“Geschäftsleitung fit für NIS2“, Teil 2

Die Umsetzung der NIS2-Richtlinie erfolgte in Deutschland durch ein sogenanntes Mantelgesetz. In diesem Mantelgesetz wurden mehrere andere gesetzliche Vorgaben entsprechend der  NIS2-Richtlinie angepasst. Der Großteil der NIS2-Anforderungen, die für NIS2-pflichtige Unternehmen relevant sind, finden sich daher im neu gefassten BSI-Gesetz (BSI-G). Im ersten Teil dieser Reihe von Blogartikeln zur Umsetzung der NIS2-Richtlinie in Deutschland hatten wir dargestellt, warum eine Schulungspflicht für Geschäftsleitungen im entsprechenden BSI-Gesetz (BSI-G) explizit mit aufgenommen worden ist. Doch es lassen sich noch weitere Aspekte der Informationssicherheit in den gesetzlichen Vorgaben finden.

Informationssicherheits-Managementsystem (ISO 27001)

Soll Informationssicherheit systematisch betrieben werden, so bauen viele Organisationen ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 auf. Und wie es das Wörtchen „Managementsystem“ schon andeutet – das Managementsystem soll für die Organisationsleitung Werkzeuge und Abläufe bereitstellen, mit deren Hilfe die Organisationsleitung das eigene Unternehmen zu Fragen der Informationssicherheit steuern kann. Eines der Kernelemente solcher Managementsysteme ist die „Managementbewertung“. Hier bewertet das Management (daher der Name) im Dialog mit dem Verantwortlichen für Informationssicherheit (meist ISB oder CISO genannt) die Lage des Unternehmens zur Informationssicherheit.

Managementbewertung

Die ISO 27001 sieht in einer solchen Managementbewertung z.B. vor, dass über identifizierte Risiken und den Status der Risikobehandlung berichtet wird, über sich ändernde Rahmenbedingungen oder über Informationssicherheitsvorfälle. Die Bewertung durch die Organisationsleitung gibt dem ISB und anderen Beteiligten wichtige Hinweise, ob die Maßnahmen zur Risikobehandlung aus Sicht der Organisationsleitung sinnvoll, angemessen und zielführend erscheinen. Natürlich ist eine Managementbewertung eine wiederkehrende Angelegenheit – über die Häufigkeit schweigt sich die ISO 27001 übrigens aus. Angemessen, je nach Informationsbedarf der Organisationsleitung und der konkreten Risikolage des Unternehmens, lautet die salomonische Antwort. In den meisten Fällen dürfte ein- bis viermal im Jahr ein passender Turnus sein.

Risikomanagementmaßnahmen

Nun fordert das BSI-Gesetz keine explizite Managementbewertung. Was jedoch von den Organisationsleitungen gefordert wird, ist die Überwachung der Umsetzung der zu ergreifenden Risikomanagementmaßnahmen (§38, Abs. 1 BSI-G). Es ist ein naheliegender Gedanke, für diese Tätigkeit auf etablierte und erprobte Abläufe zurückzugreifen. Und wenn man die Buchstaben des BSI-Gesetzes etwas genauer betrachtet, findet sich der Zusammenhang: Geschäftsleitungen sollen über das Risikomanagement geschult werden, damit (z.B. in Form einer Managementbewertung) eine fundierte Bewertung der Lage der Organisation erfolgen kann, inklusive der Lenkung des Unternehmens durch die Organisationsleitung.

Bei wem jetzt Informationsbedarf entstanden ist, findet auf unserer Webseite nicht nur das Seminar zur Schulung „Geschäftsleitung fit für NIS2“, sondern auch weitere Informationen, Schulungsangebote oder auch Podcasts zu einem ISMS oder der ISO27001. Und im kommenden Teil dieser Blogreihe wird es einen Blick hinter die Kulissen des Seminars „Geschäftsleitung fit für NIS2“ geben …

Was Sie auch interessieren könnte:

Seminar:

„Geschäftsleitung fit für NIS2“

Weitere Seminare finden Sie unter https://anmatho.de/seminare, diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.
Hören Sie rein!