NIST CSF 2.0 Govern für KMU und ISO 27001
Sarah, die neu ernannte CISO eines schnell wachsenden FinTech-KMU, stand vor einem Whiteboard voller Frameworks und einer Frist, die sich nicht verschieben ließ. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Lieferantenrisiken. Rechenschaftspflicht des Leitungsorgans. Due Diligence durch Unternehmenskunden.
Der Auslöser war vertraut: eine Tabelle eines großen Kunden aus dem Finanzdienstleistungssektor. Die Beschaffung verlangte Nachweise zu einem Governance-Modell für Cybersicherheit, zur Risikobereitschaft, zu einem Lieferantensicherheitsprogramm, zur Zuordnung gesetzlicher und regulatorischer Verpflichtungen, zum Eskalationsprozess für Vorfälle und zur Ausrichtung an ISO 27001:2022.
Die CEO wollte keine Vorlesung über Compliance. Sie wollte eine einfache Antwort auf eine schwierige Frage: „Wie weisen wir gegenüber unserem Leitungsorgan, unseren Kunden und unseren Aufsichtsbehörden nach, dass wir Cyberrisiken beherrschen?“
Das ist das Governance-Problem, vor dem viele KMU stehen. Ein Kundenfragebogen ist selten nur ein Kundenfragebogen. Häufig bündelt er fünf Compliance-Gespräche in einer einzigen Anfrage. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, durch DORA geprägte Lieferantenerwartungen, Cloud-Resilienz, Überwachung durch das Leitungsorgan und vertragliche Verpflichtungen verbergen sich alle in derselben Nachweisanforderung.
Viele KMU reagieren, indem sie getrennte Artefakte erstellen: eine NIST-Tabelle, einen ISO-Zertifizierungsordner, einen GDPR-Tracker, ein Lieferantenrisikoregister und einen Incident-Response-Plan, die nicht miteinander verbunden sind. Sechs Monate später weiß niemand mehr, welches Dokument maßgeblich ist.
Der Ansatz von Clarysec ist anders. Nutzen Sie die NIST CSF 2.0 Govern-Funktion als Governance-Ebene für die Geschäftsleitung und bilden Sie sie anschließend auf ISO 27001:2022-Richtlinien, Risikobehandlung, die Anwendbarkeitserklärung, Lieferantenaufsicht, Managementbewertung und Auditnachweise ab. Das Ergebnis ist nicht mehr Compliance-Arbeit. Es ist ein Betriebsmodell, mit dem Auditoren, Kunden, Aufsichtsbehörden und Führungskräfte aus demselben Nachweisbestand heraus adressiert werden können.
Warum die NIST CSF 2.0 Govern-Funktion für KMU wichtig ist
NIST CSF 2.0 hebt Governance als eigene Funktion neben Identify, Protect, Detect, Respond und Recover hervor. Diese Änderung ist wichtig, weil die meisten Sicherheitsmängel in KMU nicht durch das Fehlen eines weiteren Werkzeugs verursacht werden. Sie entstehen durch unklare Rechenschaftspflichten, schwache Risikoentscheidungen, nicht dokumentierte Ausnahmen, inkonsistente Lieferantenaufsicht und Richtlinien, die einmal genehmigt, aber nie operationalisiert wurden.
Die NIST CSF 2.0 Govern-Funktion verschiebt die Frage von „Welche Kontrollen haben wir?“ zu „Wer ist verantwortlich, welche Verpflichtungen gelten, wie werden Risiken priorisiert und wie wird die Wirksamkeit überprüft?“
Für KMU liefern die Govern-Ergebnisse einen praktischen Auftrag:
- Gesetzliche, regulatorische, vertragliche, datenschutzbezogene und auf bürgerliche Freiheitsrechte bezogene Verpflichtungen verstehen und steuern.
- Risikobereitschaft, Risikotoleranz, Risiko-Scoring, Priorisierung und Optionen zur Risikobehandlung festlegen.
- Rollen, Verantwortlichkeiten, Befugnisse, Eskalationswege und Ressourcen für Cybersicherheit definieren.
- Cybersicherheitsrichtlinien festlegen, kommunizieren, durchsetzen, überprüfen und aktualisieren.
- Cybersicherheitsstrategie, Wirksamkeit und Managementverantwortung überprüfen.
- Cybersicherheitsrisiken von Lieferanten und Drittparteien von der Due Diligence bis zur Beendigung der Lieferantenbeziehung steuern.
Deshalb ist NIST CSF 2.0 Govern ein besonders geeigneter Einstiegspunkt für ISO 27001:2022. NIST gibt Führungskräften die Governance-Sprache. ISO 27001:2022 liefert das auditierbare Managementsystem.
Die Klauseln 4 bis 10 von ISO 27001:2022 verlangen von Organisationen, den Kontext zu verstehen, interessierte Parteien zu bestimmen, den ISMS-Geltungsbereich festzulegen, Führung nachzuweisen, Risikobeurteilung und Risikobehandlung zu planen, dokumentierte Informationen bereitzustellen, Kontrollen zu betreiben, Leistung zu bewerten, interne Audits und Managementbewertungen durchzuführen und sich kontinuierlich zu verbessern. Annex A stellt anschließend den Referenzsatz für Kontrollen bereit, einschließlich Richtlinien, Managementverantwortlichkeiten, rechtlicher Verpflichtungen, Datenschutz, Lieferantenbeziehungen, Cloud-Services, Vorfallmanagement und IKT-Bereitschaft für die Aufrechterhaltung des Geschäftsbetriebs.
Clarysecs Enterprise-Informationssicherheitsleitlinie Informationssicherheitsleitlinie legt fest:
Die Organisation muss ein formales Governance-Modell zur Überwachung des ISMS aufrechterhalten, das an den ISO/IEC 27001-Klauseln 5.1 und 9.3 ausgerichtet ist.
Diese Anforderung aus Klausel 5.1 der Informationssicherheitsleitlinie ist die praktische Brücke zwischen NIST GV-Rechenschaftspflicht und den Führungserwartungen aus ISO 27001:2022. Governance ist keine jährliche Präsentation. Sie ist ein formales Modell, das Entscheidungen, Richtlinien, Rollen, Risiken, Kontrollen, Nachweise und Überprüfung miteinander verbindet.
Die Kernabbildung: NIST CSF 2.0 Govern auf ISO 27001:2022-Nachweise
Der schnellste Weg, NIST CSF 2.0 nutzbar zu machen, besteht darin, Govern-Ergebnisse in Richtlinienverantwortung und Auditnachweise zu überführen. Die folgende Tabelle zeigt die Struktur, die Clarysec bei KMU verwendet, die sich auf eine ISO 27001:2022-Zertifizierung, Due Diligence durch Unternehmenskunden, NIS2-Vorbereitung, DORA-Kundensicherstellung und GDPR-Rechenschaftspflicht vorbereiten.
| NIST CSF 2.0 Govern-Bereich | Governance-Frage für KMU | Ausrichtung an ISO 27001:2022 | Clarysec-Richtlinienanker | Von Auditoren und Kunden erwartete Nachweise |
|---|---|---|---|---|
| GV.OC, organisatorischer Kontext | Kennen wir unsere gesetzlichen, regulatorischen, vertraglichen, datenschutzbezogenen und geschäftlichen Verpflichtungen? | Klauseln 4.1 bis 4.4, Annex A 5.31 und 5.34 | Richtlinie zur rechtlichen und regulatorischen Compliance | Compliance-Register, ISMS-Geltungsbereich, Register interessierter Parteien, Zuordnung von Kundenverpflichtungen, Datenschutzregister |
| GV.RM, Risikomanagementstrategie | Wie definieren, bewerten, priorisieren, akzeptieren und behandeln wir Cyberrisiken? | Klauseln 6.1.1 bis 6.1.3, 8.2 und 8.3 | Risikomanagement-Richtlinie | Risikomethodik, Risikoregister, Risikobehandlungsplan, Genehmigungen der Risikoverantwortlichen, SoA-Zuordnung |
| GV.RR, Rollen und Verantwortlichkeiten | Wer ist für Cybersicherheitsentscheidungen, Ausnahmen, Ressourcen und Berichterstattung verantwortlich? | Klauseln 5.1 bis 5.3, Annex A 5.2 und 5.4 | Richtlinie zu Governance-Rollen und Verantwortlichkeiten für KMU | RACI, Rollenbeschreibungen, Sitzungsprotokolle, Ausnahmegenehmigungen, Schulungsaufzeichnungen |
| GV.PO, Richtlinie | Sind Richtlinien genehmigt, kommuniziert, durchgesetzt, überprüft und aktualisiert? | Klauseln 5.2, 7.5 und 9.3, Annex A 5.1 | Informationssicherheitsleitlinie | Richtlinienregister, Genehmigungsaufzeichnungen, Versionshistorie, Mitarbeiterbestätigungen, Protokolle zur Richtlinienüberprüfung |
| GV.OV, Überwachung | Werden Cybersicherheitsstrategie und -leistung überprüft und angepasst? | Klauseln 9.1, 9.2, 9.3, 10.1 und 10.2 | Richtlinie zur Audit- und Compliance-Überwachung | KPI-Dashboard, interner Auditplan, Ergebnisse der Managementbewertung, Korrekturmaßnahmen |
| GV.SC, Lieferkettenrisiko | Sind Lieferanten bekannt, priorisiert, bewertet, vertraglich geregelt, überwacht und bei Vertragsende kontrolliert ausgesteuert? | Annex A 5.19 bis 5.23 und 5.30 | Richtlinie zur Lieferanten- und Drittparteiensicherheit für KMU | Lieferanteninventar, Due-Diligence-Aufzeichnungen, Vertragsklauseln, Überprüfungsprotokolle, Exit-Pläne, Vorfallkontakte |
Diese Abbildung ist bewusst nachweisorientiert. Sie fordert das KMU nicht auf, 40 Dokumente zu erstellen. Sie stellt fünf operative Fragen:
- Welche Entscheidung wird getroffen?
- Wer ist dafür verantwortlich?
- Welche Richtlinie steuert sie?
- Welche ISO 27001:2022-Klausel oder Annex A-Maßnahme unterstützt sie?
- Welcher Nachweis belegt, dass sie stattgefunden hat?
Die Richtlinie zu Governance-Rollen und Verantwortlichkeiten für KMU Richtlinie zu Governance-Rollen und Verantwortlichkeiten für KMU macht diese Nachvollziehbarkeit ausdrücklich:
Alle wesentlichen Sicherheitsentscheidungen, Ausnahmen und Eskalationen müssen aufgezeichnet und nachvollziehbar sein.
Dieses Zitat stammt aus Klausel 5.5 der Richtlinie zu Governance-Rollen und Verantwortlichkeiten für KMU. Es macht aus NIST GV.RR ein Governance-Prinzip mit auditierbarer Betriebsregel.
Beginnen Sie mit einem CSF Govern-Profil, nicht mit einer Kontrolltabelle
NIST CSF 2.0 Organizational Profiles helfen Organisationen, aktuelle und angestrebte Cybersicherheitsergebnisse zu beschreiben. Für KMU ist das Profil der Punkt, an dem Governance handhabbar wird.
Ein praxisorientierter Govern-Profile-Workshop sollte fünf Fragen beantworten:
- Was liegt im Geltungsbereich: das gesamte Unternehmen, eine SaaS-Plattform, ein reguliertes Produkt oder eine Kundenumgebung?
- Welche Verpflichtungen treiben das Profil: Kundenverträge, GDPR, NIS2-Exposition, durch DORA geprägte Kundenerwartungen, ISO 27001:2022-Zertifizierung oder Investor-Due-Diligence?
- Was belegen die vorhandenen Nachweise tatsächlich, nicht was Personen glauben, dass vorhanden sei?
- Welcher Zielzustand ist für die nächsten 90 Tage und die nächsten 12 Monate realistisch?
- Welche Risiken, Richtlinien, Lieferanten und SoA-Einträge müssen geändert werden?
Der Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint unterstützt dies in der Phase „ISMS Foundation & Leadership“, Schritt 6, „Documented Information and Building the ISMS Library“. Er empfiehlt, die SoA frühzeitig vorzubereiten und als Kontrollbibliothek zu nutzen:
✓ Zusätzliche Kontrollen: Gibt es Kontrollen außerhalb von Annex A, die Sie einbeziehen möchten? ISO 27001 erlaubt, weitere Kontrollen in die SoA aufzunehmen. Vielleicht möchten Sie beispielsweise die Einhaltung von NIST CSF oder bestimmte Datenschutzkontrollen aus ISO 27701 aufnehmen. Annex A ist grundsätzlich umfassend, Sie können jedoch besondere Kontrollen ergänzen, die Sie planen.
✓ Tabelle verwenden (SoA Builder): Ein praktischer Ansatz ist, die SoA- Tabelle jetzt vorzubereiten. Wir haben eine Vorlage SoA_Builder.xlsx erstellt, die alle Annex A- Kontrollen mit Spalten für Anwendbarkeit, Umsetzungsstatus und Hinweise auflistet.
Für ein KMU ist das wichtig. Sie müssen NIST CSF 2.0 nicht in ISO Annex A pressen, als wären beide identisch. Sie können CSF Govern-Ergebnisse als zusätzliche Governance-Anforderungen in Ihre SoA-Bibliothek aufnehmen, sie auf ISO 27001:2022-Klauseln und Annex A-Maßnahmen abbilden und damit Managementbewertung, Lieferanten-Governance, Risikoberichterstattung und Compliance-Überwachung verbessern.
Ein Govern-Nachweisregister aufbauen
Ein Govern-Nachweisregister ist das praktische Werkzeug, das Frameworks in belegbare Nachweise übersetzt. Es sollte jedes NIST-Ergebnis mit einer ISO-Referenz, einem Richtlinienverantwortlichen, einem Nachweiselement, einem Überprüfungsrhythmus, einer Lücke und einer Maßnahme verbinden.
| Feld | Beispieleintrag |
|---|---|
| CSF-Ergebnis | GV.OC-03 |
| Governance-Frage | Werden gesetzliche, regulatorische, vertragliche, datenschutzbezogene und auf bürgerliche Freiheitsrechte bezogene Verpflichtungen verstanden und gesteuert? |
| ISO 27001:2022-Referenz | Klauseln 4.2, 4.3 und 6.1.3, Annex A 5.31 und 5.34 |
| Clarysec-Richtlinie | Richtlinie zur rechtlichen und regulatorischen Compliance |
| Nachweisverantwortlicher | Compliance-Manager |
| Nachweis | Compliance-Register v1.4, Zuordnung von Kundenverpflichtungen, GDPR-Verzeichnis der Verarbeitungstätigkeiten |
| Überprüfungsrhythmus | Vierteljährlich sowie bei Änderungen an Markt, Kunden oder Produkten |
| Lücke | DORA-Flow-down-Klauseln von Kunden nicht auf Lieferantenverträge abgebildet |
| Maßnahme | Vorlage für Lieferantenverträge und SoA-Hinweise aktualisieren |
| Fälligkeitstermin | 30 Tage |
Clarysecs Enterprise-Richtlinie zur rechtlichen und regulatorischen Compliance Richtlinie zur rechtlichen und regulatorischen Compliance enthält die maßgebliche Anforderung:
Alle rechtlichen und regulatorischen Verpflichtungen müssen spezifischen Richtlinien, Kontrollen und Verantwortlichen innerhalb des Informationssicherheits-Managementsystems (ISMS) zugeordnet werden.
Dies ist Klausel 6.2.1 der Richtlinie zur rechtlichen und regulatorischen Compliance. Für KMU ergänzt die Richtlinie zur rechtlichen und regulatorischen Compliance für KMU Richtlinie zur rechtlichen und regulatorischen Compliance für KMU eine praktische Anforderung zur Querverknüpfung:
Wenn eine Vorschrift mehrere Bereiche betrifft (z. B. GDPR betrifft Aufbewahrung, Sicherheit und Datenschutz), muss dies im Compliance-Register und in Schulungsunterlagen eindeutig abgebildet werden.
Dieses Zitat stammt aus Klausel 5.2.2 der Richtlinie zur rechtlichen und regulatorischen Compliance für KMU. Zusammen überführen diese Klauseln GV.OC-03 in einen gesteuerten, überprüfbaren und auditbereiten Prozess.
Risiko-Scoring mit Risikobehandlung und SoA verbinden
NIST GV.RM verlangt Risikoziele, Risikobereitschaft, Risikotoleranz, standardisierte Risikoberechnung, Reaktionsoptionen und Kommunikationswege. ISO 27001:2022 operationalisiert dies durch Risikobeurteilung, Risikobehandlung, Genehmigung durch Risikoverantwortliche, Restrisikoakzeptanz und die Anwendbarkeitserklärung.
Die Risikomanagement-Richtlinie für KMU Risikomanagement-Richtlinie für KMU ist bewusst konkret:
Jeder Risikoeintrag muss Beschreibung, Eintrittswahrscheinlichkeit, Auswirkung, Bewertung, Verantwortlichen und Behandlungsplan enthalten.
Dies stammt aus Klausel 5.1.2 der Risikomanagement-Richtlinie für KMU. Die Enterprise-Risikomanagement-Richtlinie Risikomanagement-Richtlinie stärkt die Verbindung zur SoA:
Eine Anwendbarkeitserklärung (SoA) muss alle Behandlungsentscheidungen widerspiegeln und aktualisiert werden, wenn die Kontrollabdeckung geändert wird.
Das ist Klausel 5.4 der Risikomanagement-Richtlinie.
Betrachten Sie ein reales KMU-Risiko: nicht autorisierter Zugriff auf Produktionskundendaten aufgrund inkonsistenter MFA-Durchsetzung über Cloud-Administrationskonten hinweg.
Eine belastbare Govern-Abbildung würde Folgendes enthalten:
- NIST GV.RM für standardisierte Risikodokumentation und Priorisierung.
- NIST GV.RR für Rollenverantwortung und Befugnis zur Durchsetzung der Zugriffskontrolle.
- NIST GV.PO für Durchsetzung und Überprüfung von Richtlinien.
- ISO 27001:2022-Klauseln 6.1.2, 6.1.3, 8.2 und 8.3.
- Annex A-Kontrollen für Zugriffskontrolle, Identitätsmanagement, Authentifizierungsinformationen, Protokollierung, Überwachung, Konfiguration und Cloud-Services.
- Nachweise wie einen Risikoregistereintrag, MFA-Konfigurationsexport, Ausnahmegenehmigung, Cloud-IAM-Überprüfung, Managementbewertungsentscheidung und aktualisierten SoA-Hinweis.
Der Zenith Blueprint, Phase Risikomanagement, Schritt 13, „Risk Treatment Planning and Statement of Applicability“, erläutert die Verknüpfung:
✓ Stellen Sie die Ausrichtung an Ihrem Risikoregister sicher: Jede risikomindernde Kontrolle, die Sie im Risiko- behandlungsplan festgehalten haben, sollte einer Annex A-Kontrolle entsprechen, die als „Applicable“ markiert ist. Umgekehrt sollten Sie für eine als anwendbar markierte Kontrolle entweder ein Risiko oder eine Anforderung haben, die sie begründet.
Das ist der Unterschied zwischen „wir nutzen MFA“ und dem Nachweis „wir haben einen gesteuerten, risikobasierten und an ISO 27001:2022 ausgerichteten Grund für MFA, mit Nachweis, Verantwortlichem und Überprüfungsrhythmus“.
Lieferantenrisiken steuern, ohne das Programm zu überfrachten
NIST GV.SC ist einer der nützlichsten Teile der Govern-Funktion für KMU, weil moderne KMU stark von Lieferanten abhängig sind: Cloud-Anbieter, Zahlungsdienstleister, HR-Plattformen, Helpdesk-Systeme, Code-Repositories, CI/CD-Werkzeuge, Monitoring-Werkzeuge und Managed Security Services.
ISO 27001:2022 Annex A unterstützt dies durch Lieferanten- und Cloud-Kontrollen, darunter 5.19 Informationssicherheit in Lieferantenbeziehungen, 5.20 Behandlung der Informationssicherheit in Lieferantenvereinbarungen, 5.21 Management der Informationssicherheit in der IKT-Lieferkette, 5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendiensten, 5.23 Informationssicherheit bei der Nutzung von Cloud-Services und 5.30 IKT-Bereitschaft für die Aufrechterhaltung des Geschäftsbetriebs.
Die Richtlinie zur Lieferanten- und Drittparteiensicherheit für KMU Richtlinie zur Lieferanten- und Drittparteiensicherheit für KMU macht die Nachweisanforderung klar:
Diese Überprüfungen müssen dokumentiert und zusammen mit dem Lieferantendatensatz aufbewahrt werden. Folgemaßnahmen müssen eindeutig nachverfolgt werden.
Dies ist Klausel 6.3.2 der Richtlinie zur Lieferanten- und Drittparteiensicherheit für KMU.
Ein schlankes Lieferantenmodell für KMU kann drei Stufen verwenden:
| Lieferantenstufe | Kriterien | Mindestnachweis | Überprüfungsrhythmus |
|---|---|---|---|
| Kritisch | Unterstützt Produktion, Kundendaten, Authentifizierung, Sicherheitsüberwachung, Zahlungsfluss oder regulierte Leistungserbringung | Due-Diligence-Fragebogen, Sicherheitsklauseln im Vertrag, SLA, Vorfallkontakt, Exit-Plan, Risikoüberprüfung | Jährlich und bei wesentlichen Änderungen |
| Wichtig | Unterstützt Geschäftsabläufe oder interne sensitive Informationen, aber nicht die direkte kritische Leistungserbringung | Sicherheitszusammenfassung, Datenverarbeitungsbedingungen, Berechtigungsüberprüfung, Risikoakzeptanz bei bestehenden Lücken | Alle 18 Monate |
| Standard | Werkzeuge mit geringem Risiko ohne sensitive Daten oder kritische Abhängigkeit | Genehmigung durch Geschäftsverantwortlichen, grundlegende Prüfung von Daten und Zugriff | Beim Onboarding und bei Verlängerung |
Dieses einfache Modell unterstützt NIST GV.SC, die Lieferantenkontrollen aus ISO 27001:2022, Kundendokumentation im Rahmen der Due Diligence und durch DORA geprägte vertragliche Erwartungen von Finanzkunden.
Das Offboarding von Lieferanten verdient besondere Aufmerksamkeit. NIST GV.SC erwartet Governance über den gesamten Lieferantenlebenszyklus hinweg, einschließlich des Endes einer Beziehung. Nachweise sollten Datenrückgabe oder -löschung, Entzug von Zugriffsberechtigungen, Planung der Serviceüberleitung, aufbewahrte Vertragsaufzeichnungen und Überprüfung des Restrisikos umfassen.
Zenith Controls für Cross-Compliance nutzen, nicht als getrennten Kontrollsatz
Clarysecs Zenith Controls: The Cross-Compliance Guide Zenith Controls ist ein Cross-Compliance-Leitfaden zur Abbildung von ISO/IEC 27002:2022-Kontrollthemen auf mehrere Frameworks und Auditperspektiven. Dies sind keine separaten „Zenith Controls“. Es handelt sich um ISO/IEC 27002:2022-Kontrollen, die in Zenith Controls für die Cross-Compliance-Nutzung analysiert werden.
Für NIST CSF 2.0 Govern sind drei Kontrollbereiche aus ISO/IEC 27002:2022 besonders wichtig:
| ISO/IEC 27002:2022-Kontrollbereich in Zenith Controls | Verbindung zu NIST CSF 2.0 Govern | Praktische Interpretation für KMU |
|---|---|---|
| 5.1 Richtlinien für Informationssicherheit | GV.PO | Richtlinien müssen genehmigt, kommuniziert, durchgesetzt, überprüft und aktualisiert werden, wenn sich Bedrohungen, Technologie, Recht oder Geschäftsziele ändern |
| 5.4 Managementverantwortlichkeiten | GV.RR und GV.OV | Sicherheitsverantwortlichkeiten müssen auf Führungs- und operativer Ebene mit Ressourcen, Berichterstattung und Überprüfung zugewiesen werden |
| 5.31 Gesetzliche, satzungsmäßige, regulatorische und vertragliche Anforderungen | GV.OC-03 | Verpflichtungen müssen identifiziert, Kontrollen und Verantwortlichen zugeordnet, auf Änderungen überwacht und nachgewiesen werden |
Der Zenith Blueprint, Phase „Controls in Action“, Schritt 22, „Organizational controls“, beschreibt das Betriebsmodell:
Informationssicherheits-Governance formalisieren
Stellen Sie sicher, dass Ihre Informationssicherheitsrichtlinien (5.1) finalisiert, genehmigt und versionskontrolliert sind. Weisen Sie für jede Richtliniendomäne (z. B. Zugriff, Verschlüsselung, Backup) benannte Verantwortliche zu und dokumentieren Sie Rollen und Verantwortlichkeiten im gesamten ISMS (5.2). Überprüfen Sie die Funktionstrennung (5.3) in Hochrisikobereichen wie Finanzen, Systemadministration und Änderungskontrolle. Erstellen Sie eine einfache Governance- Übersicht, aus der hervorgeht, wer genehmigt, wer umsetzt und wer die Sicherheitsrichtlinie überwacht.
Diese Governance-Übersicht ist eines der wertvollsten Artefakte, die ein KMU erstellen kann. Sie beantwortet NIST GV.RR, die Führungsanforderungen aus ISO 27001:2022, die NIS2-Erwartungen an Managementverantwortung und Kundenfragen dazu, wer Cyberrisiken verantwortet.
Ein Governance-Modell für NIS2, DORA, GDPR, NIST und ISO
Die Govern-Funktion entfaltet ihren größten Wert, wenn ein KMU mit sich überschneidenden Anforderungen konfrontiert ist.
NIS2 verlangt von wesentlichen und wichtigen Einrichtungen im Geltungsbereich, angemessene und verhältnismäßige Maßnahmen zum Cybersicherheitsrisikomanagement zu ergreifen. Außerdem verpflichtet sie Leitungsorgane, Maßnahmen zum Cybersicherheitsrisikomanagement zu genehmigen, deren Umsetzung zu überwachen und Schulungen zu absolvieren. NIST GV.RR unterstützt Managementverantwortung. GV.RM unterstützt risikobasierte Maßnahmen. GV.SC unterstützt Sicherheit in der Lieferkette. GV.PO unterstützt Richtlinien. GV.OV unterstützt Leistungsüberprüfung.
Die NIS2-Vorfall-Governance führt außerdem gestufte Meldeerwartungen ein, darunter eine Frühwarnung innerhalb von 24 Stunden, eine Vorfallmeldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats bei erheblichen Vorfällen. Diese Fristen müssen sich in Incident-Response-Verfahren, Eskalationswegen, Kommunikationsplänen und Managementberichten widerspiegeln.
DORA gilt ab dem 17. Januar 2025 für Finanzunternehmen in der EU, viele KMU spüren die Auswirkungen jedoch über Kundenverträge. Finanzkunden können DORA-Anforderungen an IKT-Anbieter, Softwarelieferanten, Managed Service Provider und cloudabhängige Lieferanten weitergeben. DORA konzentriert sich auf IKT-Risikomanagement, Verantwortung des Leitungsorgans, Vorfallsmeldung, Resilienztests, IKT-Drittparteienrisiko, vertragliche Anforderungen und Aufsicht.
GDPR ergänzt Rechenschaftspflicht für die Verarbeitung personenbezogener Daten. KMU müssen verstehen, ob sie Verantwortliche, Auftragsverarbeiter oder beides sind, welche personenbezogenen Daten sie verarbeiten, welche Systeme und Lieferanten beteiligt sind, welche Rechtsgrundlagen gelten und welche Vorfallszenarien zu Datenschutzverletzungen werden könnten.
Der Zenith Blueprint, Phase Risikomanagement, Schritt 14, empfiehlt, DORA-, NIS2- und GDPR-Anforderungen mit dem ISO 27001:2022-Kontrollsatz querzuverweisen:
Für jede Vorschrift können Sie, sofern anwendbar, eine einfache Abbildungstabelle erstellen (z. B. als Anhang in einem Bericht), die die wichtigsten Sicherheitsanforderungen der Vorschrift und die entsprechenden Kontrollen/Richtlinien in Ihrem ISMS auflistet. Dies ist in ISO 27001 nicht verpflichtend, aber eine nützliche interne Übung, um sicherzustellen, dass nichts übersehen wurde.
Eine praktische Cross-Compliance-Abbildung kann wie folgt aussehen:
| Governance-Anforderung | NIST CSF 2.0 Govern | ISO 27001:2022-Anker | Relevanz für NIS2, DORA, GDPR | Primärer Nachweis |
|---|---|---|---|---|
| Managementverantwortung | GV.RR und GV.OV | Klauseln 5.1, 5.3 und 9.3, Annex A 5.4 | NIS2-Überwachung durch das Leitungsorgan, DORA-Verantwortung des Leitungsorgans | Governance-Übersicht, RACI, Protokolle der Managementbewertung |
| Rechtliche und vertragliche Verpflichtungen | GV.OC-03 | Klauseln 4.2, 4.3 und 6.1.3, Annex A 5.31 und 5.34 | GDPR-Rechenschaftspflicht, NIS2-rechtlicher Geltungsbereich, DORA-Flow-down-Vertragsanforderungen | Compliance-Register, Zuordnung von Kundenverpflichtungen, Datenschutzregister |
| Risikobasierte Sicherheitsmaßnahmen | GV.RM | Klauseln 6.1.2, 6.1.3, 8.2 und 8.3 | NIS2-Risikomaßnahmen, DORA-IKT-Risikomanagement-Framework, GDPR-Sicherheit der Verarbeitung | Risikoregister, Risikobehandlungsplan, SoA |
| Lieferanten-Governance | GV.SC | Annex A 5.19 bis 5.23 und 5.30 | NIS2-Sicherheit in der Lieferkette, DORA-IKT-Drittparteienrisiko, GDPR-Auftragsverarbeiter | Lieferanteninventar, Due Diligence, Verträge, Überprüfungsprotokolle |
| Richtlinien-Governance | GV.PO | Klausel 5.2 und Annex A 5.1 | Alle Frameworks erwarten dokumentierte, genehmigte und kommunizierte Regeln | Richtlinienregister, Versionshistorie, Bestätigungen |
| Audit und Verbesserung | GV.OV | Klauseln 9.1, 9.2, 9.3, 10.1 und 10.2 | DORA-Tests und Abhilfemaßnahmen, NIS2-Wirksamkeit, GDPR-Rechenschaftspflicht | Interne Auditberichte, KPIs, Korrekturmaßnahmen |
Der Wert liegt in der Effizienz. Ein gut betriebenes ISO 27001:2022-ISMS, gesteuert durch NIST CSF 2.0 Govern, kann wiederverwendbare Nachweise für mehrere Frameworks gleichzeitig erzeugen.
Die Sicht des Auditors: nachweisen, dass Governance real ist
Eine Richtlinie im Regal ist keine Governance. Auditoren und Prüfer suchen nach einem roten Faden: übergeordnete Richtlinie, definierter Prozess, operative Aufzeichnung, Managementbewertung und Verbesserungsmaßnahme.
Verschiedene Prüfer testen diesen roten Faden unterschiedlich.
| Auditorenperspektive | Worauf sie achten | Nachweise, die gut funktionieren |
|---|---|---|
| ISO 27001:2022-Auditor | Ob Governance im ISMS verankert ist, Risikobehandlung nachvollziehbar ist, SoA-Entscheidungen begründet sind und dokumentierte Informationen gelenkt werden | ISMS-Geltungsbereich, Richtlinienregister, Risikoregister, SoA, Protokolle der Managementbewertung, interne Auditberichte, Korrekturmaßnahmen |
| NIST CSF 2.0-Prüfer | Ob Current Profiles und Target Profiles bestehen, Lücken priorisiert werden und Govern-Ergebnisse mit Geschäftsrisiko und Überwachung verknüpft sind | CSF-Profil, Lückenanalyse, POA&M, Erklärung zur Risikobereitschaft, Führungs-Dashboard, Lieferanten-Zielprofil |
| COBIT 2019- oder ISACA-orientierter Auditor | Ob Governance-Ziele, Entscheidungsrechte, Leistungskennzahlen, Kontrollverantwortung und Assurance-Aktivitäten definiert sind | Governance-Übersicht, RACI, KPI- und KRI-Dashboard, Bestätigungen der Kontrollverantwortlichen, Auditplan, Issue-Tracking |
| GDPR-Prüfer | Ob Datenschutzverpflichtungen identifiziert, Verarbeitungsvorgänge abgebildet, Sicherheitsmaßnahmen angemessen und Nachweise der Rechenschaftspflicht vorhanden sind | Verzeichnis der Verarbeitungstätigkeiten, Zuordnung der Rechtsgrundlagen, DPIA bei Bedarf, Prozess zur Reaktion auf Datenschutzverletzungen, Datenverarbeitungsbedingungen für Lieferanten |
| Kundenseitiger Sicherheitsprüfer | Ob das KMU operative Sicherheit, Lieferantenkontrolle, Vorfallsbereitschaft und Rechenschaftspflicht der Geschäftsleitung ohne übermäßige Verzögerung nachweisen kann | Nachweispaket, Richtlinien, Lieferantenprüfungen, Ergebnisse von Incident-Tabletop-Übungen, Berechtigungsüberprüfungen, Backup-Tests, Sicherheits-Roadmap |
Clarysecs Enterprise-Richtlinie zu Governance-Rollen und Verantwortlichkeiten Richtlinie zu Governance-Rollen und Verantwortlichkeiten legt fest:
Governance muss die Integration mit anderen Disziplinen unterstützen (z. B. Risiko, Recht, IT, HR), und ISMS-Entscheidungen müssen auf ihre Quelle zurückführbar sein (z. B. Audit-Aufzeichnungen, Überprüfungsprotokolle, Sitzungsprotokolle).
Dies ist Klausel 5.5 der Richtlinie zu Governance-Rollen und Verantwortlichkeiten. Sie erfasst den Kern von Cross-Compliance: Governance-Entscheidungen müssen nachvollziehbar sein.
Die Richtlinie zur Audit- und Compliance-Überwachung für KMU Richtlinie zur Audit- und Compliance-Überwachung für KMU ergänzt eine kritische Nachweisdisziplin:
Metadaten (z. B. wer sie erfasst hat, wann und aus welchem System) müssen dokumentiert werden.
Dieses Zitat stammt aus Klausel 6.2.3 der Richtlinie zur Audit- und Compliance-Überwachung für KMU. Nachweis-Metadaten sind häufig der Unterschied zwischen einem Screenshot-Ordner und auditfähigen Nachweisen.
Die Enterprise-Richtlinie zur Audit- und Compliance-Überwachung Richtlinie zur Audit- und Compliance-Überwachung ergänzt die Programmanforderung:
Die Organisation muss ein strukturiertes Audit- und Compliance-Überwachungsprogramm aufrechterhalten, das in das ISMS integriert ist und Folgendes abdeckt:
Dies ist Klausel 5.1 der Richtlinie zur Audit- und Compliance-Überwachung. Die Governance-Folgerung ist direkt: Audit ist keine jährliche Hauruckaktion. Es ist Teil des ISMS-Betriebs.
Häufige Fehler von KMU bei der Abbildung von NIST Govern auf ISO 27001:2022
Der erste Fehler ist Überdokumentation ohne Verantwortung. Ein KMU schreibt Richtlinien, weist aber keine Verantwortlichen für Risikobehandlung, Lieferantenprüfungen, Ausnahmegenehmigungen oder Managementberichterstattung zu.
Der zweite Fehler besteht darin, rechtliche Verpflichtungen getrennt vom ISMS zu behandeln. NIST GV.OC-03 verlangt, dass Verpflichtungen verstanden und gesteuert werden. ISO 27001:2022 verlangt, dass relevante Anforderungen interessierter Parteien sowie gesetzliche, regulatorische und vertragliche Verpflichtungen im ISMS berücksichtigt werden.
Der dritte Fehler ist eine schwache Begründung in der SoA. Die SoA ist nicht nur eine Liste anwendbarer Kontrollen. Sie ist die Entscheidungsakte dazu, warum Kontrollen einbezogen, ausgeschlossen oder umgesetzt werden.
Der vierte Fehler sind fehlende Nachweise über den Lieferantenlebenszyklus. Lieferanten-Governance umfasst Onboarding, Verträge, Überwachung, Vorfälle, Änderungen und Offboarding.
Der fünfte Fehler besteht darin, das Target Profile nicht zu aktualisieren. Ein CSF Profile muss sich ändern, wenn das Unternehmen in eine neue Geografie eintritt, einen wichtigen Kunden unterzeichnet, einen kritischen Lieferanten einbindet, ein reguliertes Produkt einführt, die Cloud-Architektur ändert oder einen Vorfall erleidet.
Eine 30-Tage-Roadmap für NIST CSF 2.0 Govern in KMU
Wenn ein KMU schnell vorankommen muss, beginnen Sie mit einem fokussierten 30-Tage-Umsetzungsplan.
| Tage | Aktivität | Ergebnis |
|---|---|---|
| 1 bis 3 | CSF Govern-Geltungsbereich definieren und bestehende Richtlinien, Verträge, Risikoaufzeichnungen, Lieferantenlisten und Auditnachweise sammeln | Geltungsbereichsnotiz und Nachweisinventar |
| 4 bis 7 | Govern-Nachweisregister für GV.OC, GV.RM, GV.RR, GV.PO, GV.OV und GV.SC erstellen | Current Profile und erste Lücken |
| 8 bis 12 | Verpflichtungen auf ISO 27001:2022-Richtlinien, Annex A-Kontrollbereiche und Verantwortliche abbilden | Compliance-Register und Übersicht zur Richtlinienverantwortung |
| 13 bis 17 | Risikoregister und Risikobehandlungsplan aktualisieren und anschließend SoA-Einträge ausrichten | Risikoregister, Behandlungsplan, SoA-Aktualisierungen |
| 18 bis 22 | Lieferanten-Governance priorisieren, einschließlich Klassifizierung kritischer Lieferanten, Vertragslücken und Überprüfungsnachweisen | Lieferantenrisikoregister und Maßnahmenverfolgung |
| 23 bis 26 | Auditnachweispaket mit Metadaten, Genehmigungen, Überprüfungsprotokollen und Managemententscheidungen vorbereiten | Nachweispaket und Auditindex |
| 27 bis 30 | Managementbewertung durchführen und Target-Profile-Roadmap genehmigen | Protokolle der Managementbewertung, Entscheidungen, Roadmap |
Dieser Plan schafft genügend Governance-Nachweise, um ernsthafte Kunden- und Auditfragen zu beantworten, während zugleich die Grundlage für ISO 27001:2022-Zertifizierung, NIS2-Vorbereitung, DORA-Kundensicherstellung und GDPR-Rechenschaftspflicht entsteht.
Das praktische Ergebnis: eine Governance-Story, viele Compliance-Nutzungen
Wenn Sarah zum Leitungsorgan zurückkehrt, hat sie keine fünf voneinander getrennten Compliance-Arbeitsstränge mehr. Sie hat eine Governance-Story.
NIST CSF 2.0 Govern-Ergebnisse sind auf ISO 27001:2022-Richtlinien, Verantwortliche, Risiken, Kontrollen und Nachweise abgebildet. Der ISMS-Geltungsbereich umfasst Kunden-, Lieferanten-, Cloud-, rechtliche, regulatorische, datenschutzbezogene und vertragliche Abhängigkeiten. Das Risikoregister steuert Behandlungsentscheidungen und SoA-Anwendbarkeit. Richtlinien sind genehmigt, versionskontrolliert, verantwortet, kommuniziert und überprüft. Lieferantenrisiken sind nach Stufen klassifiziert, vertraglich geregelt, überwacht und nachverfolgt. GDPR-Verarbeitungspflichten, NIS2-Erwartungen an Rechenschaftspflicht und DORA-Flow-downs von Kunden werden, sofern anwendbar, querverwiesen. Auditnachweise enthalten Metadaten, Entscheidungsaufzeichnungen und Ergebnisse der Managementbewertung.
So sieht Governance aus, wenn sie operativ funktioniert.
Nächster Schritt: Erstellen Sie Ihr Govern-Nachweispaket für KMU mit Clarysec
Wenn Sie sich auf ISO 27001:2022 vorbereiten, Due Diligence durch Unternehmenskunden beantworten, NIST CSF 2.0 Govern-Ergebnisse abbilden oder NIS2, DORA und GDPR ohne separate Programme ausrichten möchten, beginnen Sie mit der Governance-Ebene.
Clarysec kann Sie beim Aufbau folgender Elemente unterstützen:
- Ein NIST CSF 2.0 Govern Current Profile und Target Profile.
- Eine ISO 27001:2022-Richtlinien- und SoA-Abbildung.
- Ein Cross-Compliance-Verpflichtungsregister mit Zenith Controls Zenith Controls.
- Eine 30-stufige ISMS-Umsetzungsroadmap mit Zenith Blueprint Zenith Blueprint.
- KMU-taugliche Richtliniennachweise mit dem Clarysec-Richtlinien-Toolkit, einschließlich Richtlinie zu Governance-Rollen und Verantwortlichkeiten für KMU Richtlinie zu Governance-Rollen und Verantwortlichkeiten für KMU, Risikomanagement-Richtlinie für KMU Risikomanagement-Richtlinie für KMU, Richtlinie zur rechtlichen und regulatorischen Compliance für KMU Richtlinie zur rechtlichen und regulatorischen Compliance für KMU, Richtlinie zur Lieferanten- und Drittparteiensicherheit für KMU Richtlinie zur Lieferanten- und Drittparteiensicherheit für KMU und Richtlinie zur Audit- und Compliance-Überwachung für KMU Richtlinie zur Audit- und Compliance-Überwachung für KMU.
Der schnellste Weg ist nicht noch eine Tabelle. Es ist ein gesteuertes, risikobasiertes und nachweisbereites ISMS, mit dem Ihr KMU eine Frage sicher beantworten kann:
Können Sie nachweisen, dass Cybersicherheit gesteuert, verantwortet, überprüft und kontinuierlich verbessert wird?
Mit Clarysec lautet die Antwort: Ja.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
