Es ist zu hoffen, daß die nächsten Runden der Beratungen im Bundestag und mit dem Bundesrat noch Präzisierungen bringen, was die Nachweise betrifft.
Denn sichtet man das Umsetzungsgesetz in der vom Bundeskabinett freigegebenen Version, fällt einem auf daß man sich um konkrete Nennung von Nachweisen und deren Qualität gedrückt hat. Angesichts der bereits länger bekannten Umsetzungspflichten kann man erstaunt sein, daß hier nichts vorbereitet wurde oder zumindest auf bewährte Verfahren zurückgegriffen wurde.
So ist in § 30 NIS2UmsuCG zu lesen, daß Einrichtungen verpflichtet sind, die Umsetzung und Einhaltung von Maßnahmen angemessen zu dokumentieren. So sollte es sein, gut! Dies kann im Rahmen eines mit Software gestützten Informationssicherheitsmanagementsystems (ISMS) erfolgen und somit wäre es - da das System ja lebt und somit aktuell sein sollte - auch inhaltlich vollständig und könnte maßgeblich helfen, aktuelle Nachweise zu generieren.
Andererseits wird im Referentenentwurf keine Klarheit zu den entsprechenden Dokumentationen geschaffen, sondern vielfach auf ein Sammelsurium verwiesen. Dies können lt. Entwurf beispielsweise sein: "interne Richtlinien, Handlungsanweisungen, Checklisten, Mitarbeiterschulungen, Vereinbarungen, Merkblätter o.ä., aber auch Auditberichte, Zertifizierungen oder Prüfungen."
Was ist mit der Aktualität, dürfen die Aufzeichnungen älter als 1 Jahr sein?
Was ist mit den fachlichen Mindeststandards? Der Standard ISO 27001 oder BSI ITGrundschutz ist nicht genannt, letzterer wäre kritisch, da es kein international anerkannter Standard ist (siehe NIS2). Braucht man 10 Seiten oder 100 Seiten? Reicht ein Screenshot? Wer entscheidet über die Qualität der Inhalte? Wer überprüft das auf Basis welcher detaillierteren Vorgaben? Wer stellt sicher, daß keine Gefälligkeitserklärungen ausgestellt werden oder die Selbsteinschätzung richtig ist? Welche konkreten Zertifizierungen sind zugelassen? Müssen oder dürfen Dritte involviert sein? Und und und, Fragen über Fragen.
Und rein von der Menge der Dokumente her stellt sich eine weitere Frage. Machen wir einmal ein Rechenexempel: Bei einem handelsüblichen ISMS-Vorlagensatz, der auf dem Markt angeboten wird, zählten wir gut 130 Dokumente, die im Set verkauft werden. Da sind die in der Praxis generierten Dokumente und Nachweise noch gar nicht dabei. Mit den internen Nachweisen, Protokollen etc. könnte man je nach Größe der Organisation in Summe schnell auf 200+ Dokumente kommen. Werden in einer Stichprobe auch nur 10% genommen, wären das pro Unternehmen 20 Dokumente, die an das BSI gehen. Wenn jedes Dokument 10 Seiten hat, sind das 200 Seiten, die es zu lesen und auszuwerten sind.
Nun stelle man sich mal vor, daß von 29.500 Firmen die Rede ist und jede liefert die o.g. 20 Dokumente, also 200 Seiten, bekommt das BSI rund 6 Mio. (!) Seiten zu lesen, die aber alle unterschiedlich sind vom Inhalt, Struktur, fachliche Reife, Bezug auf Standard, ohne Bezug usw. Diese wären auf Richtigkeit und Angemessenheit zu prüfen. Nimmt man pro Unternehmen z. B. auch nur 1 Tag für die inhaltliche Prüfung der Unterlagen inkl. Nachfragen, Verwaltung und Bescheid an, sind 30.000 Tage erforderlich. Wer soll diese Mengen fachlich angemessen und sorgfältig bewältigen? Ist das die nötige Sorgfalt? Ist das wirklich ein realistischer Ansatz?
Sicher kann man einwenden, daß diese Dokumentenflut nicht auf einmal auf das BSI einprasseln dürfte, aber in Summe kommt eine Menge an "elektronischem Papier" auf das BSI zu, das noch dazu in jeglicher Form, Anspruch an Qualität und Tiefe, Dokumententypen usw. vorliegen wird.
Dabei könnte es doch ganz einfach sein, wenn man sich auf den Erwägungsgrund 79 der NIS2 bezieht, der die ISO 27000-Reihe als Bezugsrahmen zulässt. Und die in einem ISMS gemäß ISO 27001 vorgehaltenen Dokumente decken dann auch fast den ganzen Anforderungsrahmen ab. Dieser Standard ist auch zertifizierbar! Das Zertifikat ist ein Blatt Papier, das ich an das BSI gebe.
Daher wäre unser Vorschlag, pragmatisch zu sein und die ISO 27001- Zertifizierung als Nachweis zuzulassen, ggf. mit einem Anhang (z. B. eine Eigenerklärung zur NIS2-Konformität) versehen, was die NIS-2-Besonderheiten bei Meldepflichten und Schulung von Führungskräften betrifft. Dann bekommt das BSI wesentlich weniger Papier und hat belastbare Dokumente, die von akkredierten Dritten in einem seit Jahren eingeführten Prüfwesen erzeugt wurden. Und "Zertifikate" sind ja zugelassen! Um den Einrichtungen zu helfen, könnte man die Zeitrahmen etwas strecken, bis Erfüllung nachzuweisen ist. Ein ISMS führt sich nicht über 4 Wochen ein.
Die Lieferkette ist auch ein Thema. Der Lieferant muss seine Maßnahmen nachweisen. Sollen dort auch "Dokumentenberge" versendet werden, die ein Einkäufer dann sichten muss und jedes Dokument sieht anders aus? Wäre es nicht einfachrer, das ISO27001-Zertifikat zu senden und auf Wunsch nur noch eine information zu den konkreten Maßnahmen für den Kunden beizufügen?
Natürlich hat dieser ISMS-gestützte ISO27001-Ansatz seine Vor- und Nachteile, wie jede Zertifizierung. Und angesichts der Menge wird es einen Engpass bei den Prüfern und Beratern geben.
Aber haben wir jetzt die Zeit, einen neuen Standard zu entwickeln, der dann auch noch in den Markt zu bringen ist? Das dauert Jahre. Ein Vorteil unseres Vorschlages ist in jedem Falle, dass nichts "Neues" erfunden werden muss! Das Norm-Instrumentarium der ISO 27000er Reihe ist vorhanden, Akkreditierungen sind vorhanden, Prüfunternehmen, Prüfer mit Ausbildung zum Auditor usw. gibt es schon.
Eine andere - vor allem inhaltlich, qualitativ und vom Nachweis her belastbare sowie zeitlich umsetzbare - Alternative drängt sich einem aktuell nicht auf.
Comments