NIST CSF, ISO 27001 und die Normenlandschaft – ein leicht verständlicher Leitfaden für ESG-Teams
Zu viele Rahmenwerke, zu wenig Klarheit
Eine der häufigsten Herausforderungen für ESG-Experten, die sich mit Cybersicherheits-Governance befassen, ist die scheinbare Flut an Rahmenwerken, Standards und Richtlinien – jedes mit seinem eigenen Akronym, seiner eigenen Struktur und seinen eigenen Befürwortern. NIST CSF. ISO 27001. ISO 27002. SOC 2. CIS Controls. COBIT. Die Liste ließe sich fortsetzen. Man könnte den Eindruck gewinnen, dass diese Landschaft eher darauf ausgelegt ist, Verwirrung zu stiften, als Klarheit zu schaffen.
Die gute Nachricht ist, dass sich die wichtigsten Rahmenwerke eher ergänzen als miteinander konkurrieren. Zu verstehen, wie sie miteinander in Beziehung stehen – und wo jedes einzelne in ein kohärentes Governance-Programm passt –, ist für ESG-Fachleute, die sich mit Cybersicherheitsrisiken auseinandersetzen müssen, ohne selbst zu Cybersicherheitsspezialisten zu werden, von großem Nutzen. Dieser Artikel bietet eine solche Orientierung und konzentriert sich dabei auf die beiden Rahmenwerke, die für ESG-Fachleute in der Praxis am ehesten relevant sind: NIST CSF 2.0 und ISO 27001.
NIST CSF 2.0 – das Rahmenwerk für das Risikomanagement
NIST CSF 2.0 ist ein Rahmenwerk für das Risikomanagement. Sein Hauptzweck besteht darin, Organisationen dabei zu unterstützen, Cybersicherheitsrisiken auf strukturierte und einheitliche Weise zu verstehen, zu bewerten, zu kommunizieren und zu steuern. Es ist ergebnisorientiert: Es beschreibt, wie ein gutes Cybersicherheits-Risikomanagement aussieht, ohne dabei die spezifischen technischen Kontrollmaßnahmen vorzuschreiben, die zu dessen Umsetzung erforderlich sind.
Diese Ergebnisorientierung ist eine der größten Stärken für ESG-Experten. Das bedeutet, dass CSF 2.0 in Organisationen jeder Größe, in jeder Branche und mit jedem Technologie-Stack angewendet werden kann. Es bietet eine gemeinsame Sprache für die Diskussion von Cybersicherheitsrisiken, deren sinnvolle Nutzung keine technischen Fachkenntnisse erfordert. Zudem lässt es sich nahtlos in Rahmenwerke für das Unternehmensrisikomanagement integrieren, wodurch es einfacher wird, Cybersicherheitsrisiken in die übergeordneten Risikosteuerungsprozesse einzubinden, in denen ESG-Experten tätig sind.
CSF 2.0 enthält zudem bewusst keine verbindlichen Vorgaben zur Umsetzung. Es gibt vor, welche Ergebnisse angestrebt werden sollen, nicht aber, wie diese zu erreichen sind. Das bedeutet, dass es darauf ausgelegt ist, zusammen mit anderen Rahmenwerken und Normen – einschließlich ISO 27001 – genutzt zu werden, die spezifischere Leitlinien für die Umsetzung bieten.
ISO 27001 – die Norm für Managementsysteme
ISO 27001 ist eine Norm für Managementsysteme. Sie legt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS) fest. Im Gegensatz zum NIST CSF ist ISO 27001 zertifizierbar – Organisationen können eine unabhängige Zertifizierung durch Dritte beantragen, um nachzuweisen, dass ihr ISMS die Anforderungen der Norm erfüllt. Diese Zertifizierung ist überprüfbar und weltweit anerkannt.
ISO 27001 ist präskriptiver als das NIST CSF. Während das CSF 2.0 vorsieht, dass Organisationen über Prozesse zur Identifizierung von Vermögenswerten und zur Ermittlung ihrer Risikoexposition verfügen sollten (die Funktion „Identifizieren“), legt ISO 27001 konkrete Kontrollmaßnahmen und Anforderungen an das Managementsystem fest – Methoden zur Risikobewertung, Maßnahmenpläne, dokumentierte Verfahren, interne Auditprozesse, Managementbewertung –, die zusammen ein funktionierendes Managementsystem bilden.
Der praktische Unterschied besteht darin: Die Zertifizierung nach ISO 27001 belegt, dass eine Organisation bestimmte Maßnahmen zur Informationssicherheit nach einem geprüften Standard eingeführt hat und aufrechterhält. Die Ausrichtung am NIST CSF zeigt, dass eine Organisation ihre Cybersicherheitsrisiken auf strukturierte Weise versteht und steuert. Beide Ansätze sind wertvoll und für die meisten Organisationen eher komplementär als alternativ.
Eine hilfreiche Sichtweise auf diese Beziehung: NIST CSF 2.0 zeigt Ihnen, wo Sie hinmüssen, und liefert Ihnen die Wegbeschreibung. ISO 27001 erklärt Ihnen detailliert, wie Sie dorthin gelangen, und bietet Ihnen eine Möglichkeit, nachzuweisen, dass Sie Ihr Ziel erreicht haben.
Wie sie zusammenarbeiten
Viele Organisationen nutzen NIST CSF 2.0 als ihr primäres Rahmenwerk für das Cybersicherheits-Risikomanagement – sie nutzen dessen sechs Funktionen und die damit verbundenen Ergebnisse, um die Identifizierung, Bewertung und Steuerung von Cyberrisiken zu strukturieren –, während sie ISO 27001 als Umsetzungsstandard für ihr Informationssicherheits-Managementsystem verwenden. Die beiden Rahmenwerke lassen sich gut aufeinander abstimmen, und das NIST hat Referenzmaterialien veröffentlicht, die diese Zuordnung verdeutlichen.
Für ESG-Experten ist es wichtig, diesen Zusammenhang zu verstehen, da er erklärt, warum eine Organisation möglicherweise auf beides Bezug nimmt. Ein Verweis auf den NIST CSF in einer Governance-Offenlegung oder einem ESG-Bericht deutet darauf hin, dass die Organisation ein anerkanntes Rahmenwerk zur Strukturierung ihres Cybersicherheits-Risikomanagements nutzt. Ein Verweis auf die ISO 27001-Zertifizierung deutet darauf hin, dass die Organisation unabhängig überprüfen ließ, dass ihr Informationssicherheitsmanagement einer bestimmten Norm entspricht. Beide sind aussagekräftig, und keines macht das andere überflüssig.
Die Norm ISO 27001 fügt sich zudem nahtlos in die breitere Familie der ISO-Managementsysteme ein, mit der ESG-Fachleute wahrscheinlich bereits vertraut sind. ISO 9001 (Qualitätsmanagement), ISO 14001 (Umweltmanagement), ISO 45001 (Arbeitsschutz) und ISO 42001 (KI-Management) haben alle dieselbe übergeordnete Struktur wie ISO 27001 – eine Struktur, die als „Harmonisierte Struktur“ bezeichnet wird und es Organisationen erleichtert, mehrere Managementsysteme zu integrieren, anstatt sie isoliert zu betreiben.
Wo andere Normen zum Tragen kommen
Der Vollständigkeit halber sei kurz erwähnt, welchen Platz einige der anderen Frameworks, mit denen ESG-Experten möglicherweise in Berührung kommen, in diesem Umfeld einnehmen. SOC 2 ist ein vom American Institute of Certified Public Accountants (AICPA) entwickelter Berichtsstandard, der die Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und den Datenschutz der Systeme von Dienstleistungsunternehmen prüft. Er ist vor allem für Technologieanbieter und Cloud-Dienstleister relevant und wird häufig im Rahmen der Due-Diligence-Prüfung in der Lieferkette verlangt.
Die CIS Controls sind eine vom Center for Internet Security entwickelte, nach Prioritäten geordnete Sammlung bewährter Verfahren für die Cybersicherheit. Sie sind äußerst praxisnah und auf die Umsetzung ausgerichtet, was sie für Organisationen nützlich macht, die konkrete technische Anleitungen suchen. Sie lassen sich gut auf den NIST CSF abbilden und können als praktischer Leitfaden für die Umsetzung der CSF-Ziele betrachtet werden.
COBIT (Control Objectives for Information and Related Technologies) ist ein von der ISACA entwickeltes Governance-Rahmenwerk für die Unternehmens-IT. Es ist umfassender als ein reines Cybersicherheits-Rahmenwerk und deckt den gesamten Bereich der IT-Governance ab, einschließlich der Ausrichtung auf Geschäftsziele, der Wertschöpfung, des Risikomanagements und der Leistungsmessung. ESG-Fachleuten mit Governance-Hintergrund dürfte die Struktur von COBIT vertraut sein.
Was ESG-Experten tatsächlich wissen müssen
Für die meisten ESG-Experten ist fundiertes Fachwissen in einem dieser Rahmenwerke weder erforderlich noch sinnvoll. Was hingegen erforderlich ist, ist eine ausreichende Vertrautheit, um gute Fragen zu stellen, die Antworten der technischen Teams zu interpretieren und zu beurteilen, ob die Cybersicherheits-Governance eines Unternehmens den von den Stakeholdern erwarteten Standards entspricht.
Die wichtigsten Fragen, die ein ESG-Experte stellen sollte, lauten: Nutzt das Unternehmen ein anerkanntes Rahmenwerk zur Strukturierung seines Cybersicherheits-Risikomanagements – und wenn ja, welches? Verfügt es über Zertifizierungen im Bereich Cybersicherheit – wie beispielsweise ISO 27001 – und was decken diese Zertifizierungen ab? Wie werden Informationen zu Cybersicherheitsrisiken an den Vorstand und die Geschäftsleitung weitergeleitet? Wie geht das Unternehmen mit Cybersicherheitsrisiken in seiner Lieferkette um? Und wie reagiert es auf Cybervorfälle und wie stellt es den Betrieb nach solchen Vorfällen wieder her?
Diese Fragen stehen in direktem Zusammenhang mit den sechs Funktionen des NIST CSF 2.0 sowie mit den Offenlegungsanforderungen der wichtigsten ESG-Berichtsrahmenwerke im Bereich Governance. Eine Organisation, die diese Fragen klar und konkret beantworten kann, stellt damit genau jene Reife in der Cybersicherheits-Governance unter Beweis, die Stakeholder – Investoren, Aufsichtsbehörden, Kunden und Mitglieder der Gemeinschaft – zunehmend erwarten.
Die Welt der Standards muss nicht einschüchternd wirken. Sie ist ein Werkzeugkasten, und die Aufgabe des ESG-Experten besteht nicht darin, jedes einzelne Werkzeug darin zu beherrschen, sondern zu wissen, welche für welche Zwecke geeignet sind – und die richtigen Fragen dazu zu stellen, wie sie eingesetzt werden.
Kernaussage: NIST CSF 2.0 und ISO 27001 ergänzen sich, sie stehen nicht in Konkurrenz zueinander. CSF 2.0 bietet den Rahmen für das Risikomanagement und eine gemeinsame Sprache; ISO 27001 bietet den Umsetzungsstandard und eine unabhängige Zertifizierung. Zusammen beschreiben sie, wie eine gute Cybersicherheits-Governance für ESG-Offenlegungszwecke aussieht.