ESecurity Cert

blogCERT

Update Januar 2023: Umstellung ISO/IEC 27001:2022

Marc Alex­an­der Luge | Ja­nuar 2023

Die Deut­sche Ak­kre­di­tie­rungs­behörde GmbH (DAkkS) hat am 13.Ja­nuar 2023 die lang er­war­tete Um­stel­lungs­an­lei­tung für Ak­kre­di­tie­run­gen im Be­reich ISO/IEC 27001:2022 veröff­ent­licht. Was er­gibt sich dar­aus für nach DIN EN ISO/IEC 27001:2017-06 zer­ti­fi­zierte Un­ter­neh­men?

wei­ter­le­sen

Mapping ISO/IEC 27002:2013 <-> ISO/IEC 27002:2022

Marc Alex­an­der Luge | No­vem­ber 2022

Die ISO/IEC 27002:2022 bringt um­fang­rei­che Ände­run­gen mit sich, wel­che zen­trale Aus­wir­kun­gen auf die ISO/IEC 27001:2022 ha­ben. Gerne stel­len Ih­nen mit die­sem Up­date das Map­ping zwi­schen der al­ten und neue ISO/IEC 27002 zur Verfügung.

wei­ter­le­sen

Umstellung bestehender Zertifikate auf die ISO/IEC 27001:2022

Marc Alex­an­der Luge | No­vem­ber 2022

Mit der neuen ISO/IEC 27001:2022 muss ei­ner­seits die ESe­cu­rity-CERT GmbH einen An­trag auf Ände­rung der Ak­kre­di­tie­rung stel­len. An­de­rer­seits müssen sich alle zer­ti­fi­zier­ten Man­date ent­spre­chend um­stel­len. Wel­che Fris­ten gibt es und in wel­cher Form er­folgt die Um­stel­lung?

wei­ter­le­sen

UPDATE: Veröffentlichung der neuen ISO/IEC 27001:2022 sowie Verabschiedung der „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“

Marc Alex­an­der Luge | No­vem­ber 2022

Im Rah­men der Veröff­ent­li­chung der letz­ten blog-Ar­ti­kel ha­ben wir Ih­nen die or­ga­ni­sa­to­ri­schen und tech­ni­schen Her­aus­for­de­run­gen der neuen ISO/IEC 27002:2022 so­wie die "Ori­en­tie­rungs­hilfe zum Ein­astz von Sys­te­men zur An­griffs­er­ken­nung" des BSI. So­wohl hin­sicht­lich der ISO/IEC 27001, also der Ori­en­tie­rungs­hilfe gibt es mitt­ler­weile Up­dates.

wei­ter­le­sen

Systeme zur Angriffserkennung - Orientierungshilfe des BSI zur Umsetzung

Marc Alex­an­der Luge | Au­gust 2022

Am 28.5.2021 trat das IT-Si­cher­heits­ge­setz 2.0 (IT-SiG) in Kraft. Wie be­reits das IT-SiG 1.0, be­dingte auch die 2.0 als Ar­ti­kel­ge­setz weit­rei­chende Ände­run­gen in ei­ner gan­zen Reihe von Ein­zel­ge­set­zen (ne­ben dem BSI-Ge­setz – BSIG – u. a. das En­er­gie­wirt­schafts­ge­setz (EnWG) und das Te­le­kom­mu­ni­ka­ti­ons­ge­setz). Das IT-SiG 2.0 geht ins­be­son­dere mit zusätz­li­chen Pflich­ten, u. a. für Be­trei­ber kri­ti­scher In­fra­struk­tu­ren (KRI­TIS-Be­trei­ber), ein­her. Diese sind z. B. ver­pflich­tet, ab dem 1. Mai 2023 ganz­heit­li­che Sys­teme zur An­griffs­er­ken­nung (SzA) nach dem gel­ten­den Stand der Tech­nik ein­zu­set­zen und dies ge­genüber dem Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) nach­zu­wei­sen (§ 8a Abs. 1a BSIG). KRI­TIS-Be­trei­ber müssen den Ein­satz der SzA ab dem 1.5.2023 mit dem nächs­ten fälli­gen Nach­weis gemäß § 8a Abs. 3 BSIG nach­wei­sen.

wei­ter­le­sen

2022: Update IT-Sicherheitskatalog - Abermals

Marc Alex­an­der Luge | Au­gust 2022

Durch die Bun­des­netz­agen­tur er­folgte an ei­ner Stelle in bei­den Kon­for­mitäts­be­wer­tungs­pro­gram­men eine we­sent­li­che Ände­rung: Spricht die Fas­sung aus dem Frühjahr 2022 da­von, dass Mit­glie­der des Au­dit-Teams selbst die An­for­de­run­gen an die Qua­li­fi­ka­tion des Fa­ch­ex­per­ten nicht erfüllen könn­ten, was ei­ner­seits den Markt an Fa­ch­ex­per­ten deut­lich re­du­ziert hätte und an­de­rer­seits zu ei­ner deut­li­chen Erhöhung der Kos­ten ei­nes Au­dits geführt hätte, er­folgte im Juli wie­der die Rolle rückwärts. Dies be­deu­tet, dass wie­der gilt: Die Un­terstützung durch einen Fa­ch­ex­per­ten kann ent¬fal­len, so­fern ein Mit­glied des Au­dit-Teams min­des­tens fünf Mal zu­sam­men mit einem Fa­ch­ex­per­ten im Rah­men von Au­dits zur Zer­ti­fi­zie­rung des IT-Si­cher­heits­ka­ta­logs gemäß § 11 Ab¬satz 1a oder 1b EnWG die Ri­si­ko­ein­schätzung und den Scope des ISMS ei­nes Netz­be­trei­bers be­ur­teilt hat.

wei­ter­le­sen

ISO/IEC 27002:2022 - Auswirkungen der neuen ISO/IEC 27002 auf bestehende ISO/IEC 27001-Zertifikate

Marc Alex­an­der Luge | Au­gust 2022

Im Rah­men un­se­res letz­ten Blog-Ein­tra­ges ha­ben wir Sie be­reits über or­ga­ni­sa­to­ri­sche und tech­ni­sche Her­aus­for­de­run­gen der neuen ISO/IEC 27002:2022 in­for­miert und eben­falls die neu ein­geführ­ten Kon­trol­len in der ISO/IEC 27002:2022 dar­ge­stellt. Doch wel­che Aus­wir­kun­gen hat das auf be­ste­hende Zer­ti­fi­kate?

wei­ter­le­sen

Organisatorische und technische Herausforderungen der neuen ISO/IEC 27002:2022

Marc Alex­an­der Luge | Juli 2022

Im Fe­bruar 2022 wurde die neue ISO/IEC 27002:2022 veröff­ent­licht, wel­che die ISO/IEC 27002:2013-10 er­setzt. Bei der neuen Aus­gabe der ISO 27002 han­delt es sich dies­mal um eine kom­plette Über­ar­bei­tung der be­ste­hen­den Fas­sung, was sich be­reits durch den Ti­tel wi­der­spie­gelt. War bis­her von „In­for­ma­tion tech­no­logy — Se­cu­rity tech­ni­ques — Code of prac­tice for in­for­ma­tion se­cu­rity con­trols“ die Rede, so ist die Be­zeich­nung der neuen ISO/IEC 27002:2022: „In­for­ma­tion se­cu­rity, cy­ber­se­cu­rity and pri­vacy pro­tec­tion — In­for­ma­tion se­cu­rity con­trols“. Es wird deut­lich, wie die ak­tua­li­sier­ten Maßnah­men, die An­for­de­run­gen an die IT-Si­cher­heit in den nächs­ten Jah­ren wie­der mehr in den Fo­kus rücken.

In eigener Sache - Webinare zur ISO/IEC 27002:2022

Marc Alex­an­der Luge | April 2022

Die ESe­cu­rity-CERT GmbH wird ge­mein­sam mit dem Ge­schäfts­be­reich IT-Re­vi­sion (GBIT) von Eb­ner Stolz am 10. und 31. Mai Webi­nare zur ISO/IEC 27002:2022 an­bie­ten. Die Teil­nahme ist je­weils kos­ten­los.

wei­ter­le­sen

IT-Sicherheit im Energiesektor - Update der Bundesnetzagentur

Marc Alex­an­der Luge | April 2022

Die Un­terstützung durch In­for­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gie (IKT)-Sys­teme bringt viele Vor­teile, je­doch ge­hen mit der wach­sen­den Abhängig­keit von die­sen Sys­te­men auch Ri­si­ken für die Ver­sor­gungs­si­cher­heit ein­her. Die Bun­des­netz­agen­tur (BNetzA) hatte da­her den Auf­trag, im Be­neh­men mit dem Bun­des­amt für Si­cher­heit, in der In­for­ma­ti­ons­tech­nik (BSI) Min­dest­stan­dards für die IT-Si­cher­heit im En­er­gie­sek­tor zu er­stel­len und zu veröff­ent­li­chen.

wei­ter­le­sen

In eigener Sache - ESecurity-CERT akkreditiert für den IT-Sicherheitskatalog gemäß § 11 Abs. 1a EnWG

Marc Alex­an­der Luge | März 2022

Was lange währt … So oder so ähn­lich könnte man die Be­schrei­bung des Pro­zes­ses be­gin­nen, wenn es um un­sere Ak­kre­di­tie­rung für den IT-Si­cher­heits­ka­ta­log gemäß § 11 Abs. 1a EnWG (08/2015) - kurz IT-Si­kat 1a - geht.

wei­ter­le­sen

In eigener Sache - Umstellung ISO/IEC 27006:2015/Amd. 1:2020 bzw. DIN EN ISO/IEC 27006:2021-05

Marc Alex­an­der Luge | Ok­to­ber 2021

Die Deut­sche Ak­kre­di­tie­rungs­stelle GmbH (DAkkS) hat eine Um­stel­lungs­an­lei­tung für Ak­kre­di­tie­run­gen im Be­reich ISO/IEC 27006:2015/Amd.1:2020 veröff­ent­licht. Im Rah­men des­sen wurde fest­ge­legt, dass zur Überprüfung der Um­stel­lung im Rah­men der Ak­kre­di­tie­rung im Re­gel­fall eine um­fas­sende Do­ku­men­tenprüfung so­wie eine Vor-Ort-Be­gut­ach­tung zu er­fol­gen hat. Für die Do­ku­men­tenprüfung wur­den ent­spre­chende Vor­ga­ben ge­macht.

wei­ter­le­sen

IT-SiG 2.0 -> BSI-KritisV 2.0

Marc Alex­an­der Luge | Ok­to­ber 2021

Nach­dem am 28. Mai 2021 das IT-Si­cher­heits­ge­setz 2.0 in Kraft ge­tre­ten ist, war es nur eine Frage der Zeit, dass eben­falls die BSI-Kri­tis­ver­ord­nung ent­spre­chend an­ge­passt wird. In wel­chem Um­fang dies er­folgt und ob tatsäch­lich eine hohe An­zahl zusätz­li­cher Un­ter­neh­men ab 2022 zu den KRI­TIS zählen, le­sen Sie nach­fol­gend.

wei­ter­le­sen

ISO/IEC DIS 27002:2021-01 - Überarbeitung oder Erweiterung der Version aus 2013?

Marc Alex­an­der Luge | Juli 2021

Die in­ter­na­tio­nale Norm ISO/IEC 27002 ist ein Leit­fa­den für In­for­ma­ti­ons­si­cher­heitsmaßnah­men, wel­cher mo­men­tan noch in der eng­li­schen Fas­sung aus dem Jahr 2013 bzw. in der deut­schen Fas­sung aus dem Jahr 2017 an­zu­wen­den ist. Die Vor­ga­ben der Norm sind nicht ver­pflich­tend an­zu­wen­den, es han­delt sich viel­mehr um Emp­feh­lun­gen, die um­ge­setzt wer­den können. Al­ler­dings er­ge­ben sich durch­aus Aus­wir­kun­gen auf an­dere Stan­dards aus der 27000-Nor­men­reihe, da die Norm die In­for­ma­ti­ons­si­cher­heitsmaßnah­men (Con­trols) des An­hangs A der Norm ISO/IEC 27001, wel­che die zen­trale Norm für In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­teme dar­stellt, kon­kre­ti­siert und erläutert.

wei­ter­le­sen

Update BNetzA Umsetzung IT-Sikat §11 Abs. 1b EnWG

Au­tor: Ri­cky Ste­wart | Juli 2021

Up­date der Re­ge­lung zur Vor­lage des Nach­wei­ses zur Um­set­zung des IT-Si­cher­heits­ka­ta­logs nach § 11 Abs. 1b EnWG im Zu­sam­men­hang mit der Aus­brei­tung von SARS-CoV-2

Be­trei­ber von En­er­gie­an­la­gen, die nach der BSI-Kri­tisV als Kri­ti­sche In­fra­struk­tur be­stimmt wur­den, sind gemäß § 11 Abs. 1b En­er­gie­wirt­schafts­ge­setz (EnWG) dazu ver­pflich­tet, den von der Bun­des­netz­agen­tur (BNetzA) am 18. De­zem­ber 2018 veröff­ent­lich­ten IT-Si­cher­heits­ka­ta­log für En­er­gie­an­la­gen um­zu­set­zen. Zum Nach­weis der Um­set­zung ha­ben Be­trei­ber von En­er­gie­an­la­gen bis zum 31. März 2021 den Ab­schluss des vor­ge­schrie­be­nen Zer­ti­fi­zie­rungs­ver­fah­rens an­zu­zei­gen.

wei­ter­le­sen

Umstellung ISO/IEC 27019:2017

Au­tor: Ri­cky Ste­wart | Juni 2021

Am 1. No­vem­ber 2017 wurde die über­ar­bei­tete ISO/IEC 27019:2017 „In­for­ma­ti­ons­tech­nik – Si­cher­heits­ver­fah­ren – In­for­ma­ti­ons­si­cher­heitsmaßnah­men für die En­er­gie­ver­sor­gung“ veröff­ent­licht. Alle Be­trei­ber von En­er­gie­ver­sor­gungs­net­zen in Deutsch­land müssen sich seit 2017 ei­ner Zer­ti­fi­zie­rung nach dem IT-Si­cher­heits­ka­ta­log (nach­fol­gend IT-Si­Kat) nach § 11 Abs. 1a EnWG der Bun­des­netz­agen­tur (BNetzA) un­ter­zie­hen.

wei­ter­le­sen

IT- Sicherheitsgesetz 2.0 - Durchbruch für Deutschlands Cybersicherheit?

Marc Alex­an­der Luge | Juni 2021

Be­reits im Frühjahr 2019 wurde der er­ste Re­fe­ren­ten­ent­wurf zum IT-Si­cher­heits­ge­setz (IT-SiG) 2.0 veröff­ent­licht, um das aus dem Jahr 2015 stam­mende IT-SiG um­fang­reich an­zu­pas­sen. Zwei Jahre später wurde es zum 27. Mai im Bun­des­ge­setz­blatt veröff­ent­licht und trat so­mit zum 28. Mai 2021 in Kraft.

wei­ter­le­sen

Alles hat einen Anfang…

Will­kom­men! oder wie man in Düssel­dorf sa­gen würde: Jode Dach bzw. Well­komme!
Mit die­ser neu ge­schaf­fe­nen Ka­te­go­rie auf un­se­rer Web­site möch­ten wir re­gelmäßig so­wohl über ak­tu­elle The­men rund um die Zer­ti­fi­zie­rung von Ma­nage­ment­sys­te­men in­for­mie­ren - seien es bspw. ge­setz­li­che An­pas­sun­gen/Neue­run­gen so­wie von Zer­ti­fi­zie­rungs­vor­ga­ben bzw. im Zer­ti­fi­zie­rungs­pro­zess - als auch bspw. über News, die uns als Kon­for­mitäts­be­wer­tungs­stelle be­tref­fen.

Wir star­ten im An­schluss di­rekt mit dem ers­ten Ar­ti­kel zum IT-Si­cher­heits­ge­setz 2.0, das am 23. April 2021 be­schlos­sen wurde und am 7. Mai vom Bun­des­rat die Zu­stim­mung er­hielt. Das Ge­setz wurde am 27. Mai im Bun­des­ge­setz­blatt veröff­ent­licht und trat am 28.Mai 2021 in Kraft.