Auditbereite ISO 27001-Risikobeurteilung für NIS2 und DORA
Der Kaffee auf Sarahs Schreibtisch war kalt.
Als CISO eines schnell wachsenden Fintech-Unternehmens war sie Druck gewohnt. Das Unternehmen hatte gerade einen großen Bankpartner gewonnen, und der Due-Diligence-Fragebogen auf ihrem Bildschirm hätte eine reine Formsache sein sollen. Die ersten Fragen waren vertraut: ISO/IEC 27001:2022-Anwendbarkeitserklärung (SoA) bereitstellen, das aktuelle Risikoregister teilen, die Methodik der Risikobeurteilung erläutern.
Dann änderte sich der Fragebogen.
Weisen Sie nach, wie Ihr Risikomanagementprogramm DORA adressiert. Erläutern Sie Ihre Vorbereitung auf die NIS2-Richtlinie, einschließlich Rechenschaftspflicht des Managements und Maßnahmen zu Lieferkettenrisiken. Stellen Sie Nachweise bereit, dass kritische IKT-Lieferanten bewertet, überwacht und in Pläne zur Vorfallsreaktion sowie zur Geschäftskontinuität einbezogen werden.
Am Montagmorgen stand dasselbe Thema auf der Agenda des Risikoausschusses des Leitungsorgans. ISO 27001-Zertifizierungsaudit in acht Wochen. DORA-Druck von Kunden aus dem Finanzsektor. NIS2-Klassifizierungsfragen für einen cloudgehosteten Servicebereich, der in die EU expandiert. Der Einkauf sagte, Lieferantenprüfungen existierten, die Nachweise seien jedoch über E-Mails, Vertragsordner und eine Lieferantentabelle verteilt. Die Rechtsabteilung sagte, die regulatorische Zuordnung sei noch in Arbeit. Engineering sagte, das Risikoregister sei im Wesentlichen fertig.
Das Leitungsorgan stellte die einzige Frage, die zählte:
Können wir nachweisen, dass unsere Risikobeurteilung und unser Risikobehandlungsplan ausreichen?
Das ist das eigentliche Problem für SaaS-, Fintech-, Managed-Service-, Cloud- und digitale Plattformunternehmen. Nicht, ob ein Risikoregister existiert. Nicht, ob Annex A-Kontrollen in eine Tabelle kopiert wurden. Entscheidend ist, ob die Organisation unter Audit- und Kundendruck nachweisen kann, dass ihr ISO 27001-Risikobeurteilungsprozess wiederholbar, risikobasiert, von Risikoverantwortlichen genehmigt, mit Risikobehandlungsmaßnahmen verknüpft, auf rechtliche Verpflichtungen abgebildet und operativ wirksam ist.
Richtig umgesetzt, können eine ISO 27001-Risikobeurteilung und ein Risikobehandlungsplan die ISO/IEC 27001:2022-Zertifizierung, NIS2 Article 21-Maßnahmen zum Cybersicherheitsrisikomanagement, DORA-Anforderungen an das IKT-Risikomanagement, GDPR-Rechenschaftspflicht, Lieferantensicherheit, Vorfallsbereitschaft und Berichterstattung an das Leitungsorgan unterstützen.
Schlecht umgesetzt, wird daraus eine Tabelle, die Auditoren in dreißig Minuten zerlegen.
Dieser Leitfaden zeigt, wie Clarysec auditbereite Nachweise für ISO 27001-Risikobeurteilung und Risikobehandlung mit der Zenith Blueprint: 30-Schritte-Roadmap eines Auditors, Clarysec-Richtlinien und Zenith Controls: Der Cross-Compliance-Leitfaden aufbaut.
Warum die ISO 27001-Risikobeurteilung jetzt zum Compliance-Drehkreuz wird
Die regulatorische Landschaft der EU konvergiert um ein einfaches Prinzip: Cybersicherheitsrisiken müssen gesteuert, dokumentiert, getestet und verantwortet werden.
ISO/IEC 27001:2022 funktioniert bereits nach dieser Logik. Die Abschnitte 4.1 bis 4.4 verlangen, dass die Organisation ihren Kontext, interessierte Parteien, den Anwendungsbereich des ISMS und Prozessinteraktionen versteht, bevor sie Risiken beurteilt. Die Abschnitte 6.1.2 und 6.1.3 verlangen einen definierten Prozess zur Informationssicherheitsrisikobeurteilung und -behandlung. Die Abschnitte 8.2 und 8.3 verlangen, dass die Organisation Risikobeurteilungen durchführt und den Risikobehandlungsplan umsetzt, während dokumentierte Informationen aufbewahrt werden.
NIS2 und DORA machen dieselbe risikobasierte Logik dringlicher.
NIS2 Article 20 verlangt von den Leitungsorganen wesentlicher und wichtiger Einrichtungen, Maßnahmen des Cybersicherheitsrisikomanagements zu genehmigen, deren Umsetzung zu überwachen und Cybersicherheitsschulungen zu absolvieren. Article 21 verlangt angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen zur Steuerung von Risiken für Netz- und Informationssysteme. Diese Maßnahmen umfassen Risikoanalyse, Verfahren zum Umgang mit Informationssicherheitsvorfällen, Geschäftskontinuität, Sicherheit der Lieferkette, sichere Entwicklung, Schwachstellenmanagement, Wirksamkeitsbewertung, Cyberhygiene, Kryptografie, HR-Sicherheit, Zugriffskontrolle, Asset-Management sowie Multi-Faktor-Authentifizierung oder sichere Kommunikation, soweit angemessen.
DORA erzeugt ähnlichen Druck auf Finanzunternehmen. Articles 5 and 6 verlangen vom Leitungsorgan, Regelungen zum IKT-Risikomanagement zu definieren, zu genehmigen und zu überwachen sowie dafür verantwortlich zu bleiben. DORA erwartet ein dokumentiertes Rahmenwerk für das Management von IKT-Risiken, das in das übergreifende Risikomanagement integriert ist und durch Richtlinien, Verfahren, Protokolle, Werkzeuge, interne Audits, Abhilfemaßnahmen, Geschäftskontinuität, Tests, Vorfallmanagement und Governance für IKT-Drittparteien unterstützt wird.
Die praktische und unvermeidbare Schlussfolgerung lautet: Das Risikoregister ist kein Arbeitsblatt des technischen Teams mehr. Es ist Governance-Nachweis.
Clarysecs Enterprise-Risikomanagement-Richtlinie macht diese Erwartung ausdrücklich:
Ein formaler Risikomanagementprozess muss gemäß ISO/IEC 27005 und ISO 31000 aufrechterhalten werden und Risikoidentifizierung, Risikoanalyse, Risikobewertung, Risikobehandlung, Risikoüberwachung und Risikokommunikation abdecken.
Aus der Enterprise-Risikomanagement-Richtlinie, Abschnitt „Governance-Anforderungen“, Richtlinienanforderung 5.1.
Dieselbe Richtlinie definiert das auditbereite Ergebnis:
Aufrechterhaltung eines zentralen, versionskontrollierten Risikoregisters und Risikobehandlungsplans, der den aktuellen Risikostatus, die Kontrollabdeckung und den Fortschritt der Risikominderung widerspiegelt.
Aus der Enterprise-Risikomanagement-Richtlinie, Abschnitt „Ziele“, Richtlinienanforderung 3.3.
Diese Formulierung „aktueller Risikostatus, Kontrollabdeckung und Fortschritt der Risikominderung“ ist der Unterschied zwischen einer statischen Compliance-Akte und einem belastbaren Risikoprogramm.
Mit Anwendungsbereich, Verpflichtungen und Risikokriterien beginnen
Viele schwache ISO 27001-Risikobeurteilungen beginnen mit einer Kontrollcheckliste. Das ist die falsche Reihenfolge.
ISO 27001 verlangt, dass die Organisation Kontext, Anforderungen interessierter Parteien, ISMS-Anwendungsbereich, Führungsverantwortung und Risikoplanung bestimmt, bevor sie Kontrollen auswählt. ISO/IEC 27005:2022 verstärkt dies, indem Organisationen empfohlen wird, die grundlegenden Anforderungen interessierter Parteien zu identifizieren, bevor Risiken beurteilt werden. Diese Anforderungen können aus ISO-Normen, branchenspezifischen Vorschriften, nationalen Gesetzen, Kundenverträgen, internen Richtlinien, früheren Risikobehandlungsmaßnahmen und Lieferantenverpflichtungen stammen.
Für ein SaaS- oder Fintech-Unternehmen mit EU-Bezug sollte der Risikoprozess mit einem Inventar der Compliance- und Verpflichtungsanforderungen beginnen.
| Anforderungsquelle | Warum sie die ISO 27001-Risikobeurteilung beeinflusst | Nachweisartefakt |
|---|---|---|
| ISO/IEC 27001:2022 Abschnitte 4, 5, 6, 8, 9 und 10 | Definiert Kontext, Führung, Risikobeurteilung, Risikobehandlung, operative Steuerung, Leistungsbewertung und Verbesserung | ISMS-Anwendungsbereich, Risikomethodik, Risikoregister, Risikobehandlungsplan, SoA, Aufzeichnungen zur Managementbewertung |
| NIS2 Articles 20, 21 and 23 | Ergänzt Rechenschaftspflicht des Managements, gefahrenübergreifende Cybersicherheitsmaßnahmen und Erwartungen an Vorfallmeldungen | Genehmigung durch das Leitungsorgan, Article 21-Zuordnung, Playbook zur Vorfallmeldung, Nachweise zur Geschäftskontinuität |
| DORA Articles 5, 6, 11, 12, 17, 18, 19, 24, 28 and 30 | Verlangt IKT-Risikogovernance, Geschäftskontinuität, Backup und Wiederherstellung, Vorfallslebenszyklus, Tests sowie Kontrollen für IKT-Drittparteienrisiken | IKT-Risikomanagementrahmenwerk, BCP-Tests, Vorfallsregister, Aufzeichnungen zu Resilienztests, IKT-Lieferantenregister |
| GDPR Articles 3, 4, 5, 6, 9, 10, 25, 32, 33 and 34 | Verlangt Rechenschaftspflicht, rechtmäßige Informationsverarbeitung, Datenschutz durch Technikgestaltung, angemessene Sicherheit und Bewertung von Datenschutzverletzungen | Dateninventar, Zuordnung der Rechtsgrundlagen, Datenschutz-Risikoeinträge, DPIA-Verknüpfungen, Aufzeichnungen zur Bewertung von Datenschutzverletzungen |
| Lieferanten- und Kundenverträge | Überführt kommerzielle Zusagen in Risikokriterien, Kontrollen, Nachweise und Fristen | Vertragsregister, Due-Diligence-Aufzeichnungen, Auditrechte, SLAs, Exit-Klauseln |
Für KMU legt Clarysecs Richtlinie zur Einhaltung rechtlicher und regulatorischer Anforderungen – KMU den Ausgangspunkt fest:
Der Geschäftsführer muss ein einfaches, strukturiertes Compliance-Register führen, das Folgendes auflistet:
Aus der KMU-Richtlinie zur Einhaltung rechtlicher und regulatorischer Anforderungen, Abschnitt „Governance-Anforderungen“, Richtlinienanforderung 5.1.1.
Dieses einfache Register bildet die Brücke zwischen Compliance und Risikomanagement. Wenn es festhält, dass GDPR anwendbar ist, weil personenbezogene Daten aus der EU verarbeitet werden, NIS2 anwendbar sein kann, weil die Organisation digitale oder Managed Services erbringt, oder DORA über Kunden aus dem Finanzsektor relevant ist, müssen diese Verpflichtungen Risikokriterien und Prioritäten der Risikobehandlung beeinflussen.
Die Zenith Blueprint ist an diesem Punkt in der Risikomanagementphase, Schritt 10, „Festlegung von Risikokriterien und Auswirkungsmatrix“, eindeutig:
Berücksichtigen Sie außerdem rechtliche/regulatorische Anforderungen in Ihren Akzeptanzkriterien. Einige Risiken können aufgrund gesetzlicher Vorgaben unabhängig von ihrer Eintrittswahrscheinlichkeit inakzeptabel sein.
Aus Zenith Blueprint, Risikomanagementphase, Schritt 10.
Sie gibt auch eine praxistaugliche Regel für Workshops vor:
„Jedes Risiko, das zu einer Nichteinhaltung anwendbarer Gesetze (GDPR usw.) führen könnte, ist nicht akzeptabel und muss gemindert werden.“
Aus Zenith Blueprint, Risikomanagementphase, Schritt 10.
Für Sarahs Fintech ändert das das Bewertungsmodell. Eine Schwachstelle in einer Lieferanten-API kann eine geringe Eintrittswahrscheinlichkeit haben; wenn eine Ausnutzung jedoch einen schwerwiegenden DORA-IKT-bezogenen Vorfall, einen erheblichen NIS2-Vorfall, eine GDPR-Bewertung einer Datenschutzverletzung, einen Kunden-SLA-Verstoß oder eine Eskalation auf Ebene des Leitungsorgans auslösen könnte, ist die Auswirkung hoch oder kritisch. Compliance-Exposition wird Teil der Risikologik, nicht eine separate Tabelle.
Ein Risikoregister aufbauen, das Auditoren testen können
Auditoren fragen nicht nur nach den Top-Risiken. Sie prüfen, ob die Methode definiert, wiederholbar, nachvollziehbar und angewendet ist.
Sie werden fragen:
- Wie haben Sie diese Risiken identifiziert?
- Welche Assets, Services, Lieferanten, Datenarten und Prozesse waren im Anwendungsbereich?
- Welche Kriterien wurden für Eintrittswahrscheinlichkeit und Auswirkung verwendet?
- Wer ist für jedes Risiko verantwortlich?
- Welche bestehenden Kontrollen reduzieren das Risiko?
- Warum wurde die Risikobehandlungsentscheidung ausgewählt?
- Wo befindet sich der Nachweis, dass die Behandlung umgesetzt wurde?
- Wer hat das Restrisiko genehmigt?
- Wann wird das Risiko neu bewertet?
Clarysecs Risikomanagement-Richtlinie – KMU beschreibt den minimalen auditbereiten Risikoeintrag:
Jeder Risikoeintrag muss Folgendes enthalten: Beschreibung, Eintrittswahrscheinlichkeit, Auswirkung, Bewertung, Verantwortlichen und Risikobehandlungsplan.
Aus der KMU-Risikomanagement-Richtlinie, Abschnitt „Governance-Anforderungen“, Richtlinienanforderung 5.1.2.
Für Enterprise-Programme erweitert die Zenith Blueprint in der Risikomanagementphase, Schritt 11, „Aufbau und Dokumentation des Risikoregisters“, die Struktur. Sie empfiehlt Spalten wie Risiko-ID, Asset, Bedrohung, Schwachstelle, Risikobeschreibung, Eintrittswahrscheinlichkeit, Auswirkung, Risikostufe, aktuelle Kontrollen, Risikoverantwortlicher, Risikobehandlungsentscheidung, Risikobehandlungsplan oder Kontrollen und Status.
Ein belastbarer Risikoeintrag sieht so aus:
| Feld | Beispieleintrag |
|---|---|
| Risiko-ID | R-042 |
| Asset oder Prozess | Verarbeitung von Kundendaten über Drittanbieter-Zahlungs-API und Produktionsdatenbank |
| Bedrohung | Ausnutzung einer kritischen Schwachstelle in der Lieferanten-API oder im unterstützenden Cloud-Datenbankdienst |
| Schwachstelle | Begrenzte Transparenz über das Schwachstellenmanagement des Lieferanten, unvollständige Wiederherstellungstests und kein getestetes Lieferanten-Playbook für Datenschutzverletzungen |
| Risikobeschreibung | Eine Kompromittierung eines Lieferanten oder Cloud-Service könnte Finanzdaten offenlegen, den Service stören, regulatorische Meldungen auslösen und Kundenverträge verletzen |
| Aktuelle Kontrollen | SSO, rollenbasierter Zugriff, Lieferantenvertrag, Produktionsprotokollierung, tägliche Backups, vierteljährliche Berechtigungsüberprüfung |
| Eintrittswahrscheinlichkeit | Mittel |
| Auswirkung | Kritisch |
| Risikostufe | Kritisch |
| Risikoverantwortlicher | CTO und Leiter Platform Engineering |
| Risikobehandlungsentscheidung | Mindern |
| Regulatorische Zuordnung | ISO 27001 Annex A-Kontrollen zu Lieferanten, Cloud, Vorfällen, Protokollierung, Zugriff, Geschäftskontinuität, Backup und rechtlicher Compliance; NIS2 Articles 20, 21 and 23; DORA Articles 5, 6, 11, 12, 17, 18, 19, 24, 28 and 30; GDPR Articles 32, 33 and 34 |
| Nachweis | Lieferanten-Due-Diligence, Antrag auf Ausübung von Auditrechten, Bericht zum Wiederherstellungstest, SIEM-Überwachungsregel, Incident-Tabletop, aktualisierte SoA, Protokoll der Managementbewertung |
Das unterscheidet sich wesentlich von „Drittparteienrisiko, Hoch, mindern“. Die auditbereite Version verknüpft Asset, Bedrohung, Schwachstelle, Folge, aktuelle Kontrollen, Verantwortlichen, Vorschrift, Nachweis und Governance.
Risikobehandlung in einen Nachweisplan überführen
Ein Risikobehandlungsplan muss vier operative Fragen beantworten:
- Was werden wir tun?
- Wer ist verantwortlich?
- Bis wann wird es erledigt?
- Wie weisen wir nach, dass das Risiko reduziert wurde?
ISO/IEC 27001:2022 Abschnitt 6.1.3 verlangt, dass die Organisation Behandlungsoptionen auswählt, notwendige Kontrollen bestimmt, diese mit Annex A vergleicht, um Auslassungen zu vermeiden, eine Anwendbarkeitserklärung erstellt, einen Behandlungsplan formuliert und die Genehmigung der Risikoverantwortlichen für den Plan und die Restrisiken einholt. Abschnitt 8.3 verlangt anschließend die Umsetzung des Behandlungsplans und die Aufbewahrung dokumentierter Informationen zu den Ergebnissen.
Die Enterprise-Risikomanagement-Richtlinie macht dies operativ greifbar:
Der Risikobeauftragte muss sicherstellen, dass Risikobehandlungen realistisch, terminiert und auf ISO/IEC 27001 Annex A-Kontrollen abgebildet sind.
Aus der Enterprise-Risikomanagement-Richtlinie, Abschnitt „Anforderungen an die Umsetzung der Richtlinie“, Richtlinienanforderung 6.4.2.
Die KMU-Richtlinie stellt außerdem klar, dass Akzeptanz keine Abkürzung ist:
Akzeptieren: Begründen Sie, warum keine weitere Maßnahme erforderlich ist, und dokumentieren Sie das Restrisiko.
Aus der KMU-Risikomanagement-Richtlinie, Abschnitt „Anforderungen an die Umsetzung der Richtlinie“, Richtlinienanforderung 6.1.1.
Akzeptanz muss anhand von Kriterien begründet, vom richtigen Verantwortlichen genehmigt und überwacht werden. Unter NIS2 und DORA kann ein nicht genehmigtes Restrisiko zu einem Governance-Versagen werden.
Ein vollständiger Behandlungsplan sollte diese Felder enthalten:
| Feld des Behandlungsplans | Audit-Zweck |
|---|---|
| Risiko-ID | Verknüpft die Behandlung mit dem beurteilten Risiko |
| Behandlungsoption | Zeigt die Begründung: mindern, vermeiden, übertragen oder akzeptieren |
| Ausgewählte Kontrollen | Verbindet das Risiko mit Annex A, Richtlinien und technischen Schutzmaßnahmen |
| Regulatorischer Treiber | Zeigt Relevanz für NIS2, DORA, GDPR, Vertrag oder Kundenanforderung |
| Maßnahmenverantwortlicher | Belegt Rechenschaftspflicht |
| Fälligkeitstermin | Macht die Behandlung zeitlich verbindlich |
| Umsetzungsnachweis | Zeigt, dass die Maßnahme abgeschlossen wurde |
| Wirksamkeitsmaß | Zeigt, ob Eintrittswahrscheinlichkeit oder Auswirkung reduziert wurde |
| Restrisiko | Zeigt die verbleibende Exposition |
| Genehmigung durch Risikoverantwortlichen | Belegt Akzeptanz und Governance |
Für Sarahs R-042 wird der Behandlungsplan zu einer Cross-Compliance-Maßnahmenliste.
| Risiko-ID | Risikobehandlungsmaßnahme | ISO/IEC 27001:2022 Annex A-Referenz | NIS2-Relevanz | DORA-Relevanz | Verantwortlicher | Nachweis |
|---|---|---|---|---|---|---|
| R-042 | Auditrechte gegenüber dem Lieferanten ausüben und Nachweise zum Schwachstellenmanagement anfordern | 5.19, 5.20, 5.21, 5.22, 5.31 | Article 21(2)(d) Sicherheit der Lieferkette | Articles 28 and 30 IKT-Drittparteienrisiko und Verträge | CTO und Beschaffungsleiter | Auditanfrage, Lieferantenantwort, Vertragsprüfung |
| R-042 | Erweiterte Überwachung für anomale API-Aktivitäten und privilegierte Aktivitäten implementieren | 8.15, 8.16, 5.16, 5.17, 5.18 | Article 21(2)(i) Zugriffskontrolle und Asset-Management | Articles 6 and 17 IKT-Risiko und Vorfallmanagement | SOC-Manager | SIEM-Regel, Alarmtest, Berechtigungsüberprüfung |
| R-042 | Backup-Wiederherstellung testen und servicebezogene RTO und RPO definieren | 5.30, 8.13, 8.14 | Article 21(2)(c) Geschäftskontinuität, Backup | Articles 11 and 12 Reaktion, Wiederherstellung, Backup und Wiederherstellung | Leiter Platform Engineering | Wiederherstellungsbericht, RTO- und RPO-Genehmigung |
| R-042 | Tabletop-Übung zu einer Lieferanten-Datenschutzverletzung durchführen | 5.24, 5.26, 5.27, 5.29 | Articles 21(2)(b) and 23 Verfahren zum Umgang mit Informationssicherheitsvorfällen und Berichterstattung | Articles 17, 18, 19 and 24 Vorfallmanagement, Klassifizierung, Berichterstattung und Tests | CISO | Tabletop-Aufzeichnung, Lessons Learned, Abhilfemaßnahmen-Tracker |
| R-042 | SoA und Restrisiko-Genehmigung aktualisieren | 5.4, 5.31, 5.35 | Article 20 Rechenschaftspflicht des Managements | Articles 5 and 6 Governance und IKT-Risikomanagementrahmenwerk | CISO und Risikoverantwortlicher | Aktualisierte SoA, Genehmigungsaufzeichnung, Protokoll der Managementbewertung |
Dieser Plan ist stark, weil er eine direkte Linie von einem Risikoszenario zu ISO 27001-Kontrollen, NIS2-Verpflichtungen, DORA-Artikeln, Verantwortlichen und Nachweisen herstellt.
Die Anwendbarkeitserklärung stärker nutzen
Die Anwendbarkeitserklärung wird häufig als Zertifizierungsartefakt behandelt. Sie sollte mehr sein.
ISO/IEC 27001:2022 Abschnitt 6.1.3 verlangt, dass die SoA notwendige Kontrollen, Begründungen für deren Aufnahme, Umsetzungsstatus und Begründungen für Ausschlüsse enthält. Die Leitlinien in ISO/IEC 27005:2022 verstärken die Notwendigkeit, ausgewählte Kontrollen mit ISO/IEC 27001 Annex A zu vergleichen, um Auslassungen zu vermeiden.
In einem auditbereiten Programm wird die SoA zur Brücke zwischen Risikobehandlung und Cross-Compliance-Nachweisen. Wenn ein Behandlungsplan MFA, Protokollierung, Lieferantenüberwachung, Backup-Wiederherstellung, sichere Entwicklung, Vorfalleskalation oder Planung für den Cloud-Ausstieg verlangt, sollte die SoA zeigen, dass die relevanten Annex A-Kontrollen enthalten, begründet, umgesetzt oder geplant und mit Nachweisen belegt sind.
Das hilft auch, einen häufigen Auditfehler zu vermeiden: Das Risikoregister sagt das eine, der Behandlungsplan etwas anderes, und die SoA schweigt. Wenn diese Artefakte voneinander abweichen, verlieren Auditoren schnell Vertrauen.
ISO 27001-Risikobehandlung auf NIS2, DORA und GDPR abbilden
ISO 27001 ersetzt NIS2, DORA oder GDPR nicht. Sie liefert einen strukturierten Mechanismus, um Nachweise dafür zu erzeugen.
Entscheidend ist, die Zuordnung in den Risikoprozess einzubauen, statt sie später anzuflanschen.
| Nachweis zur ISO 27001-Risikobehandlung | NIS2-Relevanz | DORA-Relevanz | GDPR-Relevanz |
|---|---|---|---|
| Risikokriterien mit Bewertung regulatorischer Auswirkungen | Unterstützt Article 21 verhältnismäßige Maßnahmen des Cybersicherheitsrisikomanagements | Unterstützt Articles 4, 5 and 6 Verhältnismäßigkeit, Governance und IKT-Risikomanagementrahmenwerk | Unterstützt Rechenschaftspflicht und angemessene Sicherheit |
| Risikoregister mit Verantwortlichen und CIA-Auswirkung | Unterstützt Article 20 Managementaufsicht und Article 21 Risikoanalyse | Unterstützt dokumentiertes IKT-Risikomanagement und Verantwortlichkeit | Unterstützt den Nachweis des Bewusstseins für Risiken personenbezogener Daten |
| Auf Annex A abgebildeter Behandlungsplan | Unterstützt Article 21-Maßnahmen in den Bereichen Vorfall, Geschäftskontinuität, Lieferanten, Zugriff, Schwachstellen und sichere Entwicklung | Unterstützt IKT-Kontrollen, Vorfallmanagement, Geschäftskontinuität, Tests und Drittparteienresilienz | Unterstützt technische und organisatorische Maßnahmen nach Article 32 |
| Lieferantenrisikoeinträge und Vertragskontrollen | Unterstützt Article 21(2)(d) Sicherheit der Lieferkette | Unterstützt Articles 28 and 30 IKT-Drittparteienrisiko und Vertragsanforderungen | Unterstützt Schutzmaßnahmen für Auftragsverarbeiter und Übermittlungen, soweit anwendbar |
| Vorfallszenarien und Melde-Playbooks | Unterstützt Article 23 Meldeworkflow für erhebliche Vorfälle | Unterstützt Articles 17, 18 and 19 Vorfallmanagement, Klassifizierung und Berichterstattung | Unterstützt Articles 33 and 34 Bewertung von Meldungen bei Datenschutzverletzungen |
| BCP-, Backup- und Wiederherstellungsbehandlungen | Unterstützt Article 21(2)(c) Geschäftskontinuität, Backup, Disaster Recovery und Krisenmanagement | Unterstützt Articles 11 and 12 Reaktion, Wiederherstellung, Backup und Wiederherstellung | Unterstützt Verfügbarkeit und Resilienz, wenn personenbezogene Daten betroffen sind |
| Überprüfungen der Kontrollwirksamkeit | Unterstützt Article 21(2)(f) Wirksamkeitsbewertung | Unterstützt Article 24 Erwartungen an Tests und Abhilfemaßnahmen | Unterstützt laufende Rechenschaftspflicht |
Diese Zuordnung ist besonders wichtig, wenn Vorschriften überlappen. DORA ist für viele Finanzunternehmen das sektorspezifische IKT-Resilienzregime, während NIS2 für bestimmte Anbieter, Koordination oder Einrichtungen außerhalb des DORA-Anwendungsbereichs weiterhin direkt relevant bleiben kann. Ein Fintech benötigt DORA möglicherweise als primäres Rahmenwerk für IKT-Resilienz, während ein Managed Service Provider, der dieses Fintech unterstützt, direkt NIS2-Verpflichtungen unterliegen kann.
Das Risikoregister muss beide Seiten dieser Abhängigkeit zeigen können.
Zenith Controls als Cross-Compliance-Kompass nutzen
Clarysec nutzt Zenith Controls als Cross-Compliance-Leitfaden, um den häufigen Fehler zu verhindern, dass ISO-Kontrollen, regulatorische Artikel und Auditfragen in getrennten Welten leben. Es erstellt kein separates Kontrollrahmenwerk. Es bildet Kontrollbereiche aus ISO/IEC 27001:2022 und ISO/IEC 27002:2022 auf andere Standards, Auditerwartungen und Compliance-Perspektiven ab.
Für ISO 27001-Risikobeurteilung und -behandlung sind diese Referenzen besonders wichtig:
| In Zenith Controls verwendete ISO/IEC 27001:2022 Annex A-Referenz | Warum sie für Risikobeurteilung und Risikobehandlung wichtig ist | In Zenith Controls erfasste Attribute |
|---|---|---|
| 5.4 Verantwortlichkeiten des Managements | Verknüpft Verantwortung für Risikobehandlung mit Governance, Rollenklarheit und Rechenschaftspflicht | Vorbeugende Kontrolle, unterstützt Vertraulichkeit, Integrität und Verfügbarkeit, abgebildet auf Identify, Governance, Governance and Ecosystem |
| 5.31 Gesetzliche, satzungsrechtliche, regulatorische und vertragliche Anforderungen | Verknüpft das Compliance-Register mit Risikokriterien, Behandlungsentscheidungen und SoA-Aufnahme | Vorbeugende Kontrolle, unterstützt Vertraulichkeit, Integrität und Verfügbarkeit, abgebildet auf Identify, Recht und Compliance, Governance, Ecosystem und Protection |
| 5.35 Unabhängige Überprüfung der Informationssicherheit | Verknüpft interne Audits, externe Audits und Management Assurance mit der Wirksamkeit der Risikobehandlung | Vorbeugende und korrektive Kontrolle, unterstützt Vertraulichkeit, Integrität und Verfügbarkeit, abgebildet auf Identify and Protect, Informationssicherung, Governance and Ecosystem |
Die Cross-Compliance-Lehre ist einfach. Wenn rechtliche Verpflichtungen nicht in der Risikobeurteilungsmethode enthalten sind, ist Ihre Bewertung unvollständig. Wenn die Bewertung unvollständig ist, können Behandlungsprioritäten falsch sein. Wenn Prioritäten falsch sind, werden SoA und Berichterstattung an das Leitungsorgan unzuverlässig.
Die Zenith Blueprint macht denselben Punkt in der Risikomanagementphase, Schritt 14, „Risikobehandlungsrichtlinien und regulatorische Querverweise“. Sie empfiehlt Organisationen, eine Zuordnungstabelle mit wichtigen regulatorischen Sicherheitsanforderungen und den entsprechenden Kontrollen oder Richtlinien im ISMS zu erstellen. Für die ISO 27001-Zertifizierung ist das nicht verpflichtend, aber es ist sehr hilfreich, um nachzuweisen, dass Sicherheit im rechtlichen und vertraglichen Kontext gesteuert wird.
Was unterschiedliche Auditoren fragen werden
Ein Zertifizierungsauditor, ein NIS2-Prüfer, ein DORA-orientierter Kunde, ein GDPR-Prüfer, ein NIST-Assessor oder ein COBIT-Praktiker kann dieselben Nachweise prüfen, aber unterschiedliche Fragen stellen.
| Auditorenperspektive | Typische Auditfrage | Erwartete Nachweise |
|---|---|---|
| ISO 27001-Auditor | Ist die Risikobeurteilungsmethode definiert, wiederholbar, angewendet und mit Risikobehandlung und SoA verknüpft? | Risikomethodik, Kriterien, Register, SoA, Behandlungsplan, Genehmigungen von Restrisiken |
| NIS2-orientierter Prüfer | Decken Cybersicherheitsmaßnahmen die Bereiche von Article 21 und die Rechenschaftspflicht des Managements ab? | Genehmigungen durch das Leitungsorgan, Article 21-Zuordnung, Vorfall-Playbook, Nachweise zur Geschäftskontinuität, Lieferantenrisikonachweise |
| DORA-orientierter Prüfer | Ist das IKT-Risikomanagement dokumentiert, gesteuert, getestet und auf IKT-Drittparteien ausgeweitet? | IKT-Risikomanagementrahmenwerk, Prozess zur Vorfallklassifizierung, BCP-Tests, Resilienztests, IKT-Lieferantenregister |
| GDPR-Prüfer | Kann die Organisation angemessene Sicherheit und Rechenschaftspflicht für Risiken personenbezogener Daten nachweisen? | Dateninventar, Zuordnung der Rechtsgrundlagen, Verfahren zur Bewertung von Datenschutzverletzungen, Nachweise zur Datenschutz-Risikobehandlung |
| NIST-orientierter Assessor | Werden Risiken durch messbare Kontrollen identifiziert, geschützt, erkannt, beantwortet und wiederhergestellt? | Risikoszenarien, Asset-Inventar, Kontrollumsetzung, Überwachung, Aufzeichnungen zu Reaktion und Wiederherstellung |
| COBIT- oder ISACA-Auditor | Ist die Risikogovernance an Unternehmenszielen, Rollen, Leistung, Assurance und Managementberichterstattung ausgerichtet? | Governance-Protokolle, RACI, KRIs, interne Auditfeststellungen, Nachverfolgung von Abhilfemaßnahmen, Management-Dashboards |
Deshalb ist Nachweisarchitektur wichtig. Derselbe Risikoeintrag sollte vom Geschäftsziel bis zu Asset, Bedrohung, Schwachstelle, Kontrolle, Verantwortlichem, regulatorischem Treiber, Behandlungsmaßnahme, Testergebnis und Managemententscheidung nachvollziehbar sein.
Clarysec-Richtlinien sind darauf ausgelegt, diese Architektur zu unterstützen. Die Enterprise-Risikomanagement-Richtlinie enthält im Abschnitt „Referenzstandards und Rahmenwerke“ die Aussage:
Article 5: Verlangt ein dokumentiertes Rahmenwerk für das Management von IKT-Risiken, das durch die Struktur dieser Richtlinie vollständig abgedeckt ist, einschließlich SoA-Zuordnung und KRIs.
Dadurch wird die Richtlinie von einem statischen Dokument zu einem Auditnachweis, der zeigt, dass IKT-Risikogovernance gezielt mit Blick auf DORA gestaltet wurde.
Häufige Feststellungen, die Risikoprogramme scheitern lassen
Wenn Clarysec Nachweise zu ISO 27001-Risikobeurteilung und Risikobehandlung prüft, treten dieselben Feststellungen immer wieder auf.
Erstens ignorieren Risikokriterien rechtliche, regulatorische, vertragliche, lieferantenbezogene und datenschutzbezogene Auswirkungen. Das führt zu schwacher Bewertung. Eine Datenschutzverletzung oder ein Ausfall eines kritischen Lieferanten kann als Mittel bewertet werden, weil die Eintrittswahrscheinlichkeit gering ist, obwohl GDPR-, NIS2-, DORA- oder Kundenauswirkungen die Einstufung Hoch oder Kritisch rechtfertigen müssten.
Zweitens sind Risikoverantwortliche generisch. „IT“ ist kein Risikoverantwortlicher. Ein Risikoverantwortlicher sollte eine Rolle oder Person sein, die für Behandlungsentscheidungen, Budget, Zeitplanung und Restrisiko rechenschaftspflichtig ist.
Drittens sind Behandlungspläne nicht terminiert. „Überwachung verbessern“ ist kein Plan. „Warnmeldungen für privilegierte Sitzungen im SIEM für Produktionsadministratorkonten bis zum 30. Juni bereitstellen, verantwortet durch den SOC-Manager, getestet durch simulierte Admin-Anmeldung, mit beigefügtem Alarmnachweis“ ist ein Plan.
Viertens ist die SoA von der Risikobehandlung entkoppelt. Wenn der Behandlungsplan Lieferantenüberwachung, Backup-Tests, Vorfalleskalation, MFA oder Protokollierung verlangt, sollte die SoA die relevanten Kontrollen und deren Umsetzungsstatus abbilden.
Fünftens wird Restrisiko nicht genehmigt. ISO 27001 verlangt die Genehmigung des Behandlungsplans und der Restrisiken durch Risikoverantwortliche. NIS2 und DORA machen dies noch wichtiger, weil die Rechenschaftspflicht des Managements ausdrücklich geregelt ist.
Sechstens wird Lieferantenrisiko als Einkaufsadministration behandelt. Unter NIS2 Article 21(2)(d) und DORA Articles 28 and 30 müssen Lieferanten- und IKT-Drittparteienrisiken Teil des Risikomanagements sein, nicht ein isoliert abgelegter jährlicher Fragebogen.
Siebtens fehlen Nachweise der Wirksamkeit. ISO 27001 Abschnitt 6.1.1 verlangt, dass geplante Maßnahmen auf ihre Wirksamkeit bewertet werden. NIS2 enthält die Wirksamkeitsbewertung in Article 21(2)(f). DORA erwartet Tests und Abhilfemaßnahmen. Eine Kontrolle, die existiert, aber nie getestet wird, ist ein schwacher Nachweis.
Die KMU-Risikomanagement-Richtlinie – KMU formuliert die Erwartung klar:
Der Geschäftsführer und der Risikokoordinator müssen sicherstellen, dass Risikomanagementtätigkeiten auditbereit sind. Das Risikoregister und die zugehörigen Maßnahmen unterliegen internen und externen Audits.
Aus der KMU-Risikomanagement-Richtlinie, Abschnitt „Durchsetzung und Einhaltung“, Richtlinienanforderung 8.2.1.
Berichterstattung an das Leitungsorgan ohne Informationsüberflutung
NIS2, DORA und ISO 27001 zielen alle auf Rechenschaftspflicht des Managements, aber Leitungsorgane benötigen nicht jede einzelne Risikozeile. Sie benötigen entscheidungsrelevante Berichterstattung.
Ein gutes Risikopaket für das Leitungsorgan sollte Folgendes zeigen:
- Hohe und kritische Risiken nach Domäne
- Überfällige Risikobehandlungsmaßnahmen
- Regulatorische Risiken mit Bezug zu NIS2, DORA, GDPR oder Verträgen
- Lieferantenrisiken, die kritische oder wichtige Services betreffen
- Trends zu Vorfällen und Beinahe-Vorfällen
- Restrisiken, die auf Akzeptanz warten
- Ergebnisse von Tests der Kontrollwirksamkeit
- Wesentliche Änderungen an Anwendungsbereich, Lieferanten, Technologie oder Recht
- Interne Auditfeststellungen und Korrekturmaßnahmen
Clarysec empfiehlt in der Regel monatliche operative Risikoüberprüfungen und vierteljährliche Managementbewertungen. Monatliche Überprüfungen konzentrieren sich auf die Umsetzung der Behandlung. Vierteljährliche Überprüfungen konzentrieren sich auf Akzeptanz, Finanzierung, Priorisierung, regulatorische Exposition und strategische Risikoentscheidungen.
Dieser Rhythmus unterstützt auch kontinuierliche Verbesserung. Risikobeurteilungen sollten aktualisiert werden, wenn Vorfälle auftreten, Schwachstellen bekannt werden, neue Assets eingeführt werden, sich Technologie ändert, Lieferanten wechseln, Gesetze sich ändern, Kundenverpflichtungen sich ändern oder die Risikobereitschaft angepasst wird.
Der Clarysec-Implementierungspfad
Ein einheitliches Risikoprogramm vermeidet getrennte Tabellen für ISO, NIS2, DORA, GDPR und Kunden-Assurance. Der praktische Weg lautet:
- ISMS-Anwendungsbereich, Services, Assets, Lieferanten, Rechtsräume und Kundenverpflichtungen bestätigen.
- Das Compliance-Register mit der Richtlinie zur Einhaltung rechtlicher und regulatorischer Anforderungen – KMU aufbauen oder aktualisieren, soweit angemessen.
- Risikomethodik, Akzeptanzkriterien, Skalen für Eintrittswahrscheinlichkeit, Skalen für Auswirkungen und Regeln für regulatorische Auswirkungen definieren.
- Das Risikoregister anhand der Risikomanagementphase der Zenith Blueprint und des Clarysec-Ansatzes für Risikoregister und SoA Builder aufbauen.
- Asset-basierte und szenariobasierte Risiken identifizieren, einschließlich Lieferanten-, Cloud-, Datenschutz-, Kontinuitäts-, Vorfalls-, Schwachstellen-, Secure-Development- und Zugriffsszenarien.
- Risiken anhand von Kriterien bewerten, die rechtliche, regulatorische, vertragliche, operative, datenschutzbezogene, lieferantenbezogene und finanzielle Auswirkungen einbeziehen.
- Behandlungsoptionen auswählen: mindern, vermeiden, übertragen oder akzeptieren.
- Notwendige Kontrollen auf ISO/IEC 27001:2022 Annex A und ISO/IEC 27002:2022-Leitlinien abbilden.
- Die Anwendbarkeitserklärung erstellen oder aktualisieren.
- Behandlungen auf NIS2 Article 21, DORA-IKT-Risikomanagement und Erwartungen an Drittparteien, GDPR-Rechenschaftspflicht und vertragliche Kundenverpflichtungen abbilden.
- Nachweise sammeln, Kontrollwirksamkeit validieren und Restrisiko-Genehmigung einholen.
- Ein Auditpaket vorbereiten, das nach Risiko, Kontrolle, Vorschrift und Nachweisartefakt organisiert ist.
- Ergebnisse in Managementbewertung, internes Audit, Korrekturmaßnahmen und kontinuierliche Verbesserung überführen.
Das ist keine Dokumentation um ihrer selbst willen. Es ist das Betriebssystem für belastbare Cyber-Governance.
Ein auditbereites Paket zur Risikobehandlung aufbauen
Sarahs Geschichte endet gut, weil sie aufgehört hat, ISO 27001, NIS2 und DORA als getrennte Compliance-Projekte zu behandeln. Sie nutzte die ISO 27001-Risikobeurteilung als zentralen Motor, integrierte regulatorische Verpflichtungen in Risikokriterien, bildete Behandlungsmaßnahmen auf Annex A und EU-Anforderungen ab und sammelte Nachweise, die Kunden, Auditoren und das Leitungsorgan verstehen konnten.
Ihre Organisation kann dasselbe tun.
Nutzen Sie Zenith Blueprint: 30-Schritte-Roadmap eines Auditors, um Risikokriterien zu definieren, das Risikoregister aufzubauen, den Risikobehandlungsplan zu erstellen und regulatorische Anforderungen querzuverweisen.
Nutzen Sie Zenith Controls: Der Cross-Compliance-Leitfaden, um Kontrollbereiche aus ISO/IEC 27001:2022 Annex A mit Governance, rechtlicher Compliance, Assurance und Auditperspektiven zu verbinden.
Nutzen Sie Clarysecs Risikomanagement-Richtlinie, Risikomanagement-Richtlinie – KMU und Richtlinie zur Einhaltung rechtlicher und regulatorischer Anforderungen – KMU, um Verantwortlichkeiten, Register, Risikobehandlungsentscheidungen und auditbereite Nachweise zu standardisieren.
Der schnellste praktische nächste Schritt ist, Ihre zehn wichtigsten Risiken zu nehmen und sie anhand von fünf Fragen zu testen:
- Ist die regulatorische Auswirkung sichtbar?
- Ist der Risikobehandlungsplan terminiert und einer verantwortlichen Rolle zugeordnet?
- Ist jede Behandlung auf Annex A und die SoA abgebildet?
- Ist die Relevanz für NIS2, DORA, GDPR oder Kunden dokumentiert, soweit anwendbar?
- Gibt es Nachweise, dass die Kontrolle funktioniert?
Wenn die Antwort nein lautet, kann Clarysec helfen, Ihr Risikoregister in ein belastbares Cross-Compliance-Risikobehandlungsprogramm zu überführen, dem Auditoren, Aufsichtsbehörden, Kunden und Leitungsorgane vertrauen können.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
