Update Januar 2023: Umstellung ISO/IEC 27001:2022
Marc Alexander Luge | Januar 2023
Die Deutsche Akkreditierungsbehörde GmbH (DAkkS) hat am 13.Januar 2023 die lang erwartete Umstellungsanleitung für Akkreditierungen im Bereich ISO/IEC 27001:2022 veröffentlicht. Was ergibt sich daraus für nach DIN EN ISO/IEC 27001:2017-06 zertifizierte Unternehmen?
Mapping ISO/IEC 27002:2013 <-> ISO/IEC 27002:2022
Marc Alexander Luge | November 2022
Die ISO/IEC 27002:2022 bringt umfangreiche Änderungen mit sich, welche zentrale Auswirkungen auf die ISO/IEC 27001:2022 haben. Gerne stellen Ihnen mit diesem Update das Mapping zwischen der alten und neue ISO/IEC 27002 zur Verfügung.
Umstellung bestehender Zertifikate auf die ISO/IEC 27001:2022
Marc Alexander Luge | November 2022
Mit der neuen ISO/IEC 27001:2022 muss einerseits die RSM Certification GmbH einen Antrag auf Änderung der Akkreditierung stellen. Andererseits müssen sich alle zertifizierten Mandate entsprechend umstellen. Welche Fristen gibt es und in welcher Form erfolgt die Umstellung?
UPDATE: Veröffentlichung der neuen ISO/IEC 27001:2022 sowie Verabschiedung der „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“
Marc Alexander Luge | November 2022
Im Rahmen der Veröffentlichung der letzten blog-Artikel haben wir Ihnen die organisatorischen und technischen Herausforderungen der neuen ISO/IEC 27002:2022 sowie die "Orientierungshilfe zum Einastz von Systemen zur Angriffserkennung" des BSI. Sowohl hinsichtlich der ISO/IEC 27001, also der Orientierungshilfe gibt es mittlerweile Updates.
Systeme zur Angriffserkennung - Orientierungshilfe des BSI zur Umsetzung
Marc Alexander Luge | August 2022
Am 28.5.2021 trat das IT-Sicherheitsgesetz 2.0 (IT-SiG) in Kraft. Wie bereits das IT-SiG 1.0, bedingte auch die 2.0 als Artikelgesetz weitreichende Änderungen in einer ganzen Reihe von Einzelgesetzen (neben dem BSI-Gesetz – BSIG – u. a. das Energiewirtschaftsgesetz (EnWG) und das Telekommunikationsgesetz). Das IT-SiG 2.0 geht insbesondere mit zusätzlichen Pflichten, u. a. für Betreiber kritischer Infrastrukturen (KRITIS-Betreiber), einher. Diese sind z. B. verpflichtet, ab dem 1. Mai 2023 ganzheitliche Systeme zur Angriffserkennung (SzA) nach dem geltenden Stand der Technik einzusetzen und dies gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen (§ 8a Abs. 1a BSIG). KRITIS-Betreiber müssen den Einsatz der SzA ab dem 1.5.2023 mit dem nächsten fälligen Nachweis gemäß § 8a Abs. 3 BSIG nachweisen.
2022: Update IT-Sicherheitskatalog - Abermals
Marc Alexander Luge | August 2022
Durch die Bundesnetzagentur erfolgte an einer Stelle in beiden Konformitätsbewertungsprogrammen eine wesentliche Änderung: Spricht die Fassung aus dem Frühjahr 2022 davon, dass Mitglieder des Audit-Teams selbst die Anforderungen an die Qualifikation des Fachexperten nicht erfüllen könnten, was einerseits den Markt an Fachexperten deutlich reduziert hätte und andererseits zu einer deutlichen Erhöhung der Kosten eines Audits geführt hätte, erfolgte im Juli wieder die Rolle rückwärts. Dies bedeutet, dass wieder gilt: Die Unterstützung durch einen Fachexperten kann ent¬fallen, sofern ein Mitglied des Audit-Teams mindestens fünf Mal zusammen mit einem Fachexperten im Rahmen von Audits zur Zertifizierung des IT-Sicherheitskatalogs gemäß § 11 Ab¬satz 1a oder 1b EnWG die Risikoeinschätzung und den Scope des ISMS eines Netzbetreibers beurteilt hat.
ISO/IEC 27002:2022 - Auswirkungen der neuen ISO/IEC 27002 auf bestehende ISO/IEC 27001-Zertifikate
Marc Alexander Luge | August 2022
Im Rahmen unseres letzten Blog-Eintrages haben wir Sie bereits über organisatorische und technische Herausforderungen der neuen ISO/IEC 27002:2022 informiert und ebenfalls die neu eingeführten Kontrollen in der ISO/IEC 27002:2022 dargestellt. Doch welche Auswirkungen hat das auf bestehende Zertifikate?
Organisatorische und technische Herausforderungen der neuen ISO/IEC 27002:2022
Marc Alexander Luge | Juli 2022
Im Februar 2022 wurde die neue ISO/IEC 27002:2022 veröffentlicht, welche die ISO/IEC 27002:2013-10 ersetzt. Bei der neuen Ausgabe der ISO 27002 handelt es sich diesmal um eine komplette Überarbeitung der bestehenden Fassung, was sich bereits durch den Titel widerspiegelt. War bisher von „Information technology — Security techniques — Code of practice for information security controls“ die Rede, so ist die Bezeichnung der neuen ISO/IEC 27002:2022: „Information security, cybersecurity and privacy protection — Information security controls“. Es wird deutlich, wie die aktualisierten Maßnahmen, die Anforderungen an die IT-Sicherheit in den nächsten Jahren wieder mehr in den Fokus rücken.
In eigener Sache - Webinare zur ISO/IEC 27002:2022
Marc Alexander Luge | April 2022
Die RSM Certification GmbH wird gemeinsam mit dem Geschäftsbereich IT-Revision (GBIT) von Ebner Stolz am 10. und 31. Mai Webinare zur ISO/IEC 27002:2022 anbieten. Die Teilnahme ist jeweils kostenlos.
IT-Sicherheit im Energiesektor - Update der Bundesnetzagentur
Marc Alexander Luge | April 2022
Die Unterstützung durch Informations- und Kommunikationstechnologie (IKT)-Systeme bringt viele Vorteile, jedoch gehen mit der wachsenden Abhängigkeit von diesen Systemen auch Risiken für die Versorgungssicherheit einher. Die Bundesnetzagentur (BNetzA) hatte daher den Auftrag, im Benehmen mit dem Bundesamt für Sicherheit, in der Informationstechnik (BSI) Mindeststandards für die IT-Sicherheit im Energiesektor zu erstellen und zu veröffentlichen.
In eigener Sache - RSM Certification GmbH akkreditiert für den IT-Sicherheitskatalog gemäß § 11 Abs. 1a EnWG
Marc Alexander Luge | März 2022
Was lange währt … So oder so ähnlich könnte man die Beschreibung des Prozesses beginnen, wenn es um unsere Akkreditierung für den IT-Sicherheitskatalog gemäß § 11 Abs. 1a EnWG (08/2015) - kurz IT-Sikat 1a - geht.
In eigener Sache - Umstellung ISO/IEC 27006:2015/Amd. 1:2020 bzw. DIN EN ISO/IEC 27006:2021-05
Marc Alexander Luge | Oktober 2021
Die Deutsche Akkreditierungsstelle GmbH (DAkkS) hat eine Umstellungsanleitung für Akkreditierungen im Bereich ISO/IEC 27006:2015/Amd.1:2020 veröffentlicht. Im Rahmen dessen wurde festgelegt, dass zur Überprüfung der Umstellung im Rahmen der Akkreditierung im Regelfall eine umfassende Dokumentenprüfung sowie eine Vor-Ort-Begutachtung zu erfolgen hat. Für die Dokumentenprüfung wurden entsprechende Vorgaben gemacht.
IT-SiG 2.0 -> BSI-KritisV 2.0
Marc Alexander Luge | Oktober 2021
Nachdem am 28. Mai 2021 das IT-Sicherheitsgesetz 2.0 in Kraft getreten ist, war es nur eine Frage der Zeit, dass ebenfalls die BSI-Kritisverordnung entsprechend angepasst wird. In welchem Umfang dies erfolgt und ob tatsächlich eine hohe Anzahl zusätzlicher Unternehmen ab 2022 zu den KRITIS zählen, lesen Sie nachfolgend.
ISO/IEC DIS 27002:2021-01 - Überarbeitung oder Erweiterung der Version aus 2013?
Marc Alexander Luge | Juli 2021
Die internationale Norm ISO/IEC 27002 ist ein Leitfaden für Informationssicherheitsmaßnahmen, welcher momentan noch in der englischen Fassung aus dem Jahr 2013 bzw. in der deutschen Fassung aus dem Jahr 2017 anzuwenden ist. Die Vorgaben der Norm sind nicht verpflichtend anzuwenden, es handelt sich vielmehr um Empfehlungen, die umgesetzt werden können. Allerdings ergeben sich durchaus Auswirkungen auf andere Standards aus der 27000-Normenreihe, da die Norm die Informationssicherheitsmaßnahmen (Controls) des Anhangs A der Norm ISO/IEC 27001, welche die zentrale Norm für Informationssicherheitsmanagementsysteme darstellt, konkretisiert und erläutert.
Update BNetzA Umsetzung IT-Sikat §11 Abs. 1b EnWG
Autor: Ricky Stewart | Juli 2021
Update der Regelung zur Vorlage des Nachweises zur Umsetzung des IT-Sicherheitskatalogs nach § 11 Abs. 1b EnWG im Zusammenhang mit der Ausbreitung von SARS-CoV-2
Betreiber von Energieanlagen, die nach der BSI-KritisV als Kritische Infrastruktur bestimmt wurden, sind gemäß § 11 Abs. 1b Energiewirtschaftsgesetz (EnWG) dazu verpflichtet, den von der Bundesnetzagentur (BNetzA) am 18. Dezember 2018 veröffentlichten IT-Sicherheitskatalog für Energieanlagen umzusetzen. Zum Nachweis der Umsetzung haben Betreiber von Energieanlagen bis zum 31. März 2021 den Abschluss des vorgeschriebenen Zertifizierungsverfahrens anzuzeigen.
Umstellung ISO/IEC 27019:2017
Autor: Ricky Stewart | Juni 2021
Am 1. November 2017 wurde die überarbeitete ISO/IEC 27019:2017 „Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmaßnahmen für die Energieversorgung“ veröffentlicht. Alle Betreiber von Energieversorgungsnetzen in Deutschland müssen sich seit 2017 einer Zertifizierung nach dem IT-Sicherheitskatalog (nachfolgend IT-SiKat) nach § 11 Abs. 1a EnWG der Bundesnetzagentur (BNetzA) unterziehen.
IT- Sicherheitsgesetz 2.0 - Durchbruch für Deutschlands Cybersicherheit?
Marc Alexander Luge | Juni 2021
Bereits im Frühjahr 2019 wurde der erste Referentenentwurf zum IT-Sicherheitsgesetz (IT-SiG) 2.0 veröffentlicht, um das aus dem Jahr 2015 stammende IT-SiG umfangreich anzupassen. Zwei Jahre später wurde es zum 27. Mai im Bundesgesetzblatt veröffentlicht und trat somit zum 28. Mai 2021 in Kraft.
Alles hat einen Anfang…
Willkommen! oder wie man in Düsseldorf sagen würde: Jode Dach bzw. Wellkomme!
Mit dieser neu geschaffenen Kategorie auf unserer Website möchten wir regelmäßig sowohl über aktuelle Themen rund um die Zertifizierung von Managementsystemen informieren - seien es bspw. gesetzliche Anpassungen/Neuerungen sowie von Zertifizierungsvorgaben bzw. im Zertifizierungsprozess - als auch bspw. über News, die uns als Konformitätsbewertungsstelle betreffen.
Wir starten im Anschluss direkt mit dem ersten Artikel zum IT-Sicherheitsgesetz 2.0, das am 23. April 2021 beschlossen wurde und am 7. Mai vom Bundesrat die Zustimmung erhielt. Das Gesetz wurde am 27. Mai im Bundesgesetzblatt veröffentlicht und trat am 28.Mai 2021 in Kraft.