver und fordert explizit MFA/kontinuierliche Authentifizierung sowie die Sicherheit von Kommunikationssystemen. Ein ISO 27001-konformes ISMS würde dies wahrscheinlich bereits beinhalten, aber NIS2 macht es verpflichtend.

Kritischer Hinweis zu Unterschieden:

Obwohl die Überschneidung erheblich ist, bedeuten wichtige Unterschiede, dass die ISO 27001-Zertifizierung allein für die vollständige NIS2-Compliance nicht ausreicht. NIS2 führt ein:

  • Spezifische Meldefristen für Vorfälle: Artikel 23 schreibt strenge Meldefristen (z.B. erste Meldung innerhalb von 24 Stunden, Aktualisierung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats) an die zuständigen Behörden vor, die von ISO 27001 nicht so detailliert spezifiziert werden.
  • Erhöhte Rechenschaftspflicht der Geschäftsleitung: NIS2 weist den Geschäftsleitungsorganen eine klare Verantwortung für die Genehmigung und Überwachung der Cybersicherheits-Risikomanagementmaßnahmen zu, mit potenzieller persönlicher Haftung.
  • Due Diligence in der Lieferkette: NIS2 fordert eine spezifische Sorgfaltspflicht (Due Diligence) bezüglich der Cybersicherheitspraktiken direkter Lieferanten und Dienstleister, was möglicherweise rigorosere Bewertungen erfordert, als sie typischerweise unter ISO 27001 durchgeführt werden.
  • Aufsichtsbefugnisse: Nationale Behörden unter NIS2 (wie das BSI in Deutschland) verfügen über erhebliche Befugnisse zur Durchführung von Audits, zur Anforderung von Informationen und zur Verhängung von Bußgeldern, eine regulatorische Ebene, die bei der freiwilligen ISO 27001-Zertifizierung fehlt.
  • Spezifische Technologie-Vorschriften: Die explizite Erwähnung von MFA (Artikel 21(2)(h)) und sicheren Kommunikationssystemen ist direkter als eine allgemeine ISO 27001-Kontrolle.

Vulnerability Management & Scanning: Eine Kernsäule der NIS2-Compliance (Artikel 21(2)(e))

NIS2 schreibt ausdrücklich eine robuste Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen vor, die entscheidend auch das Schwachstellenmanagement und die Offenlegung von Schwachstellen (Artikel 21(2)(e)) umfasst. Für CISOs ist dies nicht nur ein Vorschlag; es ist eine grundlegende Anforderung zur Aufrechterhaltung der Cyberresilienz. Das Schwachstellenmanagement, mit regelmäßigem Scanning als Eckpfeiler, erfüllt dieses Mandat direkt.

Die Rolle des Schwachstellen-Scannings:

Schwachstellen-Scanning ist der automatisierte Prozess zur Identifizierung von Sicherheitslücken (Schwachstellen) in Ihren IT-Systemen, Anwendungen und Netzwerken. Es fungiert als Frühwarnsystem, das Organisationen hilft, ausnutzbare Schwachstellen zu entdecken, bevor böswillige Akteure dies tun. Im Rahmen von NIS2 ist effektives Scanning entscheidend für:

  • Proaktive Risikoidentifizierung: Kontinuierliches Entdecken und Bewerten neuer Schwachstellen, die zu Sicherheitsvorfällen führen könnten.
  • Compliance-Sicherung: Bereitstellung nachweisbarer Belege dafür, dass Ihre Organisation aktiv Schwachstellen sucht und behebt, wie es die Richtlinie vorschreibt.
  • Reduzierung der Angriffsfläche: Ermöglichung zeitnaher Patching- und Konfigurationsänderungen, um Sicherheitslücken zu schließen.

Umfang, Häufigkeit und Integration:

Ein umfassendes, NIS2-konformes Schwachstellenmanagementprogramm muss verschiedene Aspekte umfassen:

  • Kontinuierliches & regelmäßiges Scanning: Implementieren Sie automatisierte interne und externe Schwachstellen-Scans auf einer definierten, regelmäßigen Basis (z.B. wöchentlich, monatlich), ergänzt durch Ad-hoc-Scans nach signifikanten Infrastrukturänderungen.
  • Umfassender Umfang: Scannen Sie eine breite Palette von Assets, einschließlich Netzwerkgeräten, Servern, Workstations, Cloud-Umgebungen, Webanwendungen und Containern. Dies erstreckt sich auch auf die Identifizierung von Fehlkonfigurationen.
  • Integrierten Prozess: Scanning ist nur ein Schritt. Ein effektives Programm erfordert einen dokumentierten Prozess für:
    • Identifizierung: Erkennung von Schwachstellen durch Scanning.
    • Bewertung: Priorisierung von Schwachstellen basierend auf Schweregrad, Ausnutzbarkeit und potenziellen Auswirkungen auf kritische Dienste (Verbindung zu Ihren Richtlinien zur Risikoanalyse).
    • Behebung: Implementierung von Patches, Konfigurationsänderungen oder anderen mindernden Kontrollen.
    • Verifizierung: Erneutes Scannen, um zu bestätigen, dass Schwachstellen erfolgreich behoben wurden.
    • Meldung & Offenlegung: Dokumentation des Prozesses und, wo zutreffend, Einhaltung der NIS2-Meldepflichten für Vorfälle, wenn eine Schwachstelle zu einem tatsächlichen Sicherheitsvorfall führt.

Nutzung von ISO 27001 für das Schwachstellenmanagement:

Organisationen mit einem ISO 27001-zertifizierten ISMS sind hier gut aufgestellt. Die ISO 27001:2022-Kontrolle **A.8.8 (Management technischer Schwachstellen)** leitet die Etablierung eines robusten Schwachstellenmanagementprozesses direkt an. Dies beinhaltet:

  • Festlegung von Verfahren zur Identifizierung und Behebung von Schwachstellen.
  • Einsatz von Schwachstellen-Scanning-Tools.
  • Informiert bleiben über neue Bedrohungen und Schwachstellen.
  • Definition von Rollen und Verantwortlichkeiten für das Schwachstellenmanagement.

Durch die effektive Implementierung von A.8.8 legen Sie eine starke Grundlage, um die NIS2-Anforderungen für das Schwachstellenmanagement zu erfüllen und einen proaktiven Ansatz zur Aufrechterhaltung der Sicherheit Ihrer Netz- und Informationssysteme zu demonstrieren.

Wie die ISO 27001-Zertifizierung Ihren Weg zur NIS2 beschleunigt

Wenn Ihre Organisation bereits eine ISO 27001-Zertifizierung besitzt (insbesondere nach der Version 2022), befinden Sie sich in einer erheblich vorteilhaften Position für die Erreichung der NIS2-Compliance. Ihr ISMS bietet eine robuste Grundlage, auf der die zusätzlichen NIS2-spezifischen Anforderungen aufgebaut werden können.

So beschleunigt Ihre ISO 27001-Zertifizierung Ihren Weg zur NIS2:

  • Etabliertes Risikomanagement-Rahmenwerk: ISO 27001 schreibt einen systematischen, risikobasierten Ansatz für die Informationssicherheit vor. Dies stimmt perfekt mit der NIS2-Anforderung zur Implementierung von Cybersicherheits-Risikomanagementmaßnahmen (Artikel 21) überein. Sie verfügen bereits über die Prozesse zur Identifizierung, Bewertung und Behandlung von Risiken.
  • Definierte Sicherheitsrichtlinien und -verfahren: Ihr ISMS umfasst dokumentierte Richtlinien, Verfahren und Kontrollen, die verschiedene Aspekte der Informationssicherheit abdecken, von der Zugangskontrolle bis zum Vorfallsmanagement. Diese können direkt angepasst und erweitert werden, um die spezifischen Mandate der NIS2 zu erfüllen.
  • Kultur des Sicherheitsbewusstseins: ISO 27001 fördert durch Schulungen und Sensibilisierung eine sicherheitsbewusste Kultur. Diese interne Bereitschaft erleichtert die Implementierung neuer NIS2-Anforderungen und die Akzeptanz durch die Mitarbeiter.
  • Fähigkeiten zur Vorfallsbewältigung: Eine ISO 27001-konforme Organisation verfügt bereits über Pläne und Fähigkeiten zur Reaktion auf Vorfälle. Sie müssen diese primär anpassen, um die spezifischen Meldefristen und Kommunikationskanäle mit nationalen Behörden (wie dem BSI in Deutschland) der NIS2 zu berücksichtigen.
  • Grundlagen der Lieferkettensicherheit: Obwohl NIS2 mehr Strenge hinzufügt, enthält ISO 27001 Kontrollen für das Management von Lieferantenbeziehungen. Dies bietet einen Ausgangspunkt für die erweiterten Due-Diligence- und vertraglichen Anforderungen unter NIS2.
  • Nachweisbare Belege: Ein ISMS generiert umfangreiche Dokumentationen (z.B. Risikobewertungsberichte, Richtlinien, Audit-Protokolle), die als entscheidende Belege für Ihre Sicherheitsposition dienen. Diese Dokumentation kann leicht angepasst werden, um die Einhaltung der NIS2-Anforderungen bei potenziellen Audits durch nationale Behörden nachzuweisen.
  • Kontinuierlicher Verbesserungsprozess: Der Plan-Do-Check-Act (PDCA)-Zyklus der ISO 27001 gewährleistet eine kontinuierliche Überprüfung und Verbesserung Ihrer Sicherheitsposition. Dieser kontinuierliche Prozess ist ideal, um sich an sich entwickelnde NIS2-Leitlinien anzupassen und die Compliance im Laufe der Zeit aufrechtzuerhalten.

Die Schlüsselstrategie besteht darin, eine umfassende Gap-Analyse durchzuführen. Dies beinhaltet die Überprüfung Ihres bestehenden ISO 27001-ISMS anhand des vollständigen Textes der NIS2-Richtlinie (und ihrer nationalen Umsetzungsgesetze), um zu identifizieren, wo zusätzliche Maßnahmen, Änderungen oder spezifische Dokumentationen erforderlich sind. Konzentrieren Sie sich auf die NIS2-spezifischen Meldepflichten, die erweiterte Sorgfaltspflicht in der Lieferkette und alle neuen technologischen Mandate (wie explizite MFA-Anforderungen).

Wie Nistra die Lücke zwischen ISO 27001 und NIS2 schließt

Selbst mit einem ISO 27001-zertifizierten ISMS kann das Schließen spezifischer Lücken zur Erreichung der NIS2-Compliance ein komplexer und zeitaufwändiger Prozess sein. Das manuelle Zuordnen Hunderter von Kontrollen, das Verständnis der Nuancen von Meldepflichten und das ständige Verfolgen nationaler Umsetzungsgesetze erfordert spezielles Fachwissen und erhebliche Ressourcen.

Nistras KI-gestützte Plattform wurde entwickelt, um diese Integration zu optimieren und Ihren Weg zur NIS2-Compliance effizient und effektiv zu gestalten. Unser NIS2 Compliance Assessment ist speziell darauf ausgelegt, Organisationen zu unterstützen, die bestehende ISO 27001-Frameworks nutzen.

Nistra hilft Ihnen dabei:

  • Automatisierte Gap-Analyse: Unsere Plattform gleicht Ihre bestehenden ISO 27001-Kontrollen und Dokumentationen intelligent mit den detaillierten Anforderungen der NIS2 (Artikel 21 und andere) ab und hebt präzise Lücken und Bereiche hervor, die Aufmerksamkeit erfordern.
  • Umsetzbare Abhilfepläne: Für identifizierte Lücken bietet Nistra spezifische, priorisierte Empfehlungen basierend auf ENISA-Leitlinien und nationalen Interpretationen (z.B. des BSI in Deutschland), die hochrangige Anforderungen in klare, ausführbare Aufgaben umsetzen.
  • Nachweis-Zuordnung: Ordnen Sie Ihre bestehenden ISO 27001-Nachweise (Richtlinien, Verfahren, Audit-Protokolle) einfach den entsprechenden NIS2-Anforderungen zu, reduzieren Sie Doppelarbeit und optimieren Sie Ihre Audit-Bereitschaft.
  • Workflows zur Vorfallsmeldung: Nistra hilft Ihnen, Ihre bestehenden Vorfallsmanagementprozesse an die strengen Meldefristen und Formate der NIS2 anzupassen und eine nahtlose Kommunikation mit den zuständigen Behörden zu gewährleisten.
  • Kontinuierliche Compliance-Überwachung: Über die Erstzertifizierung hinaus überwacht Nistra kontinuierlich Änderungen in den NIS2-Leitlinien und nationalen Gesetzen und hilft Ihnen, die fortlaufende Compliance ohne manuelle Verfolgung aufrechtzuerhalten.
  • Unterstützung bei der Due Diligence in der Lieferkette: Erleichterung der erweiterten Lieferkettenbewertungen, die von NIS2 gefordert werden, um sicherzustellen, dass Ihre Drittanbieterrisiken angemessen verwaltet und dokumentiert werden.

Nutzen Sie Ihre ISO 27001-Investition voll aus. Nistra vereinfacht den Übergang zu NIS2 und gewährleistet eine umfassende und nachweisbare Compliance.

Kostenloses NIS2-Compliance-Assessment anfordern.

Zitationen:

Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie). Amtsblatt der Europäischen Union. L 333/80. (Zugänglich über EUR-Lex: https://eur-lex.europa.eu/eli/dir/2022/2555/oj)

ISO/IEC 27001:2022, Informationssicherheit, Cybersicherheit und Datenschutz — Informationssicherheits-Managementsysteme — Anforderungen. (Siehe offizielle ISO-Standarddokumentation.)

ISO/IEC 27002:2022, Informationssicherheit, Cybersicherheit und Datenschutz — Informationssicherheitskontrollen. (Siehe offizielle ISO-Standarddokumentation.)

Agentur der Europäischen Union für Cybersicherheit (ENISA). “Empfehlungen zur Sicherheit von Lieferketten.” (Siehe relevante ENISA-Publikationen und Leitlinien auf ihrer offiziellen Website: www.enisa.europa.eu)

Related Posts