ISO 27001-Erklärung zur Anwendbarkeit für NIS2- und DORA-Bereitschaft
Es ist Montag, 08:30 Uhr. Elena, CISO eines schnell wachsenden B2B-FinTech-SaaS-Anbieters, öffnet eine als dringend markierte Anfrage des Leitungsorgans. Das Unternehmen hat gerade die ISO/IEC 27001:2022-Zertifizierung erreicht, doch eine große EU-Bank als Interessentin stellt deutlich anspruchsvollere Fragen als in einem üblichen Sicherheitsfragebogen.
Gefragt wird nicht nur, ob das Unternehmen Daten verschlüsselt, MFA einsetzt oder einen Penetrationstestbericht vorlegen kann. Der Interessent möchte wissen, ob die SaaS-Plattform seine DORA-Verpflichtungen unterstützt, ob der Anbieter als IKT-Dienst oder als Abhängigkeit digitaler Infrastruktur in den NIS2-Geltungsbereich fallen könnte und ob die ISO 27001-Erklärung zur Anwendbarkeit jede einbezogene Maßnahme, jede ausgeschlossene Maßnahme und jeden Nachweis begründen kann.
Das Leitungsorgan stellt die Frage, die CISOs, Compliance Manager und SaaS-Gründer immer häufiger hören:
Kann unsere ISO 27001-SoA die NIS2- und DORA-Bereitschaft nachweisen?
Elena weiß: Die falsche Antwort wäre, drei separate Compliance-Programme aufzusetzen – eines für ISO 27001, eines für NIS2 und eines für DORA. Das würde doppelte Nachweise, widersprüchliche Maßnahmenverantwortliche und hektische Vorbereitung vor jeder Kundenbewertung erzeugen. Der bessere Ansatz ist, das bestehende ISMS als Betriebssystem für Compliance zu nutzen – mit der Erklärung zur Anwendbarkeit, also der SoA, als zentralem Dokument für Nachvollziehbarkeit.
Die SoA ist nicht nur eine Tabelle für die ISO-Zertifizierung. In einem europäischen Umfeld für Cybersicherheit und operationelle Resilienz weist eine Organisation darin nach, warum Maßnahmen bestehen, warum Ausschlüsse vertretbar sind, wer für jede Maßnahme verantwortlich ist, welche Nachweise die Umsetzung stützen und wie das Maßnahmenpaket NIS2, DORA, GDPR, Kundenverträge und die interne Risikobehandlung adressiert.
Clarysec’s Enterprise Informationssicherheitsleitlinie Informationssicherheitsleitlinie legt fest:
Das ISMS muss definierte Grenzen des Geltungsbereichs, eine Methodik zur Risikobeurteilung, messbare Ziele und dokumentierte Maßnahmen enthalten, die in der Erklärung zur Anwendbarkeit (SoA) begründet sind.
Diese Anforderung aus Richtlinienklausel 6.1.2 der Informationssicherheitsleitlinie bildet die Grundlage für einen auditbereiten Ansatz. Die SoA muss zur Brücke zwischen Verpflichtungen, Risiken, Maßnahmen, Nachweisen und Managemententscheidungen werden.
Warum NIS2 und DORA die Bedeutung von „anwendbar“ verändert haben
Eine klassische ISO/IEC 27001:2022-SoA beginnt häufig mit einer einfachen Frage: „Welche Annex A-Maßnahmen gelten für unseren Risikobehandlungsplan?“ Das ist weiterhin richtig, reicht aber für SaaS-, Cloud-, Managed-Service-, FinTech-, Finanztechnologie- und kritische Lieferkettenanbieter nicht mehr aus.
NIS2 hebt die Mindestanforderungen an das Cybersicherheitsrisikomanagement für wesentliche und wichtige Einrichtungen in der EU an. Erfasst werden Sektoren wie digitale Infrastruktur, Cloud-Computing-Dienste, Rechenzentrumsdienste, Content Delivery Networks, Managed Service Provider, Managed Security Service Provider, Banken und Finanzmarktinfrastrukturen. Die Mitgliedstaaten müssen wesentliche und wichtige Einrichtungen sowie Diensteanbieter für die Registrierung von Domänennamen identifizieren. Viele Technologieanbieter, die Cybersicherheitsregulierung bisher als Kundenangelegenheit behandelt haben, fallen nun entweder direkt in den Geltungsbereich oder sind über vertragliche Weitergabepflichten betroffen.
NIS2 Article 21 verlangt angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen in den Bereichen Risikoanalyse, Sicherheitsleitlinien, Umgang mit Sicherheitsvorfällen, Aufrechterhaltung des Geschäftsbetriebs, Sicherheit der Lieferkette, sichere Beschaffung und Entwicklung, Bewertung der Kontrollwirksamkeit, Cyberhygiene, Schulung, Kryptografie, Personalsicherheit, Zugriffskontrolle, Asset-Management und – soweit angemessen – Authentifizierung. NIS2 Article 23 ergänzt gestufte Erwartungen an die Meldung von Sicherheitsvorfällen, einschließlich Frühwarnung, Meldung, Aktualisierungen und Abschlussmeldung für erhebliche Sicherheitsvorfälle.
DORA, der Digital Operational Resilience Act, gilt ab dem 17. Januar 2025 und fokussiert Finanzunternehmen und deren IKT-Risikoökosystem. DORA umfasst das Management von IKT-Risiken, die Meldung IKT-bezogener Vorfälle, die Meldung operationeller oder sicherheitsbezogener Zahlungsvorfälle für bestimmte Unternehmen, Tests der digitalen operationellen Resilienz, den Austausch von Cyberbedrohungsinformationen, das Management von IKT-Drittparteienrisiken, vertragliche Vereinbarungen sowie die Aufsicht über kritische IKT-Drittdienstleister.
Für Finanzunternehmen, die zugleich wesentliche oder wichtige Einrichtungen nach NIS2 sind, wirkt DORA als sektorspezifisches Regime für gleichwertige Verpflichtungen zum Management von IKT-Risiken und zur Meldung von Sicherheitsvorfällen. Für SaaS-Anbieter, Cloud-Anbieter, MSPs und MDR-Anbieter, die Finanzkunden bedienen, kommen DORA-Erwartungen in der Praxis jedoch über Beschaffung, Verträge, Auditrechte, Verpflichtungen zur Unterstützung bei Vorfällen, Exit-Planung, Transparenz zu Subunternehmern und Resilienznachweise an.
Damit verändert sich die SoA-Diskussion. Die Frage lautet nicht mehr: „Enthält Annex A diese Maßnahme?“ Die bessere Frage lautet:
Können wir nachweisen, dass die Maßnahmenselektion risikobasiert, verpflichtungsbewusst, verhältnismäßig, verantwortet, umgesetzt, überwacht, nachgewiesen und genehmigt ist?
ISO 27001 ist der universelle Übersetzer für NIS2 und DORA
ISO/IEC 27001:2022 ist wertvoll, weil es sich um eine Managementsystemnorm handelt – nicht um eine enge Checkliste. Sie verlangt, dass das ISMS in die Prozesse der Organisation integriert und an die Bedürfnisse der Organisation angepasst wird. Dadurch wird sie zu einem wirksamen universellen Übersetzer für überlappende Compliance-Anforderungen.
Die Klauseln 4.1 bis 4.4 verlangen, dass die Organisation ihren Kontext versteht, interessierte Parteien identifiziert, relevante Anforderungen bestimmt und den ISMS-Geltungsbereich definiert. Für einen FinTech-SaaS-Anbieter wie Elenas Unternehmen können diese Anforderungen interessierter Parteien EU-Kunden, von DORA betroffene Finanzkunden, NIS2-Sektorbetroffenheit, GDPR-Verpflichtungen von Verantwortlichen und Auftragsverarbeitern, ausgelagerte Cloud-Abhängigkeiten, Lieferantenschnittstellen und Erwartungen des Leitungsorgans umfassen.
Die Klauseln 6.1.1 bis 6.1.3 verlangen die Planung von Risiken und Chancen, einen wiederholbaren Prozess zur Informationssicherheitsrisikobeurteilung, einen Risikobehandlungsprozess, den Abgleich mit Annex A sowie eine Erklärung zur Anwendbarkeit, die einbezogene Maßnahmen, Umsetzungsstatus und Begründungen für Ausschlüsse identifiziert.
An dieser Stelle wird die SoA zum Entscheidungsnachweis für Maßnahmen. Eine Maßnahme kann einbezogen werden, weil sie ein Risiko behandelt, eine rechtliche Anforderung erfüllt, einen Kundenvertrag bedient, ein Geschäftsziel unterstützt oder grundlegende Sicherheitshygiene abbildet. Eine Maßnahme darf nur ausgeschlossen werden, nachdem die Organisation sie bewusst bewertet, als für den ISMS-Geltungsbereich nicht relevant eingestuft, die Begründung dokumentiert und eine angemessene Genehmigung eingeholt hat.
Clarysec’s Enterprise Risikomanagement-Richtlinie Risikomanagement-Richtlinie legt fest:
Eine Erklärung zur Anwendbarkeit (SoA) muss alle Behandlungsentscheidungen abbilden und aktualisiert werden, wenn sich die Maßnahmenabdeckung ändert.
Diese Anforderung aus Richtlinienklausel 5.4 der Risikomanagement-Richtlinie ist für die NIS2- und DORA-Bereitschaft entscheidend. Ein neuer regulierter Kunde, eine neue Cloud-Abhängigkeit, eine neue Pflicht zur Meldung von Sicherheitsvorfällen oder ein neues Konzentrationsrisiko bei Lieferanten kann die Anwendbarkeit von Maßnahmen verändern.
Mit dem Compliance-Register beginnen, nicht mit der Maßnahmenliste
Eine schwache SoA beginnt mit Annex A und fragt: „Welche Maßnahmen haben wir bereits?“ Eine starke SoA beginnt mit der tatsächlichen Betriebsrealität der Organisation und fragt: „Welche Verpflichtungen, Services, Risiken, Daten, Lieferanten und Kunden muss das ISMS adressieren?“
ISO/IEC 27005:2022 unterstützt diesen Ansatz, indem sie Anforderungen interessierter Parteien, Risikokriterien und die Notwendigkeit betont, Normen, interne Regeln, Gesetze, Vorschriften, Verträge und bestehende Kontrollen zu berücksichtigen. Außerdem hebt sie hervor, dass Nichtanwendbarkeit oder Nichteinhaltung erläutert und begründet werden sollte.
Clarysec’s SME Richtlinie zur rechtlichen und regulatorischen Compliance-sme Richtlinie zur rechtlichen und regulatorischen Compliance-sme - KMU beschreibt dasselbe operative Prinzip:
Der GM muss ein einfaches, strukturiertes Compliance-Register führen, das Folgendes auflistet:
Diese Anforderung stammt aus Klausel 5.1.1 der Richtlinie zur rechtlichen und regulatorischen Compliance-sme. Für eine kleinere Organisation kann das Register einfach gehalten sein. Für ein Unternehmen sollte es detaillierter sein. Die Logik bleibt gleich: Verpflichtungen müssen sichtbar sein, bevor sie zugeordnet werden können.
Clarysec’s Enterprise Richtlinie zur rechtlichen und regulatorischen Compliance Richtlinie zur rechtlichen und regulatorischen Compliance ist eindeutig:
Alle rechtlichen und regulatorischen Verpflichtungen müssen im Informationssicherheits-Managementsystem (ISMS) konkreten Richtlinien, Maßnahmen und Verantwortlichen zugeordnet werden.
Das ist Richtlinienklausel 6.2.1 der Richtlinie zur rechtlichen und regulatorischen Compliance. Sie bildet das Governance-Rückgrat für die Nutzung einer ISO 27001-Erklärung zur Anwendbarkeit zur Compliance-Bereitschaft gegenüber NIS2 und DORA.
| Registerfeld | Beispieleintrag | Warum es für die SoA relevant ist |
|---|---|---|
| Quelle der Verpflichtung | NIS2 Article 21 | Steuert die Einbeziehung von Maßnahmen zu Risikoanalyse, Umgang mit Sicherheitsvorfällen, Kontinuität, Lieferantensicherheit, Kryptografie, Zugriffskontrolle, Asset-Management und Schulung |
| Anwendbarkeitsbegründung | SaaS-Anbieter, der EU-Finanzkunden und Kunden aus wesentlichen Sektoren unterstützt | Zeigt, warum NIS2 berücksichtigt wird, auch wenn der endgültige Rechtsstatus von der Benennung durch den Mitgliedstaat abhängt |
| Maßnahmenverantwortlicher | Leiter Security Operations | Unterstützt Rechenschaftspflicht und Verantwortung für Nachweise |
| Zugeordnete ISO/IEC 27001:2022-Maßnahme | A.5.24 bis A.5.28 Maßnahmen zum Incident Management | Verknüpft die rechtliche Verpflichtung mit der Auswahl der Annex A-Maßnahmen |
| Nachweisquelle | Incident Response Plan, Ticket-Stichproben, Nachprüfung nach Vorfällen, Meldeübung | Erleichtert Audit-Stichproben |
| SoA-Entscheidung | Anwendbar | Schafft Nachvollziehbarkeit zwischen Verpflichtung, Risiko, Maßnahme und Nachweis |
Risikokriterien auf Resilienz, Datenschutz, Lieferanten und Regulierung ausrichten
Viele SoA-Begründungen scheitern, weil das Risiko-Scoring-Modell zu eng ist. Es misst technische Eintrittswahrscheinlichkeit und Auswirkung, erfasst aber nicht regulatorische Exponierung, Kritikalität des Services, Kundenschäden, Lieferantenabhängigkeit, Datenschutzfolgen oder systemische operative Störungen.
NIS2 betrifft nicht nur Vertraulichkeit. Der Fokus liegt darauf, Auswirkungen von Vorfällen auf Services und Serviceempfänger zu verhindern und zu minimieren. DORA definiert kritische oder wichtige Funktionen danach, ob eine Störung die finanzielle Leistung, die Servicekontinuität oder die regulatorische Compliance wesentlich beeinträchtigen würde. GDPR ergänzt Rechenschaftspflicht, Integrität, Vertraulichkeit, Bereitschaft bei Datenschutzverletzungen und Schäden für betroffene Personen.
Clarysec’s SME Risikomanagement-Richtlinie-sme Risikomanagement-Richtlinie-sme - KMU gibt ein praktisches Mindestmaß vor:
Jeder Risikoeintrag muss Folgendes enthalten: Beschreibung, Eintrittswahrscheinlichkeit, Auswirkung, Bewertung, Verantwortlicher und Behandlungsplan.
Dies ist Klausel 5.1.2 der Risikomanagement-Richtlinie-sme. Für die NIS2- und DORA-Bereitschaft erweitert Clarysec dieses Mindestmaß um Felder wie Verpflichtungsquelle, betroffenen Service, Datenkategorie, Lieferantenabhängigkeit, Geschäftsverantwortlichen, regulatorische Auswirkung, Restrisiko, Behandlungsstatus und Nachweisquelle.
| Risiko-ID | Risikoszenario | Verpflichtungstreiber | Behandlungsmaßnahmen | SoA-Begründung |
|---|---|---|---|---|
| R-021 | Ausfall der Cloud-Plattform verhindert, dass Kunden auf regulierte Dashboards für Betrugsanalysen zugreifen | NIS2 Article 21, DORA-Kundenabhängigkeit, vertraglicher SLA | A.5.29, A.5.30, A.8.13, A.8.15, A.8.16 | Anwendbar, weil Servicekontinuität, Backup, Protokollierung, Überwachung und IKT-Bereitschaft operative Störungen reduzieren und Resilienzverpflichtungen der Kunden unterstützen |
| R-034 | Ein Sicherheitsvorfall mit EU-personenbezogenen Daten wird nicht innerhalb der erforderlichen Fristen erkannt, eskaliert oder gemeldet | GDPR-Rechenschaftspflicht, NIS2 Article 23, DORA-Pflichten zur Vorfallsunterstützung | A.5.24 bis A.5.28, A.8.15, A.8.16 | Anwendbar, weil gestufter Umgang mit Sicherheitsvorfällen, Beweissicherung, Lernen, Protokollierung und Überwachung regulatorische und kundenseitige Benachrichtigungs-Workflows unterstützen |
| R-047 | Eine Schwachstelle bei einem kritischen Subunternehmer beeinträchtigt die sichere Leistungserbringung für Finanzkunden | NIS2 Article 21 Sicherheit der Lieferkette, DORA IKT-Drittparteienrisiko | A.5.19 bis A.5.23, A.5.31, A.5.36 | Anwendbar, weil Lieferantenrisiko, vertragliche Anforderungen, Cloud-Governance, Compliance-Verpflichtungen und Richtlinieneinhaltung für die Absicherung von IKT-Abhängigkeiten erforderlich sind |
Achten Sie auf die Sprache. Eine starke Begründung sagt nicht nur „umgesetzt“. Sie erklärt, warum die Maßnahme im geschäftlichen, regulatorischen und risikobezogenen Kontext der Organisation anwendbar ist.
NIS2- und DORA-Domänen ISO 27001:2022-Maßnahmen zuordnen
Sobald Compliance-Register und Risikokriterien etabliert sind, besteht die praktische Arbeit darin, regulatorische Domänen den Annex A-Maßnahmen zuzuordnen. Diese Zuordnung weist Compliance nicht für sich allein nach, bietet Auditoren und Kunden aber einen klaren Index für die Prüfung von Nachweisen.
| Regulatorischer Anforderungsbereich | NIS2-Referenz | DORA-Referenz | Beispiele für ISO/IEC 27001:2022-Maßnahmen |
|---|---|---|---|
| Governance und Managementverantwortung | Article 20 | Article 5 | A.5.1, A.5.2, A.5.31, A.5.35, A.5.36 |
| Risikomanagementrahmen | Article 21(1) | Article 6 | ISO 27001-Klauseln 6.1.1 bis 6.1.3, A.5.7, A.5.31, A.5.36 |
| Umgang mit Sicherheitsvorfällen und Meldung | Article 23 | Articles 17 to 19 | A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.8.15, A.8.16 |
| Aufrechterhaltung des Geschäftsbetriebs und Resilienz | Article 21(2)(c) | Articles 11 and 12 | A.5.29, A.5.30, A.8.13, A.8.14, A.8.15, A.8.16 |
| Lieferkette und Drittparteienrisiko | Article 21(2)(d), Article 21(3) | Articles 28 to 30 | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 |
| Sichere Beschaffung und Entwicklung | Article 21(2)(e) | Article 9 | A.8.25, A.8.26, A.8.27, A.8.28, A.8.29, A.8.32 |
| Tests und Kontrollwirksamkeit | Article 21(2)(f) | Articles 24 to 27 | A.5.35, A.5.36, A.8.8, A.8.29, A.8.34 |
| Zugriffskontrolle und Asset-Management | Article 21(2)(i) | Article 9(4)(d) | A.5.9, A.5.15, A.5.16, A.5.17, A.5.18, A.8.2, A.8.3 |
| Kryptografie und Verschlüsselung | Article 21(2)(h) | Article 9(4)(d) | A.8.24 |
Für Elena veränderte diese Zuordnung die Diskussion im Leitungsorgan. Statt NIS2 und DORA als getrennte Projekte darzustellen, konnte sie die Überschneidungen zeigen: Governance, Risikomanagement, Sicherheitsvorfälle, Kontinuität, Lieferanten, Tests, Zugriffskontrolle und Kryptografie.
Die drei ISO-Maßnahmen, von denen jede NIS2- und DORA-SoA abhängt
In Zenith Controls: The Cross-Compliance Guide Zenith Controls behandelt Clarysec drei ISO/IEC 27002:2022-Maßnahmen als zentral für eine auditbereite SoA-Governance zu NIS2 und DORA. Es handelt sich um ISO-Maßnahmen, die im Leitfaden Zenith Controls um Cross-Compliance-Attribute erweitert werden.
| ISO/IEC 27002:2022-Maßnahme | Maßnahmenname | Zenith Controls-Attribute | Warum sie für SoA-Governance relevant ist |
|---|---|---|---|
| 5.31 | Gesetzliche, satzungsrechtliche, regulatorische und vertragliche Anforderungen | Präventiv, CIA, Identifizieren, Recht und Compliance, Governance, Ökosystem, Schutz | Legt die Verpflichtungsbasis fest, die die Einbeziehung von Maßnahmen und die Zuweisung von Verantwortlichen steuert |
| 5.35 | Unabhängige Überprüfung der Informationssicherheit | Präventiv und korrektiv, CIA, Identifizieren und Schützen, Informationssicherheits-Assurance, Governance, Ökosystem | Liefert Sicherheit darüber, dass SoA-Entscheidungen und Umsetzungsnachweise einer unabhängigen Überprüfung standhalten |
| 5.36 | Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit | Präventiv, CIA, Identifizieren und Schützen, Recht und Compliance, Informationssicherheits-Assurance, Governance, Ökosystem | Verknüpft die SoA mit operativer Konformität, Richtlinieneinhaltung und Überwachung |
Diese Maßnahmen stehen nicht isoliert. Sie sind direkt mit den Maßnahmen zu Lieferantenbeziehungen A.5.19 bis A.5.23, den Maßnahmen zum Incident Management A.5.24 bis A.5.28, den Kontinuitätsmaßnahmen A.5.29 und A.5.30, der Datenschutzmaßnahme A.5.34, dem Schwachstellenmanagement A.8.8, dem Konfigurationsmanagement A.8.9, der Informationssicherung A.8.13, der Protokollierung A.8.15, den Überwachungstätigkeiten A.8.16, der Kryptografie A.8.24, den Maßnahmen zur sicheren Entwicklung A.8.25 bis A.8.29 und dem Änderungsmanagement A.8.32 verbunden.
Der Wert von Zenith Controls liegt darin, dass Teams die SoA nicht als Artefakt für nur eine Norm behandeln. Maßnahme 5.31 unterstützt rechtliche und vertragliche Zuordnungen. Maßnahme 5.35 unterstützt internes Audit, unabhängige Überprüfung und Managementsicherheit. Maßnahme 5.36 unterstützt die operative Einhaltung von Richtlinien, Verfahren, Standards und Maßnahmenanforderungen.
Mit dem Zenith Blueprint die SoA aufbauen, testen und verteidigen
In Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint verortet Clarysec den Aufbau der SoA in der Risikomanagementphase, Schritt 13: Planung der Risikobehandlung und Erklärung zur Anwendbarkeit. Der Blueprint weist Organisationen an, das SoA-Blatt in der Vorlage „Risk Register and SoA Builder.xlsx“ zu verwenden, für jede der 93 Annex A-Maßnahmen über die Anwendbarkeit zu entscheiden und die Entscheidung auf Risikobehandlung, rechtliche und vertragliche Anforderungen, Relevanz für den Geltungsbereich und organisatorischen Kontext zu stützen.
Der Blueprint formuliert:
Die SoA ist faktisch ein Brückendokument: Sie verknüpft Ihre Risikobeurteilung und Risikobehandlung mit den tatsächlichen Maßnahmen, über die Sie verfügen.
Dieser Satz beschreibt das Betriebsmodell. Die SoA verbindet Verpflichtungen, Risiken, Richtlinien, Maßnahmen, Nachweise und Audit-Schlussfolgerungen.
Der Zenith Blueprint weist Teams außerdem an, Vorschriften in den SoA-Notizen bei Bedarf querzuverweisen. Wird eine Maßnahme für GDPR, NIS2 oder DORA umgesetzt, sollte dies im Risikoregister oder in den SoA-Notizen erscheinen. Später, in Schritt 24, fordert der Blueprint Organisationen auf, die SoA nach der Umsetzung zu aktualisieren und mit dem Risikobehandlungsplan gegenzuprüfen. In Schritt 30, Zertifizierungsvorbereitung, abschließende Überprüfung und Probeaudit, weist der Blueprint Teams an zu bestätigen, dass für jede anwendbare Annex A-Maßnahme Nachweise wie Richtlinie, Verfahren, Bericht, Plan oder Umsetzungsaufzeichnung vorliegen.
Diese Abfolge macht die SoA zu einem lebenden Compliance-Instrument:
- Schritt 13 baut sie aus Risikobehandlung und Verpflichtungen auf.
- Schritt 24 prüft sie gegen die tatsächliche Umsetzung.
- Schritt 30 verteidigt sie durch abschließende Nachweisprüfung und Probeaudit.
Einbeziehungsbegründungen so formulieren, dass Auditoren ihnen folgen können
Eine Maßnahme muss einbezogen werden, wenn mindestens ein belastbarer Treiber vorliegt: Risikobehandlung, rechtliche Anforderung, vertragliche Anforderung, Relevanz für den Geltungsbereich, grundlegende Sicherheitshygiene, Kundenerwartung an Assurance oder ein vom Management genehmigtes Resilienzziel.
Eine hilfreiche Formel lautet:
Anwendbar, weil [Risiko oder Verpflichtung] [Service, Asset, Daten oder Prozess] betrifft und diese Maßnahme [präventive, detektive, korrektive oder resilienzbezogene Wirkung] bereitstellt, nachgewiesen durch [Richtlinie, Aufzeichnung, Test, Bericht oder Systemausgabe].
| Maßnahmenbereich | Schwache Begründung | Auditbereite Begründung |
|---|---|---|
| Incident Management | Umgesetzt | Anwendbar, weil NIS2 Article 23 und die Erwartungen von DORA an den Vorfallslebenszyklus Erkennung, Klassifizierung, Eskalation, Unterstützung bei Meldungen, Kommunikation, Ursachenanalyse, Beweissicherung und Lessons Learned für Vorfälle verlangen, die regulierte Kunden betreffen |
| Lieferantensicherheit | Erforderlich | Anwendbar, weil Cloud-Hosting, Support-Anbieter und MDR-Services die Serviceverfügbarkeit und Datenvertraulichkeit beeinflussen und NIS2 Article 21 sowie die DORA-Erwartungen an IKT-Drittparteienrisiken Due Diligence, vertragliche Schutzmaßnahmen, Überwachung, Subunternehmerprüfung und Exit-Planung verlangen |
| Kryptografie | Im Einsatz | Anwendbar, weil Kundendaten, Authentifizierungsgeheimnisse, Backups und regulierte Finanzdaten Schutzmaßnahmen für Vertraulichkeit und Integrität gemäß NIS2, DORA, GDPR, Kundenverträgen und interner Risikobehandlung erfordern |
| Unabhängige Überprüfung | Ja | Anwendbar, weil Management, Kunden und Auditoren Sicherheit darüber benötigen, dass ISMS-Maßnahmen, SoA-Entscheidungen, Nachweise und regulatorische Zuordnungen regelmäßig unabhängig überprüft werden |
Für einen FinTech-SaaS-Anbieter könnte eine SoA-Zeile so aussehen:
| SoA-Feld | Beispieleintrag |
|---|---|
| Maßnahme | A.5.19 Management der Informationssicherheit in Lieferantenbeziehungen |
| Anwendbarkeit | Ja |
| Begründung | Anwendbar, weil Cloud-Hosting, Support-Werkzeuge und MDR-Services Vertraulichkeit, Verfügbarkeit, Vorfallserkennung und Assurance für regulierte Kunden beeinflussen. Unterstützt NIS2-Erwartungen an die Lieferkette, DORA-Erwartungen an IKT-Drittparteienrisiken für Finanzkunden, GDPR-Rechenschaftspflicht von Auftragsverarbeitern und vertragliche Auditanforderungen. |
| Umsetzungsstatus | Umgesetzt und überwacht |
| Verantwortlicher | Leiter Lieferantenmanagement |
| Nachweise | Lieferantenregister, Due-Diligence-Checkliste, vertragliche Sicherheitsklauseln, jährliche Überprüfungsaufzeichnungen, SOC- oder Assurance-Berichte, Subunternehmerprüfung, Exit-Plan für kritische Anbieter |
| Verknüpfte Risiken | R-047, R-021, R-034 |
| Verknüpfte Richtlinien | Richtlinie zur Lieferanten- und Drittparteiensicherheit, Richtlinie zur rechtlichen und regulatorischen Compliance, Risikomanagement-Richtlinie |
| Überprüfungsfrequenz | Jährlich sowie bei Lieferantenwechsel, wesentlichem Sicherheitsvorfall, neuem reguliertem Kunden oder Serviceerweiterung |
Das ist auditbereit, weil die Maßnahme mit Kontext, Risiko, Verpflichtung, Umsetzung, Verantwortung und Nachweisen verbunden wird.
Ausschlüsse begründen, ohne Auditrisiken zu erzeugen
Ausschlüsse sind keine Fehler. Schlecht begründete Ausschlüsse sind Fehler.
ISO/IEC 27001:2022 verlangt, dass die SoA ausgeschlossene Annex A-Maßnahmen begründet. ISO/IEC 27005:2022 bekräftigt, dass Nichtanwendbarkeit erläutert und begründet werden sollte. Clarysec’s Enterprise Informationssicherheitsleitlinie legt fest:
Die Baseline darf angepasst werden; Ausschlüsse müssen jedoch mit formaler Genehmigung und Begründung in der SoA dokumentiert werden.
Dies ist Klausel 7.2.2 der Informationssicherheitsleitlinie.
Clarysec’s Informationssicherheitsleitlinie-sme Informationssicherheitsleitlinie-sme - KMU legt fest:
Jede Abweichung von dieser Richtlinie muss dokumentiert werden; dabei ist klar zu erläutern, warum die Abweichung erforderlich ist, welche alternativen Schutzmaßnahmen bestehen und welches Datum für die erneute Bewertung festgelegt wurde.
Diese Anforderung stammt aus Klausel 7.2.1 der Informationssicherheitsleitlinie-sme.
| Maßnahmenbereich | Ausschlussbegründung | Erforderliche Schutzmaßnahmen |
|---|---|---|
| Maßnahmen zur sicheren Entwicklung für intern entwickelten Code | Nicht anwendbar, weil der ISMS-Geltungsbereich nur einen Reseller-Service ohne interne Softwareentwicklung, ohne Codeänderung und ohne CI/CD-Pipeline umfasst | Lieferanten-Assurance, Änderungsgenehmigung, Schwachstellenannahme, Kundenkommunikation und jährliche Neubewertung |
| Physische Sicherheitsüberwachung für eigene Standorte | Nicht anwendbar, weil die Organisation kein eigenes Rechenzentrum, keinen Serverraum und keinen Bürostandort im ISMS-Geltungsbereich hat und die gesamte Produktionsinfrastruktur von auditierten Cloud-Anbietern betrieben wird | Cloud-Lieferanten-Due-Diligence, vertragliche Kontrollen, Berechtigungsüberprüfung, Prüfung der geteilten Verantwortung und Nachweise aus Assurance-Berichten des Anbieters |
| Bestimmte Aktivitäten zur Medienhandhabung On-Premises | Nicht anwendbar, weil innerhalb des betrachteten Services keine Wechselmedien und keine On-Premises-Speicherung genutzt werden | Endpoint-Beschränkungen, DLP-Überwachung soweit angemessen, Asset-Inventar und regelmäßige Validierung |
Für NIS2 und DORA erfordern Ausschlüsse besondere Sorgfalt. Ein SaaS-Unternehmen sollte Protokollierung, Überwachung, Backups, Incident Management, Zugriffskontrolle, Lieferantensicherheit oder Schwachstellenmanagement nur selten ausschließen. Selbst wenn eine Maßnahme nicht mit einem einzelnen spezifischen Risiko verknüpft ist, kann sie als grundlegende Sicherheitsmaßnahme, Kundenerwartung an Assurance, vertragliche Erwartung oder rechtliche Verpflichtung erforderlich sein.
Clarysec’s Risikomanagement-Richtlinie-sme erinnert Teams außerdem daran, wie akzeptierte Risiken zu behandeln sind:
Akzeptieren: Begründen, warum keine weiteren Maßnahmen erforderlich sind, und das Restrisiko dokumentieren.
Diese Klausel, 6.1.1 der Risikomanagement-Richtlinie-sme, beschreibt genau die Haltung, die für Ausschlüsse und Restrisikoentscheidungen erforderlich ist.
Vorfallsmeldung: Workflow nachweisen, nicht nur Richtlinienexistenz
NIS2 Article 23 verlangt eine gestufte Meldung erheblicher Sicherheitsvorfälle, einschließlich Frühwarnung innerhalb von 24 Stunden nach Kenntniserlangung, Meldung innerhalb von 72 Stunden, Aktualisierungen auf Anforderung und Abschlussbericht innerhalb eines Monats nach der 72-Stunden-Meldung. DORA verlangt von Finanzunternehmen, wesentliche IKT-bezogene Vorfälle zu erkennen, zu steuern, zu klassifizieren, zu eskalieren, zu kommunizieren und zu melden, betroffene Kunden soweit erforderlich zu informieren, eine Ursachenanalyse durchzuführen und Kontrollen zu verbessern.
Ein SaaS-Anbieter meldet möglicherweise nicht immer direkt an eine DORA-Behörde, muss aber unter Umständen die Meldefristen seiner Finanzkunden unterstützen. Dadurch werden Vorfallsmaßnahmen in der SoA besonders relevant.
Eine schwache SoA sagt: „Incident-Response-Richtlinie vorhanden.“
Eine starke SoA sagt: „Anwendbar, weil die Organisation Vorfälle erkennen, bewerten, klassifizieren, eskalieren, kommunizieren, Nachweise sichern, regulatorische Meldefristen unterstützen, betroffene Kunden bei vertraglicher Verpflichtung benachrichtigen und aus Vorfällen lernen muss, die Services, Daten oder regulierte Kunden betreffen.“
Nachweise sollten Folgendes umfassen:
- Incident Response Plan und Eskalationsmatrix.
- Kriterien zur Schweregradklassifizierung.
- Workflow zur Kundenbenachrichtigung.
- Entscheidungsbaum für regulatorische Meldungen, soweit anwendbar.
- Vorfalltickets und Zeitachsen.
- Protokolle und Monitoring-Warnmeldungen.
- Aufzeichnungen zu Tabletop-Übungen.
- Nachprüfung nach Vorfällen und Korrekturmaßnahmen.
- Verfahren zur Beweissicherung.
Clarysec’s Enterprise Richtlinie zur Audit- und Compliance-Überwachung Richtlinie zur Audit- und Compliance-Überwachung erklärt, warum dies relevant ist:
Um belastbare Nachweise und einen Audit Trail zur Unterstützung von Anfragen von Aufsichtsbehörden, Gerichtsverfahren oder Kundenanfragen zur Vertrauensbildung zu erzeugen.
Dieses Ziel stammt aus Klausel 3.4 der Richtlinie zur Audit- und Compliance-Überwachung.
Für kleinere Organisationen muss auch die Aufbewahrung von Nachweisen ausdrücklich geregelt sein. Clarysec’s Richtlinie zur Audit- und Compliance-Überwachung-sme Richtlinie zur Audit- und Compliance-Überwachung-sme - KMU legt fest:
Nachweise müssen mindestens zwei Jahre oder länger aufbewahrt werden, soweit dies durch Zertifizierungs- oder Kundenvereinbarungen erforderlich ist.
Das ist Klausel 6.2.4 der Richtlinie zur Audit- und Compliance-Überwachung-sme.
Eine SoA, mehrere Audit-Gespräche
Die beste SoA dupliziert keine Rahmenwerke. Sie schafft eine nachvollziehbare Maßnahmenargumentation, die unterschiedliche Auditoren verstehen können.
| Rahmenwerk oder Perspektive | Was der Auditor oder Assessor fragen wird | Wie die SoA hilft |
|---|---|---|
| ISO/IEC 27001:2022 | Warum ist diese Annex A-Maßnahme einbezogen oder ausgeschlossen, wie ist der Umsetzungsstatus und wo sind die Nachweise? | Verknüpft Maßnahmenentscheidungen mit Risiken, Verpflichtungen, Umsetzungsstatus, Verantwortlichen und Nachweisen |
| NIS2 | Wie funktionieren Governance, Risikoanalyse, Umgang mit Sicherheitsvorfällen, Aufrechterhaltung des Geschäftsbetriebs, Lieferkette, Verschlüsselung, Zugriffskontrolle, Asset-Management und Schulung in der Praxis? | Ordnet die Erwartungen aus Article 21 und Article 23 den Annex A-Maßnahmen und operativen Aufzeichnungen zu |
| DORA | Wie werden IKT-Risiko, Incident Management, Resilienztests, Drittparteienrisiko, Verträge, Auditrechte, Exit-Pläne und Managementaufsicht nachgewiesen? | Zeigt, welche Maßnahmen Verpflichtungen von Finanzunternehmen oder die Assurance von SaaS-Lieferanten unterstützen |
| GDPR | Kann die Organisation Integrität, Vertraulichkeit, Rechenschaftspflicht, Bereitschaft bei Datenschutzverletzungen, Unterstützung rechtmäßiger Verarbeitung und Kontrollen für Auftragsverarbeiter nachweisen? | Verknüpft Datenschutzverpflichtungen mit Zugriffskontrolle, Kryptografie, Protokollierung, Lieferanten-, Vorfalls-, Aufbewahrungs- und Nachweiskontrollen |
| NIST CSF 2.0 | Wie werden die Ergebnisse Govern, Identify, Protect, Detect, Respond und Recover durch umgesetzte Maßnahmen unterstützt? | Nutzt dieselbe Nachweisbasis, um die funktionale Abdeckung der Cybersicherheit zu zeigen |
| COBIT 2019 und ISACA-Audit | Sind Governance-Ziele, Verantwortung für Kontrollen, Assurance-Tätigkeiten, Kennzahlen und Managementverantwortung definiert? | Verknüpft SoA-Entscheidungen mit Verantwortlichen, Leistungsüberprüfung, unabhängiger Überprüfung und Korrekturmaßnahmen |
Ein ISO 27001-Auditor beginnt in der Regel mit der Klausellogik: Geltungsbereich, interessierte Parteien, Risikobeurteilung, Risikobehandlung, SoA, Ziele, internes Audit, Managementbewertung und Verbesserung. Ein NIS2-orientierter Prüfer fokussiert Verhältnismäßigkeit, Managementverantwortung, Schulung, Lieferkette, Vorfallsfristen und Serviceauswirkungen. Ein DORA-orientierter Kundenassessor konzentriert sich auf IKT-Risiko, kritische oder wichtige Funktionen, wesentliche IKT-Vorfälle, Resilienztests, Vertragsklauseln, Auditrechte, Exit-Pläne, Unterbeauftragung und Konzentrationsrisiko. Ein Datenschutzprüfer fokussiert GDPR-Rechenschaftspflicht und Bereitschaft bei Datenschutzverletzungen. Ein Auditor nach COBIT 2019- oder ISACA-Logik prüft Governance, Kennzahlen, Verantwortlichkeit, Assurance und Korrekturmaßnahmen.
Deshalb darf die SoA nicht nur vom Sicherheitsteam gepflegt werden. Sie benötigt Verantwortung aus Recht, Datenschutz, Beschaffung, Engineering, Betrieb, HR und Geschäftsleitung.
Häufige SoA-Schwächen in NIS2- und DORA-Bereitschaftsprojekten
Clarysec findet in Bereitschaftsprojekten wiederholt dieselben Probleme:
- Die SoA markiert Maßnahmen als anwendbar, aber es ist kein Risiko, keine Verpflichtung und kein geschäftlicher Grund dokumentiert.
- NIS2 und DORA werden in Richtlinien erwähnt, aber nicht Maßnahmen, Verantwortlichen oder Nachweisen zugeordnet.
- Lieferantenmaßnahmen sind als umgesetzt markiert, aber es gibt kein Lieferantenregister, keine Kritikalitätsbewertung, keine Vertragsprüfung und keinen Exit-Plan.
- Vorfallsmaßnahmen bestehen, aber der Prozess unterstützt keine 24-Stunden-, 72-Stunden-, Kunden- oder Abschlussmelde-Workflows.
- Managementgenehmigung wird unterstellt, aber es gibt keine Aufzeichnung zur Risikoakzeptanz, SoA-Genehmigung oder Restrisikoentscheidung.
- Ausschlüsse werden aus einer Vorlage kopiert und passen nicht zum tatsächlichen Cloud-, Remote-, SaaS- oder FinTech-Betriebsmodell.
- Nachweise liegen in verschiedenen Werkzeugen vor, aber kein Audit Trail verbindet sie mit der SoA.
- Die Verarbeitung personenbezogener Daten nach GDPR ist nicht mit Sicherheitskontrollen, Reaktion auf Datenschutzverletzungen, Lieferantenverträgen oder Aufbewahrung verknüpft.
- Internes Audit prüft Dokumente, testet aber nicht, ob die SoA die tatsächliche Umsetzung widerspiegelt.
- Die SoA wird nur vor der Zertifizierung aktualisiert, nicht nach neuen Kunden, Lieferanten, Vorfällen, Auditfeststellungen oder regulatorischen Änderungen.
Das sind keine Papierprobleme. Es sind Governance-Probleme.
Praktische Checkliste für eine auditbereite ISO 27001-SoA
Nutzen Sie diese Checkliste vor einem ISO 27001-Zertifizierungsaudit, einer NIS2-Bereitschaftsprüfung, einer DORA-Kundenbewertung, einer Sitzung des Leitungsorgans oder einer Due-Diligence-Prüfung durch Investoren.
| Prüfpunkt | Gute Antwort |
|---|---|
| Geltungsbereich | Der ISMS-Geltungsbereich spiegelt Services, Kunden, Daten, Lieferanten, ausgelagerte Schnittstellen und regulierte Abhängigkeiten wider |
| Interessierte Parteien | NIS2, DORA-Kunden, GDPR-Rollen, Aufsichtsbehörden, Kunden, Lieferanten und interne Interessenträger sind identifiziert |
| Compliance-Register | Rechtliche, regulatorische, vertragliche und kundenseitige Verpflichtungen sind Richtlinien, Maßnahmen und Verantwortlichen zugeordnet |
| Risikokriterien | Rechtliche, operative, datenschutzbezogene, lieferantenbezogene, resilienzbezogene, finanzielle und reputationsbezogene Auswirkungen sind berücksichtigt |
| Risikoregister | Jedes Risiko enthält Beschreibung, Eintrittswahrscheinlichkeit, Auswirkung, Bewertung, Verantwortlichen, Behandlungsplan und Restrisiko |
| SoA-Einbeziehung | Jede anwendbare Maßnahme hat eine Begründung, die mit Risiko, Verpflichtung, Geltungsbereich, Vertrag oder grundlegender Sicherheit verknüpft ist |
| SoA-Ausschluss | Jede ausgeschlossene Maßnahme hat eine spezifische, genehmigte und nachweisbasierte Begründung sowie einen Auslöser für die Überprüfung |
| Nachweise | Für jede anwendbare Maßnahme liegen Nachweise in Form von Richtlinie, Verfahren, Konfiguration, Bericht, Test, Ticket, Protokoll, Überprüfung oder Aufzeichnung vor |
| Managementgenehmigung | Risikoverantwortliche genehmigen Behandlungspläne und Restrisiken, und das Management überprüft die ISMS-Leistung |
| Unabhängige Überprüfung | Internes Audit oder unabhängige Überprüfung testet die Richtigkeit der SoA, die Qualität der Nachweise und die tatsächliche Umsetzung |
| Aktualisierungsauslöser | SoA-Aktualisierungen erfolgen nach Serviceänderungen, Lieferantenänderungen, Vorfällen, neuen Kunden, regulatorischen Änderungen oder Auditfeststellungen |
Die SoA in eine belastbare Brücke für Compliance verwandeln
Elenas Präsentation vor dem Leitungsorgan war erfolgreich, weil sie nicht drei voneinander getrennte Compliance-Projekte präsentierte. Sie präsentierte ein kontrolliertes, nachweisbasiertes Betriebsmodell auf Basis von ISO/IEC 27001:2022 – mit der SoA als Brücke zwischen Regulierung, Risiko, Maßnahmenumsetzung, Nachweisen und Managementaufsicht.
NIS2 und DORA machen ISO 27001 nicht obsolet. Sie machen eine gut aufgebaute ISO 27001-Erklärung zur Anwendbarkeit wertvoller. Die SoA kann der zentrale Ort werden, an dem Ihre Organisation erklärt, warum Maßnahmen bestehen, warum Ausschlüsse vertretbar sind, wie Nachweise aufbewahrt werden, wie Lieferanten gesteuert werden, wie Vorfälle eskaliert werden und wie das Management weiß, dass das ISMS funktioniert.
Ihre unmittelbare Maßnahme ist einfach:
- Öffnen Sie Ihre aktuelle SoA.
- Wählen Sie fünf als anwendbar markierte Maßnahmen aus und fragen Sie: „Welches Risiko, welche Verpflichtung oder welcher Vertrag begründet dies?“
- Wählen Sie fünf Ausschlüsse aus und fragen Sie: „Wäre dies für einen NIS2-, DORA-, GDPR- oder ISO/IEC 27001:2022-Auditor weiterhin nachvollziehbar?“
- Prüfen Sie, ob jede anwendbare Maßnahme aktuelle Nachweise hat.
- Bestätigen Sie, dass das Management Restrisiken und SoA-Entscheidungen genehmigt hat.
- Aktualisieren Sie Compliance-Register, Risikoregister und SoA, wenn sich Services, Lieferanten, Kunden, Vorschriften oder Vorfälle ändern.
Clarysec unterstützt Organisationen dabei mit dem Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, Richtliniensätzen für Unternehmen und KMU, Werkzeugen für Risikoregister, SoA-Vorlagen, Auditvorbereitung und Cross-Compliance-Zuordnung für NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 und Customer Assurance.
Wenn Ihre SoA nicht beantworten kann, warum eine Maßnahme besteht, wem sie gehört, welcher Nachweis sie belegt und welche Verpflichtung sie unterstützt, ist sie noch nicht bereit. Nutzen Sie Clarysec, um sie in eine auditbereite Brücke für Compliance zu verwandeln, bevor eine Aufsichtsbehörde, ein Auditor oder ein Kunde diese Fragen zuerst stellt.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
