IT-Security Regulatory Update | März 2023
Fokus: IT-Grundschutz, Reifegrad Cybersicherheit, BaFin-FAQ Auslagerungsanzeigen
Highlight aus dem März 2023
Preview zum IT-Grundschutz
Das BSI stellte an seinem 1. IT-Grundschutz-Tag vor, was uns im Zuge des IT-Grundschutzes im Laufe des Jahres sowie im kommenden Jahr erwartet. Eine Preview gibt es zur ISO 27001:2022, zum BSI-Standard 200-4 sowie zum IT-Grundschutz-Kompendium in der Edition 2024.
Was uns im IT-Grundschutz künftig erwartet
Im März 2023 fand der 1. IT-Grundschutz-Tag des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Kassel statt. Neben anderen Themen wurde dort auch der namensgebende IT-Grundschutz im Allgemeinen aufgegriffen.
Bereits im Februar wurde die aktuelle Edition 2023 des IT-Grundschutz-Kompendiums veröffentlicht, die wir Ihnen hier vorgestellt haben. Die gemachten Änderungen wurden auch im Zuge der Veranstaltung des BSI nochmal aufgegriffen und erläutert: Die Änderungen an den Bausteinen als solche, die textuellen Anpassungen sowie die Überarbeitung der Kreuzreferenztabellen.
Daneben geht das BSI auf die Anpassungen der ISO 27001:2022 im Kontext IT-Grundschutz ein, die sich vor allem im Maßnahmenkatalog (Anhang A) niederschlagen. Die Anzahl der Kontrollen sowie der Themengebiete wurde hier reduziert.
Die Arbeit an der Zuordnungstabelle zwischen den ISO 27001 sowie ISO 27002 und dem IT-Grundschutz des BSI dauern noch an.
Neben den üblichen Überarbeitungszyklen stellt der BSI ein externes Projekt vor, das sich mit der Reduktion des Dokumentationsaufwands zum IT-Grundschutz beschäftigt. Das soll zu einer verringerten Komplexität beitragen und vor allem kleine Institute entlasten. Auch ohne großes Know-How soll damit eine Umsetzung des IT-Grundschutzes möglich sein.
Der Referatsleiter BSI-Standards und IT-Grundschutz geht in seiner Präsentation auch auf die Änderungen am BSI-Standard 200-4 ein, der in der zweiten Community Draft Version vorliegt. Hier wurde insbesondere dem Feedback der Nutzenden Aufmerksamkeit gewidmet, sodass viele kleine und große Verbesserungen daraus resultieren.
In diesem Kontext wurden die Muss- und Soll-Anforderungen eines Standard-Business Continuity Management Systems (BCMS) in einer Excel-Tabelle zusammengefasst und auf den zweiten Community Draft angepasst.
Das BSI wagt schließlich auch einen Blick in die Zukunft. Demnach erwartet uns in der Edition 2024 des IT-Grundschutz-Kompendiums nur eine geringfügige Überarbeitung und Neuaufnahme von Bausteinen. Perspektivisch soll die Struktur der Bausteine optimiert werden, für Editionen ab 2025 soll es eine entsprechende Kommentierungs- und Pilotierungsphase geben. Ferner will sich der BSI näher mit den Berührungspunkten zwischen dem IT-Grundschutz und der ISO 27001 befassen.
Die Präsentation des BSI finden Sie hier auf dessen Webseite.
Quelle: Bundesamt für Sicherheit in der Informationstechnik – BSI, bsi.bund.de
Kennen Sie Ihren Cybersicherheits-Reifegrad?
Die European Union Agency for Cybersecurity (ENISA) möchte vor allem kleinen und mittleren Unternehmen erleichtern, ihren Reifegrad im Kontext Cybersicherheit zu ermitteln. Zu diesem Zweck hat sie ein Tool veröffentlicht, das die Bewertung vereinfachen soll.
Wie viele Unternehmen sind auch KMUs von der aktuellen geopolitischen Lage und den damit zusammenhängenden steigenden Cybersicherheitsrisiken und -herausforderungen betroffen. Im Gegensatz zu größeren Unternehmen, haben sie aber oftmals Schwierigkeiten, ihre Cybersicherheit angemessen zu beurteilen und entsprechend aufrechzuerhalten oder weiter zu etablieren. Das Tool zur Reifegradermittlung der ENISA richtet sich deshalb in erster Linie an KMUs.
Es soll ermöglichen, die Risiken zu ermitteln, denen Unternehmen ausgesetzt sind. Darüber hinaus ermöglicht das Tool die Erstellung eines Aktionsplans, der personalisierte Folgemaßnahmen basierend auf der Evaluierung des Unternehmens umfasst. Diese Maßnahmen orientieren sich an Best Practices und werden vom Tool der ENISA vorgeschlagen. So kann das Cybersicherheitsniveau individuell verbessert werden.
Die Bewertung mittels des Tools beinhaltet die menschliche, technologische und prozessuale Ebene der Cybersicherheit und erlaubt eine Einschätzung auf allen drei Ebenen.
Das Tool der ENISA sowie weitere Informationen dazu finden Sie hier auf der Webseite der ENISA.
Quelle: European Union Agency for Cybersecurity (ENISA) – enisa.europa.eu
BaFin beantwortet Fragen rund um das Meldeverfahren zu Outsourcings
Im Februar hat die BaFin KWG- und ZAG-regulierte Institute, Kapitalanlagegesellschaften und Wertpapierinstitute sowie Versicherungsunternehmen und Einrichtungen der betrieblichen Altersversorgung im Rahmen einer Veranstaltung rund um die Anzeigepflicht zu Outsourcings informiert (Details dazu finden Sie in unserem IT-Security-Update vom Februar).
Rund um das MVP-Portal und den Anzeigeprozess wurden dazu zahlreiche Fragen gestellt, die die BaFin bereits in ihrer Präsentation zur Veranstaltung aufgegriffen hat. Nun hat sie darüber hinaus eine FAQ-Website zu diesen Fragen veröffentlicht. Dort befasst sie sich mit Fragestellungen aus den folgenden Kategorien:
- Einreichungsweg: Fragen rund um das Einreichen über das MVP-Portal
- Ausfüllhinweise: Fragen rund um die Befüllung der Meldung
- Anzeigen von Absicht und Vollzug: Fragen rund um Inhalt und Zeitpunkt der Meldung
- Wesentliche Änderungen: Fragen rund um Korrekturen und Änderungen
- Schwerwiegende Vorfälle: Fragen rund um die Meldung schwerwiegender Vorfälle im Zuge eines Outsourcing-Sachverhalts
- Nachmeldungen: Fragen rund um Outsourcings vor dem Melde-Stichtag
- Bestandsfrage: Fragen rund um die Stichprobenerhebung
Die FAQ-Webseite der BaFin finden Sie hier.
Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de
Mit der geplanten Vereinfachung des IT-Grundschutzes wird dieser für viele Unternehmen einfacher zugänglich und umsetzbar. Von den angedachten Überarbeitungen werden aller Wahrscheinlichkeit nach nicht nur kleine Unternehmen entlastet. Sie hat das Potential für alle Unternehmen eine Erleichterung herbeizuführen, die sich zu betrachten lohnt.
Im Zuge der Umsetzung des IT-Grundschutzes stehen wir von ADWEKO Ihnen gerne mit unserer Expertise zur Verfügung.
Die aktuellen regulatorischen Entwicklungen finden Sie hier im Überblick
- BSI veröffentlicht Checkliste mit FAQ rund um den Nachweis gemäß §8a BSIG
- BSI veröffentlicht Vortragsunterlagen zur Praxisperspektive im Kontext Risikobewertung und Gefährdungsanalyse
- BSI teilt Vortragsunterlagen zum IT-Grundschutz als Basis für eine ganzheitliche Informationssicherheit
- ENISA stellt Cybersicherheitszertifikate vor
- BSI veröffentlicht Liste zu DDoS-Mitigation-Dienstleistern
- ENISA aktualisiert ihr Rahmenwerk zur Marktanalyse anhand einer Betrachtung des Markts für Cloud und Cybersicherheit