ISO 27001

Analiză de lacune de la ISO 27001 la NIS2

O certificare ISO 27001 acoperă aproximativ 70% din cerințele tehnice ale NIS2, dar cele 30% rămase includ domeniile cu cel mai mare risc de aplicare a sancțiunilor: înregistrarea, termenele de raportare a incidentelor și răspunderea personală a conducerii.

Cory HiseyCory Hisey·Laufend geprüft

ISO 27001 este un avans, nu o linie de sosire

Dacă firma dumneavoastră deține o certificare ISO 27001:2022, sunteți înaintea majorității entităților vizate de NIS2. Cadrul ISMS, metodologia de evaluare a riscurilor și controalele din Anexa A se mapează bine pe cele zece domenii de măsuri de securitate cibernetică definite la §30(2) BSIG. BSI a recunoscut explicit că certificarea ISO 27001 demonstrează o postură de securitate matură, dar a afirmat la fel de explicit că certificarea singură nu echivalează cu conformitatea NIS2.

Lacuna există deoarece NIS2 introduce obligații pe care ISO 27001 nu a fost niciodată conceput să le acopere. ISO 27001 este un standard voluntar pentru sistemul de management, axat pe securitatea informației în interiorul unei organizații. NIS2 este o obligație de reglementare axată pe reziliența infrastructurii critice, cu raportare către autorități, răspundere personală a conducerii și sancțiuni legale. Acestea sunt paradigme de conformitate fundamental diferite: una vizează bunele practici, cealaltă vizează conformitatea legală.

Ghidul de mapare al ENISA și analizele realizate de DataGuard, secuvera și BSI însuși identifică în mod constant aceleași lacune. Înțelegerea zonelor în care ISO 27001 acoperă NIS2, și a celor în care nu o face, le permite firmelor certificate să construiască pe baza ISMS existent în loc să pornească de la zero, asigurându-se totodată că nu trec cu vederea cerințele specifice reglementării care comportă cel mai mare risc de aplicare a sancțiunilor.

Unde ISO 27001 acoperă deja NIS2
Aceste domenii de cerințe NIS2 sunt acoperite în mare măsură de un ISMS ISO 27001:2022 bine implementat.

Managementul riscurilor (§30(2)(1) BSIG)

Clauzele 6.1 și 8.2 din ISO 27001 impun identificarea, analiza, evaluarea și tratarea riscurilor, exact ceea ce cere §30(2)(1). O metodologie existentă de evaluare a riscurilor din ISMS, dacă este menținută corect, îndeplinește această cerință. Asigurați-vă că registrul de riscuri acoperă în mod specific riscurile legate de tehnologia operațională și de lanțul de aprovizionare, nu doar riscurile de securitate a informației.

Controlul accesului (§30(2)(5) BSIG)

Controalele A.5.15 până la A.5.18 și A.8.2 până la A.8.5 din Anexa A a ISO 27001 acoperă politica de control al accesului, furnizarea accesului utilizatorilor, gestionarea accesului privilegiat și restricționarea accesului la informații. Acestea se mapează direct pe cerințele §30(2)(5) BSIG privind controlul accesului la rețele și sisteme informatice.

Gestionarea incidentelor (§30(2)(2) BSIG)

Controalele A.5.24 până la A.5.28 din Anexa A a ISO 27001 acoperă planificarea, evaluarea, răspunsul și învățarea în managementul incidentelor. Procesul tehnic de gestionare a incidentelor impus de NIS2 este bine acoperit, deși termenele de raportare și notificarea către BSI nu fac parte din ISO 27001 (a se vedea lacunele de mai jos).

Continuitatea activității (§30(2)(3) BSIG)

Controalele A.5.29 și A.5.30 din Anexa A a ISO 27001 abordează securitatea informației pe durata perturbărilor și pregătirea TIC pentru continuitatea activității. Combinate cu o analiză BIA corespunzătoare și cu proceduri de recuperare testate, acestea acoperă în mare măsură cerințele NIS2 privind continuitatea.

Criptografia (§30(2)(8) BSIG)

Controlul A.8.24 din Anexa A a ISO 27001 acoperă utilizarea criptografiei. Un ISMS matur include politici criptografice, proceduri de gestionare a cheilor și standarde de selecție a algoritmilor care se aliniază cerințelor NIS2 privind criptografia.

Relațiile cu furnizorii (§30(2)(4) BSIG, parțial)

Controalele A.5.19 până la A.5.23 din Anexa A a ISO 27001 abordează securitatea informației în relațiile cu furnizorii, inclusiv evaluarea furnizorilor, monitorizarea prestării serviciilor și gestionarea schimbărilor. Acestea oferă o bază, dar NIS2 impune o diligență mai amplă privind lanțul de aprovizionare (a se vedea lacunele).

Formare și conștientizare (§30(2)(9) BSIG)

Controlul A.6.3 din Anexa A a ISO 27001 acoperă conștientizarea, educația și formarea în domeniul securității informației. Acesta se aliniază cerinței generale de formare din NIS2, deși NIS2 adaugă obligații specifice de formare a conducerii în temeiul §38 BSIG, care depășesc domeniul de aplicare al ISO 27001.

Lacune critice. Ce nu acoperă ISO 27001
Aceste cerințe NIS2 nu au echivalent în ISO 27001 și trebuie abordate separat. Ele reprezintă cel mai mare risc de aplicare a sancțiunilor pentru firmele certificate ISO.

Obligația de înregistrare la BSI (§33 BSIG)

ISO 27001 nu cunoaște conceptul de înregistrare la autorități. §33 BSIG impune fiecărei entități NIS2 să se înregistreze la BSI, furnizând informații despre entitate, clasificarea sectorială, datele de contact și intervalele IP. Aceasta este o obligație de reglementare de sine stătătoare, cu propriile dispoziții privind sancțiunile. Certificarea dumneavoastră ISO nu o declanșează și nu o înlocuiește.

Termenele de raportare a incidentelor (§32 BSIG)

ISO 27001 impune răspuns la incidente, dar nu stabilește termene de raportare externă. §32 BSIG impune: avertizare timpurie către BSI în termen de 24 de ore, notificarea incidentului în termen de 72 de ore și raportul final în termen de o lună. Acestea sunt termene legale, cu sancțiuni distincte pentru neconformitate. Procesul de gestionare a incidentelor din ISMS trebuie extins cu fluxuri de raportare specifice către BSI.

Răspunderea personală a conducerii (§38 BSIG)

ISO 27001 impune angajamentul și leadershipul conducerii (Clauza 5), dar nu creează nicio răspundere juridică personală. §38 BSIG face Geschäftsleiter răspunzători personal pentru deficiențele în guvernanța securității cibernetice, inclusiv o obligație de la care nu se poate renunța de a aproba măsurile, de a supraveghea implementarea și de a finaliza formarea personală în domeniul securității cibernetice. Niciun control ISO nu abordează acest aspect.

Cadrul legal al sancțiunilor (§65 BSIG)

Neconformitatea cu ISO 27001 are drept consecință pierderea certificării, o consecință reputațională. Neconformitatea cu NIS2 în temeiul §65 BSIG atrage amenzi de până la 10 milioane EUR sau 2% din cifra de afaceri globală pentru entitățile esențiale. Mecanismul de aplicare este fundamental diferit: sancțiuni ale autorităților versus statutul unei certificări voluntare.

Diligență sporită privind lanțul de aprovizionare (§30(2)(4) BSIG)

Deși controalele A.5.19 până la A.5.23 din Anexa A a ISO 27001 acoperă securitatea furnizorilor, NIS2 impune o evaluare mai detaliată a riscurilor lanțului de aprovizionare, inclusiv evaluarea maturității în securitate cibernetică a furnizorilor înșiși, luarea în considerare a vulnerabilităților specifice lanțului de aprovizionare și evaluarea dependențelor critice. Anexa CIR 2024/2690 specifică cerințe contractuale de securitate și monitorizarea continuă a furnizorilor care depășesc controalele de gestionare a furnizorilor din ISO 27001.

Cerințe de guvernanță specifice NIS2

NIS2 impune structuri de guvernanță specifice, inclusiv puncte de contact desemnate pentru BSI (§33 BSIG), participarea la CSIRT-uri sectoriale și respectarea ordinelor de aplicare emise de BSI. Acestea sunt cerințe de guvernanță de reglementare care se situează în afara domeniului de aplicare al ISMS. Ele privesc relația dintre entitate și autoritățile statului, nu managementul intern al securității.

Maparea controalelor §30(2) BSIG pe ISO 27001
Maparea detaliată a fiecărui domeniu de măsuri NIS2 pe cele mai apropiate controale din Anexa A a ISO 27001:2022, cu evaluarea acoperirii.
Măsura NIS2 / §30(2) BSIGControale ISO 27001:2022Acoperire
Analiza riscurilor și politicile de securitateClauza 6.1, 8.2; A.5.1
Completă
Gestionarea incidentelorA.5.24-A.5.28
Parțială. Fără termene de raportare la BSI
Continuitatea activității și managementul crizelorA.5.29, A.5.30
Completă
Securitatea lanțului de aprovizionareA.5.19-A.5.23
Parțială. Lipsește diligența sporită
Securitatea în achiziție, dezvoltare, mentenanțăA.8.25-A.8.31
Completă
Evaluarea eficacitățiiClauza 9.1, 9.2, 9.3; A.8.8
Completă
Formare în securitate ciberneticăA.6.3
Parțială. Formarea conducerii prevăzută la §38 nu este acoperită
CriptografiaA.8.24
Completă
Controlul accesului și managementul activelorA.5.9-A.5.18; A.8.2-A.8.5
Completă
Autentificarea cu mai mulți factori și comunicarea securizatăA.8.5
Parțială. Cerința de MFA este mai specifică în NIS2
Surse
  • ISO/IEC 27001:2022. Securitatea informației, securitatea cibernetică și protecția vieții private. Sisteme de management al securității informației
  • BSIG. §30(2) (Risikomanagementmaßnahmen), §32 (Meldepflichten), §33 (Registrierung), §38 (Geschäftsleitung), §65 (Bußgeldvorschriften)
  • BSI. Ghid privind relația dintre certificarea ISO 27001 și conformitatea NIS2
  • ENISA. Ghid de mapare de la NIS2 la ISO 27001 (2024)
  • DataGuard. Analiză de lacune și mapare de la ISO 27001 la NIS2 (2024)
  • CIR (UE) 2024/2690. Cerințele tehnice din anexă și referințele la ISO 27001
Acoperiți lacunele dintre ISO și NIS2
Platforma identifică exact ce cerințe NIS2 sunt deja acoperite de certificarea dumneavoastră ISO 27001 și ce lacune rămân, astfel încât să construiți pe baza controalelor existente în loc să porniți de la zero.
Începeți procesul de conformitate NIS2