Startseite » Regulatorische und Standardkonformität

Einhaltung von Vorschriften und Normen

27. Januar 2023 - Alessandro Mirani

Künstliche Intelligenz, virtuelle Realität, bargeldlose Zahlungen, das Internet der Dinge und viele andere Informations-Technologie-Zweige wachsen täglich.


Mit ihrem Wachstum und ihrer Expansion entstehen neue Bedrohungsvektoren und Schwachstellen in der Cyber-Landschaft. In ihrem Bericht über Cybersicherheitstrends 2022 erklärte das Weltwirtschaftsforum, dass „mit der fortschreitenden Digitalisierung und der Einführung neuer Technologien das Cyber-Risiko zwangsläufig wachsen wird“. Sie stellten auch durch ihre Umfragen fest, dass „obwohl die Akteure aus dem öffentlichen und privaten Sektor […] entschlossen sind, höhere Cyber-Resilienz zu erreichen, ihre Bemühungen oft durch verschiedene […] regulatorische Barrieren behindert werden“.

Das Verständnis der regulatorischen Anforderungen kann in der Tat ein großes Hindernis für Unternehmen darstellen, insbesondere für solche, die international expandieren möchten. In den folgenden Artikeln geben wir einen Überblick darüber, wie man Cybersecurity-Vorschriften angehen kann, was die häufigsten sind und wie man sie angeht.

II. Vorschriften und Standards

Im Jahr 2005 führte die Internationale Fernmeldeunion eine Studie zu nationalen Cybersicherheitsinitiativen in 14 wichtigen Weltwirtschaften und in nahezu 30 Industrien durch. Sie schätzten, dass mehr als 174 Initiativen, die zu zukünftigen politischen Maßnahmen hätten führen können, aktiv waren. Heute, basierend auf der Anzahl der weltweit vorhandenen Vorschriften und Standards, ist es wahrscheinlich, dass die Mindestanzahl an weltweit durchgesetzten Cybersicherheitspolitiken in den Tausenden liegt.

Es ist jedoch wichtig, den Unterschied zwischen Vorschriften und Normen zu verstehen, da Organisationen möglicherweise verpflichtet sind, einer oder beiden zu entsprechen. Eine Cybersicherheitsverordnung ist eine gesetzlich bindende Regel (oder ein Satz von Regeln), die eine Organisation befolgen muss. Die Einhaltung dieser Vorschriften ist obligatorisch, und Organisationen, die gegen diese verstoßen, können Strafen wie Geldbußen oder rechtliche Schritte von staatlichen Stellen befürchten.

Andererseits ist ein Cybersicherheitsstandard eine Reihe von Richtlinien oder bewährten Praktiken, die eine Organisation befolgen kann, um ihre Cybersicherheitslage zu verbessern. Die Einhaltung dieser Standards ist freiwillig, aber ihre Befolgung kann Organisationen dabei helfen, ihren Kunden, Partnern und Regulierungsbehörden die Konsistenz ihrer Cybersicherheitslage zu demonstrieren.

Zusammenfassend lässt sich sagen, dass Vorschriften gesetzlich bindend und durch das Gesetz durchsetzbar sind, während Standards dies nicht sind. Da Standards jedoch häufiger aktualisiert werden, kann die Einhaltung eines Standards einer Organisation helfen, eine Vorschrift einzuhalten. Darüber hinaus kann die Einhaltung von Standards, die für den Sektor einer Organisation spezifisch sind, ihr helfen, sich von Wettbewerbern abzuheben.

Daher muss eine Organisation je nach ihrer Tätigkeit möglicherweise eine spezifische Norm oder Vorschrift einhalten. Es ist jedoch sicher anzunehmen, dass jedes moderne Unternehmen den Datenschutz und die Cybersicherheit einhalten muss. Aus diesem Grund habe ich die wichtigsten Punkte aus zwei Vorschriften in Europa und zwei häufig angeforderten Standards in Unternehmen weltweit zusammengefasst: die Allgemeine Datenschutzverordnung (GDPR), die Richtlinie über Netz- und Informationssysteme (NIS), ISO 27k und das National Institute of Standards and Technology (NIST).

Verstehen von Vorschriften und Normen

Falls Sie mit allen oben genannten Richtlinien nicht vertraut sind, gebe ich Ihnen eine kurze Einführung in vier davon:

  • GDPR (Datenschutz-Grundverordnung): Dies ist die EU-Verordnung, die den Schutz personenbezogener Daten und die Rechte von Personen in Bezug auf ihre personenbezogenen Daten regelt. Sie gilt für alle, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, wo sie sich befinden. Das bedeutet, dass jede Person, die personenbezogene Daten von europäischen Bürgern verarbeitet, die GDPR einhalten muss. Die Artikel der GDPR regeln unter anderem Maßnahmen zum Schutz personenbezogener Daten, die Ernennung eines Datenschutzbeauftragten sowie den Prozess und die Meldung von Verstößen.
  • NIS-Richtlinie (Richtlinie über Netz- und Informationssysteme): Dies ist die EU-Richtlinie, die sich auf die Bereitstellung einer Sicherheitsgrundlage für kritische Infrastrukturen und wesentliche Dienstleistungen in ganz Europa konzentriert. Im Einklang mit dieser Richtlinie sind alle Unternehmen, die in kritischen Branchen tätig sind (wie Energie, Transport und Gesundheitswesen), sowie ihre digitalen Dienstleister (wie Suchmaschinen und Cloud-Dienste) aufgefordert, geeignete Sicherheitsmaßnahmen umzusetzen. Darüber hinaus verlangt die Richtlinie von den Mitgliedstaaten der EU, nationale Cybersicherheitsstrategien und Vorfallreaktionspläne zu haben, die gleichwertig oder weitergehender sind als die NIS-Richtlinie. Dies bedeutet, dass alle EU-Staaten Vorschriften umsetzen müssen, die alle Themen der NIS-Richtlinie als Mindestanforderung abdecken, aber auch umfangreicher sein können (und sollten).
  • ISO 27000 Standard für Cybersicherheit: Auch bekannt als ISO 27k, ist es ein internationaler Standard, der einen Rahmen für ein Informationssicherheits-Managementsystem (ISMS) vorgibt. Er bietet einen systematischen Ansatz zur Verwaltung sensibler Unternehmensinformationen, damit diese sicher bleiben. Er umfasst eine Reihe von Richtlinien und Verfahren, die Organisationen nutzen können, um ihre vertraulichen Daten zu schützen, sowie Richtlinien für Risikomanagement und Compliance.
  • NIST (National Institute of Standards and Technology) Cybersecurity Framework: NIST ist eine US-amerikanische Regierungsbehörde, die eine Vielzahl von Cybersicherheitsstandards, -richtlinien und Best Practices veröffentlicht. Das Cybersecurity Framework von NIST bietet einen risikobasierten Ansatz für das Management der Cybersicherheit. Der Standard ist in fünf Hauptmaßnahmen unterteilt, um konform zu sein: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.

GDPR, NIS Directive, ISO 27k und NIST befassen sich alle mit Cybersicherheit und Datenschutz. Obwohl sie in Bezug auf Umfang und Anforderungen unterschiedlich sein können, kann die Auseinandersetzung mit einem von ihnen ein wichtiger Schritt zur Erreichung der anderen sein. Zum Beispiel:

  • Wenn wir ISO 27k und NIST betrachten, sehen wir, dass beide Standards weit verbreitet und als Best Practices für Cybersicherheit anerkannt sind. ISO 27k ist jedoch ein prozessorientierter Standard, der Richtlinien zum Umgang mit sensiblen Unternehmensinformationen bietet. NIST hingegen basiert auf einem risikobasierten Ansatz und zielt darauf ab, Risiken aus Cybersicherheitslücken zu identifizieren, zu verwalten und zu verringern.
  • Wenn wir die NIS-Richtlinie und die DSGVO betrachten, sehen wir, dass sie Leitlinien und Anforderungen zur Verbesserung der Cybersicherheitslage enthalten. Tatsächlich überschneiden sich die beiden in einigen Aspekten. Es ist jedoch anzumerken, dass die DSGVO auf den Schutz personenbezogener Daten auf allen Ebenen abzielt, während die NIS-Richtlinie Leitlinien zu allen Aspekten der Informationssicherheit bereitstellen soll, allerdings nur für einen branchenspezifischen Bereich.

Zusammenfassend lässt sich sagen, dass der Geltungsbereich, die Durchsetzbarkeit und der Zweck Ihrer Cybersicherheitsrichtlinien nach Vorschriften und Normen definiert werden können, aber Sie müssen sich der Unterschiede zwischen ihnen bewusst sein, um zu verstehen, welche am besten auf Sie zutrifft. Sobald Sie das herausgefunden haben, geht es nur noch darum, sie richtig umzusetzen. Im nächsten Abschnitt finden Sie einige Vorschläge zu diesem Thema."

Wie verwalten Sie die Einhaltung von Richtlinien und Vorschriften? Herausforderungen und Lösungen

Die Umsetzung der oben genannten Richtlinien kann aufgrund gesetzlicher Anforderungen oder einer bevorstehenden Prüfung erforderlich sein. Möglicherweise müssen Sie Änderungen an Ihren Prozessen und Ihrer Struktur vornehmen, um die entsprechende Richtlinie einzuhalten. Bevor Sie dies tun, können jedoch einige allgemeine Schritte unternommen werden, um sich auf diese Änderungen vorzubereiten:

  • Inventar- und Asset-Management: Organisationen bewerten in der Regel ihre aktuellen Systeme, Prozesse und Verfahren, um ihren Grad der Konformität zu bestimmen. Dazu gehört die Identifizierung bekannter Bereiche der Nichtkonformität sowie bekannter Risiken und Schwachstellen in ihrer aktuellen Infrastruktur.
  • Schulung und Kommunikation: Es ist entscheidend, Ihre Ressourcen auf bevorstehende Änderungen vorzubereiten, um sicherzustellen, dass jeder in Ihrer Organisation die notwendigen Änderungen versteht. Ein Audit oder eine Infrastrukturaufwertung kann Störungen verursachen und erfordern möglicherweise, dass Mitarbeiter neue Fähigkeiten erwerben. Das Bewusstsein für diese Angelegenheiten kann Ihnen helfen, Zeit bei der Priorisierung und Planung möglicher Lösungen zu sparen.
  • Drittanbieter- und Lieferantenmanagement: Dies ist ein Aspekt, der oft übersehen wird. Ein detailliertes und aktualisiertes Verzeichnis Ihrer Lieferanten wird wahrscheinlich erforderlich sein, um die Einhaltung der meisten Standards und Vorschriften sicherzustellen. Auch wenn eine Richtlinie nicht direkt auf einen Drittanbieter eingeht, kann sie dennoch indirekt Änderungen an den Geschäftsbedingungen von Vereinbarungen mit externen Dienstleistern erforderlich machen.
  • Lückenanalyse: Wenn Sie die Einhaltung einer Vorschrift oder Norm überprüfen, ist es wichtig, eine Lückenanalyse durchzuführen, um Bereiche zu identifizieren, in denen kritische Änderungen erforderlich sind. Dies ist der erste Schritt zur Einhaltung und wird am besten von externen Beratern durchgeführt, die über spezifisches Wissen zur gewünschten Einhaltung verfügen.

Zusammenfassend lässt sich sagen, dass die Einhaltung von Vorschriften und Standards schwierig und teuer sein kann. Möglicherweise müssen Sie auf externe Berater zurückgreifen, um die Einhaltung zu erreichen, wenn Sie nicht über die erforderlichen internen Kompetenzen verfügen. Das Verständnis der Unterschiede zwischen Richtlinien und Vorschriften sowie eine vorhandene Strategie können jedoch den Prozess erleichtern und Ihnen helfen zu entscheiden, wann es sich lohnt, einen Standard zu verbessern, und wann es notwendig ist, Vorschriften einzuhalten.

Autorenavatar

Alessandro Mirani

Ausgewählte Beiträge

  1. Should You Really Put Cameras Around Your Home—and What Risks Are You Inviting if You Do?
  2. Datenschutz und Sicherheit als Hauptmerkmale der Blockchain: Teil 1
  3. Tinba-Virus: Ein ruchloser Banking-Trojaner
  4. Beschädigung der Outlook-Datendatei: Ursachen, Prävention und Wiederherstellung
  5. Durchgesickerte Influencer: Eine wachsende Gefahr für die Online-Sicherheit
  6. How Crypto Security Keeps Your Investments Steady in 2025
  7. Kritischer Cyber-Alarm: Ausländische Bedrohung zielt auf Organisationen mit bösartigen RDP-Anhängen
  8. Malware 101: Was ist Malware, wie beugt man Angriffen vor und wie entfernt man Malware von seinem Computer
  9. APT (fortgeschrittene anhaltende Bedrohung)
  10. Cyber-Bedrohungen im Pferderennsport: Wie Hacker es auf Wettplattformen und Renndaten abgesehen haben
  11. Secure Wallet Practices for New Token Investments: Protecting Your Digital Assets
  12. Bewertung von TryHackMe Cyber Security Training

Bleiben Sie auf dem Laufenden über die neuesten Cyber- und Technologietrends.

©2025 securitybriefing - Alle Rechte vorbehalten.
de_DE_formalGerman
en_USEnglish da_DKDanish it_ITItalian sv_SESwedish ro_RORomanian thThai viVietnamese jaJapanese nl_NLDutch ko_KRKorean arArabic de_DE_formalGerman