IT-Security Regulatory Update | März 2023

Fokus: IT-Grundschutz, Reifegrad Cybersicherheit, BaFin-FAQ Auslagerungsanzeigen

Highlight aus dem März 2023

Preview zum IT-Grundschutz

Das BSI stellte an seinem 1. IT-Grundschutz-Tag vor, was uns im Zuge des IT-Grundschutzes im Laufe des Jahres sowie im kommenden Jahr erwartet. Eine Preview gibt es zur ISO 27001:2022, zum BSI-Standard 200-4 sowie zum IT-Grundschutz-Kompendium in der Edition 2024.

Pia Streicher

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

Was uns im IT-Grundschutz künftig erwartet

Im März 2023 fand der 1. IT-Grundschutz-Tag des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Kassel statt. Neben anderen Themen wurde dort auch der namensgebende IT-Grundschutz im Allgemeinen aufgegriffen.

Bereits im Februar wurde die aktuelle Edition 2023 des IT-Grundschutz-Kompendiums veröffentlicht, die wir Ihnen hier vorgestellt haben. Die gemachten Änderungen wurden auch im Zuge der Veranstaltung des BSI nochmal aufgegriffen und erläutert: Die Änderungen an den Bausteinen als solche, die textuellen Anpassungen sowie die Überarbeitung der Kreuzreferenztabellen.

Daneben geht das BSI auf die Anpassungen der ISO 27001:2022 im Kontext IT-Grundschutz ein, die sich vor allem im Maßnahmenkatalog (Anhang A) niederschlagen. Die Anzahl der Kontrollen sowie der Themengebiete wurde hier reduziert.
Die Arbeit an der Zuordnungstabelle zwischen den ISO 27001 sowie ISO 27002 und dem IT-Grundschutz des BSI dauern noch an.

Neben den üblichen Überarbeitungszyklen stellt der BSI ein externes Projekt vor, das sich mit der Reduktion des Dokumentationsaufwands zum IT-Grundschutz beschäftigt. Das soll zu einer verringerten Komplexität beitragen und vor allem kleine Institute entlasten. Auch ohne großes Know-How soll damit eine Umsetzung des IT-Grundschutzes möglich sein.

Zwei Paar Hände auf einem Tisch mit Papieren, im Hintergrund ein Laptop. Das erste Paar zeigt mit einer Hand mit einem Kugelschreiber auf eine Passage auf dem Blatt Papier vor sich. Das zweite Paar hält in der einen Hand ein Blatt Papier und hält in der anderen Hand einen Stift.

Der Referatsleiter BSI-Standards und IT-Grundschutz geht in seiner Präsentation auch auf die Änderungen am BSI-Standard 200-4 ein, der in der zweiten Community Draft Version vorliegt. Hier wurde insbesondere dem Feedback der Nutzenden Aufmerksamkeit gewidmet, sodass viele kleine und große Verbesserungen daraus resultieren.
In diesem Kontext wurden die Muss- und Soll-Anforderungen eines Standard-Business Continuity Management Systems (BCMS) in einer Excel-Tabelle zusammengefasst und auf den zweiten Community Draft angepasst.

Das BSI wagt schließlich auch einen Blick in die Zukunft. Demnach erwartet uns in der Edition 2024 des IT-Grundschutz-Kompendiums nur eine geringfügige Überarbeitung und Neuaufnahme von Bausteinen. Perspektivisch soll die Struktur der Bausteine optimiert werden, für Editionen ab 2025 soll es eine entsprechende Kommentierungs- und Pilotierungsphase geben. Ferner will sich der BSI näher mit den Berührungspunkten zwischen dem IT-Grundschutz und der ISO 27001 befassen.

Die Präsentation des BSI finden Sie hier auf dessen Webseite.

Quelle: Bundesamt für Sicherheit in der Informationstechnik – BSI, bsi.bund.de

 

Kennen Sie Ihren Cybersicherheits-Reifegrad?

Die European Union Agency for Cybersecurity (ENISA) möchte vor allem kleinen und mittleren Unternehmen erleichtern, ihren Reifegrad im Kontext Cybersicherheit zu ermitteln. Zu diesem Zweck hat sie ein Tool veröffentlicht, das die Bewertung vereinfachen soll.

Wie viele Unternehmen sind auch KMUs von der aktuellen geopolitischen Lage und den damit zusammenhängenden steigenden Cybersicherheitsrisiken und -herausforderungen betroffen. Im Gegensatz zu größeren Unternehmen, haben sie aber oftmals Schwierigkeiten, ihre Cybersicherheit angemessen zu beurteilen und entsprechend aufrechzuerhalten oder weiter zu etablieren. Das Tool zur Reifegradermittlung der ENISA richtet sich deshalb in erster Linie an KMUs.

Es soll ermöglichen, die Risiken zu ermitteln, denen Unternehmen ausgesetzt sind. Darüber hinaus ermöglicht das Tool die Erstellung eines Aktionsplans, der personalisierte Folgemaßnahmen basierend auf der Evaluierung des Unternehmens umfasst. Diese Maßnahmen orientieren sich an Best Practices und werden vom Tool der ENISA vorgeschlagen. So kann das Cybersicherheitsniveau individuell verbessert werden.
Die Bewertung mittels des Tools beinhaltet die menschliche, technologische und prozessuale Ebene der Cybersicherheit und erlaubt eine Einschätzung auf allen drei Ebenen.

Das Tool der ENISA sowie weitere Informationen dazu finden Sie hier auf der Webseite der ENISA.

Quelle: European Union Agency for Cybersecurity (ENISA) – enisa.europa.eu

BaFin beantwortet Fragen rund um das Meldeverfahren zu Outsourcings

Im Februar hat die BaFin KWG- und ZAG-regulierte Institute, Kapitalanlagegesellschaften und Wertpapierinstitute sowie Versicherungsunternehmen und Einrichtungen der betrieblichen Altersversorgung im Rahmen einer Veranstaltung rund um die Anzeigepflicht zu Outsourcings informiert (Details dazu finden Sie in unserem IT-Security-Update vom Februar).

Rund um das MVP-Portal und den Anzeigeprozess wurden dazu zahlreiche Fragen gestellt, die die BaFin bereits in ihrer Präsentation zur Veranstaltung aufgegriffen hat. Nun hat sie darüber hinaus eine FAQ-Website zu diesen Fragen veröffentlicht. Dort befasst sie sich mit Fragestellungen aus den folgenden Kategorien:

  1. Einreichungsweg: Fragen rund um das Einreichen über das MVP-Portal
  2. Ausfüllhinweise: Fragen rund um die Befüllung der Meldung
  3. Anzeigen von Absicht und Vollzug: Fragen rund um Inhalt und Zeitpunkt der Meldung
  4. Wesentliche Änderungen: Fragen rund um Korrekturen und Änderungen
  5. Schwerwiegende Vorfälle: Fragen rund um die Meldung schwerwiegender Vorfälle im Zuge eines Outsourcing-Sachverhalts
  6. Nachmeldungen: Fragen rund um Outsourcings vor dem Melde-Stichtag
  7. Bestandsfrage: Fragen rund um die Stichprobenerhebung

Die FAQ-Webseite der BaFin finden Sie hier.

Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

Mit der geplanten Vereinfachung des IT-Grundschutzes wird dieser für viele Unternehmen einfacher zugänglich und umsetzbar. Von den angedachten Überarbeitungen werden aller Wahrscheinlichkeit nach nicht nur kleine Unternehmen entlastet. Sie hat das Potential für alle Unternehmen eine Erleichterung herbeizuführen, die sich zu betrachten lohnt.

Im Zuge der Umsetzung des IT-Grundschutzes stehen wir von ADWEKO Ihnen gerne mit unserer Expertise zur Verfügung.

sprechen sie mit
Pia Streicher!

Pia Streicher