ISMS: Richtlinien, tiefer betrachtet.

Meinung: Die Richtlinien-Thematik

⚠️ "Wir verwenden einfach ein paar Vorlagen"⚠️

  • Oft möchten Unternehmen Zeit bei der Erstellung von Richtlinien für ein ISMS nach ISO 27001 und/oder NIS-2 sparen, und greifen dann auf "irgendwelche" Vorlagen zurück. Richtlinien sollten immer an den genauen Bedürfnissen des Unternehmens ausgerichtet sein und inhaltlich so formuliert und gestaltet werden, dass diese:
    Technisch akkurat einen Sachverhalt darstellen können (hierzu gehören auch Tabellen, Diagramme und der Bezug zu Maßnahmen-Controls und sonstigen Quellen).
  • Angenehm sind, diese zu lesen.
  • Neue Mitarbeiter (sowie auch Stamm-Mitarbeiter) schnell und gezielt eingearbeitet werden.
  • Einen echten Mehrwert bieten und folglich eine breite Akzeptanz finden.


Richtlinien ergänzen die allgemeine, themenbezogene Dokumentation und sollten immer zusammen mit dem jeweiligen Fach-Team (und sonstigen Beteiligten) erstellt werden.


"Vorlagen" hingegen, spiegeln weder die Bedürfnisse und Gegebenheiten des Unternehmens wider, noch finden diese inhaltlich eine nennenswerte Akzeptanz. Das Resultat ist digitaler Papiermüll und ein Bruch des gelebten, ganzheitlichen Informations-Sicherheit-Gedanken eines wirksamen ISMS.


Eine besondere Herausforderung ist, Richtlinien an mehreren Compliance-Frameworks auszurichten. Es ist nicht unüblich, dass ein Unternehmen sich z. B. nach der ISO/IEC 27001:2022 zertifizieren lässt und zugleich unter NIS-2 fällt. Entsprechend SOLLTEN alle Richtlinien eine einheitliche Struktur verfolgen. Hier obliegt es dem Unternehmen, seine für sich passende Struktur zu finden.

Eine sich bewährte Aufteilung ist wie folgt dargestellt und verdeutlicht den Aufwand.


Kapitel-Struktur: Richtlinien SOLLTEN mit Struktur aufgebaut werden!


🎯 1. Zweck und Ziel

  • 1.1 Zweck: Warum gibt es diese Richtlinie? Welches strategische Ziel wird verfolgt?
  • 1.2 Zielgruppe: An wen richtet sich die Richtlinie?
  • Sicherstellung eines wirksamen Cybersicherheits-Risikomanagements (NIS-2 Art. 21)
  • Erfüllung der Meldepflichten bei erheblichen Vorfällen innerhalb 24 h / 72 h (NIS-2 Art. 23)
  • Schutz von Lieferketten und Dienstleistern (NIS-2 Art. 21 Abs. 2 lit. d)


🔍 2. Geltungsbereich (Scope)

  • 2.1 Anwendungsbereich: Für welche Systeme, Prozesse oder Daten gilt die Richtlinie?
  • 2.2 Ausnahmen: Was ist explizit ausgenommen?
  • Alle Systeme & Prozesse des Unternehmens, die als „wesentliche“ oder „wichtige“ Dienste einzustufen sind (NIS-2 Art. 3 u. 4)
  • Einbezug kritischer Lieferanten / Cloud-Services (NIS-2 Art. 21 Abs. 2 lit. d)
  • Ausnahmen nur, wenn keine Relevanz für die in NIS-2 Art. 21 genannten Risikomaßnahmen besteht


⚖️ 3. Grundlagen und Referenzen

  • Gesetze und Verordnungen (z.B. NIS-2, DSGVO)
  • Normen und Standards (z.B. ISO 27001:2022, ISO 27003:2013)
  • Übergeordnete Unternehmensrichtlinien
  • EU-Richtlinie 2022/2555 (NIS-2)
  • ISO 27001:2022, ISO 27003:2017
  • Nationale Umsetzungs-/Aufsichtsgesetze (NIS-2 Art. 32 ff.)


👨‍🏫 4. Rollen und Verantwortlichkeiten

  • Richtlinien-Eigner/Owner (Accountable): Wer ist ultimativ verantwortlich?
  • Umsetzungsverantwortliche (Responsible): Wer führt die Tätigkeiten aus?
  • Prüfinstanz: Wer überwacht die Einhaltung?
  • Geschäftsführung genehmigt und überwacht alle Maßnahmen (NIS-2 Art. 20)
  • Kontaktstelle / single point of contact für Behörden & CSIRT (NIS-2 Art. 26)
  • IT-Sicherheitsbeauftragte:r koordiniert Risikomanagement (NIS-2 Art. 21)
  • Incident-Response-Team führt Meldungen durch (NIS-2 Art. 23)


📝 5. Grundsätze und Anforderungen

  • Der Kern der Richtlinie: die verbindlichen Regeln.
  • Klar formuliert mit "MUSS", "SOLL", "DARF NICHT".
  • Aufgeteilt in thematische Unterpunkte für bessere Lesbarkeit.
  • Implementierung von Maßnahmen gemäß NIS-2 Art. 21 Abs. 2 a–h:
    ➛ Risikoanalyse, BCM, Backup, Zugangs- und Zugriffskontrollen, Verschlüsselung, Schwachstellen-Management, Schulungen, Lieferkettensicherheit
  • Dokumentations- und Nachweispflicht gegenüber Behörde (NIS-2 Art. 30)


📈 6. Ziele und Messgrößen (KPIs)

  • Beschreibung: Hier wird definiert, wie der Erfolg und die Wirksamkeit der Richtlinie gemessen werden (entspricht "Key Outcomes" aus ISO 27003:2017).
  • KPI-Definitionen: Konkrete Kennzahlen zur Erfolgsmessung (z.B. MTTR, MTTD, Service-Verfügbarkeit, False-Positive-Rate).
  • Zielwerte: Definierte Zielgrößen für jede KPI.
  • MTTD ≤ 15 min & MTTR ≤ 1 h für kritische Services – Basis für 24 h Erstmeldung (NIS-2 Art. 23 Abs. 1)
  • 100% Monitoring-Coverage aller als „wesentlich/­wichtig“ eingestuften Assets (NIS-2 Art. 21 Abs. 2 lit. a)
  • ≤ 10% False-Positive-Rate, um wirksame Detektion sicherzustellen (NIS-2 Art. 21 Abs. 2 lit. c)


⚙️ 7. Prozesse und Verfahren

  • Die praktische Umsetzung: "Wie wird es gemacht?"
  • Schritt-für-Schritt-Anleitungen oder Verweise auf separate Prozessdokumentationen.
  • Beschreibung der technischen und organisatorischen Abläufe.
  • Standard-Incident-Prozess mit Erstmeldung <24 h, Zwischenbericht <72 h, Abschlussbericht <1 Monat (NIS-2 Art. 23 u. 24)
  • Regelmäßige Schwachstellen-Scans & Patch-Management-Zyklus (NIS-2 Art. 21 Abs. 2 lit. c)
  • Lieferanten-Onboarding-Checkliste inkl. Sicherheitskriterien (NIS-2 Art. 21 Abs. 2 lit. d)


⚠️ 8. Durchsetzung und Konsequenzen

  • Überwachung: Wie wird die Einhaltung kontrolliert? (z.B. durch Audits, technische Checks)
  • Konsequenzen bei Verstößen: Was passiert bei Nichteinhaltung?
  • Interne Kontrollen & Audits; Berichtsweg an Geschäftsführung (NIS-2 Art. 32)
  • Meldung schwerwiegender Verstöße an Aufsichtsbehörde (NIS-2 Art. 30)
  • Disziplinarische Maßnahmen bis hin zu Bußgeld-Haftung (NIS-2 Art. 34)


‼️ 9. Ausnahmeregelungen

  • Der formalisierte Prozess, um eine Ausnahme zu beantragen.
  • Kriterien für die Bewertung und Genehmigung von Ausnahmen.
  • Anforderung zur Dokumentation aller genehmigten Ausnahmen.
  • Ausnahme nur zulässig, wenn gleichwertige Sicherheit anderweitig gewährleistet wird – Genehmigung durch GF (NIS-2 Art. 20 Abs. 2)
  • Dokumentation jeder Ausnahme, jährliche Review (NIS-2 Art. 30)


♾️ 10. Kontinuierliche Verbesserung

  • Überprüfungszyklus: Wann und wie oft werden die Richtlinie und die KPIs (aus Abschnitt 6) überprüft?
  • Feedback-Prozess: Wie können Mitarbeitende Vorschläge zur Verbesserung einreichen?
  • Jährliche Bewertung der Wirksamkeit der Maßnahmen & KPIs (NIS-2 Art. 21 Abs. 2 lit. g)
  • Lessons-Learned nach jedem erheblichen Vorfall (NIS-2 Art. 23 Abs. 5)


🖇️ 11. Anhänge

  • Glossar: Definition wichtiger Fachbegriffe.
  • Verweise: Links zu Checklisten, Formularen, technischen Diagrammen und anderen relevanten Dokumenten.
  • Meldeformulare gem. NIS-2 Art. 23/24 (Vorfall-Erst- & Zwischenmeldung)
  • Kontaktliste Behörde/CSIRT (NIS-2 Art. 26)
  • Aktuelles Netzwerk-/Architekturdiagramm (Pflichtnachweis für Risikomanagement, NIS-2 Art. 21)

Eine vereinfachte Darstellung, wie die Erstellung einer Richtlinie aussehen kann, ist wie folgt abgebildet. Man beachte, dass die Richtlinie eines ISMS nach ISO 27001 immer periodisch überprüft werden muss, insbesondere auf deren Bekanntheit und Sinnhaftigkeit. Die Grafik verdeutlicht auch, dass alle Beteiligten einer bestimmten Thematik den passenden Content liefern müssen. Folglich ist eine Richtlinie nicht in der Hand von einer Person (was leider öfters passiert), sondern eines Teams.

Um die Qualität einer Richtlinie zu erhöhen, sind ergänzende Informationen aus Quellen wie z.B. der ISO 27002 oder auch internationale Best Practices ratsam. Besonders wenn Fragestellungen zu Themen wie z.B. einer Passwort-Richtlinie geklärt werden müssen. Doch auch hier gilt: Immer die eigenen Bedürfnisse des Unternehmens berücksichtigen.


Merke: Ein ISMS nach ISO 27001 passt sich dem Unternehmen an, nicht umgekehrt!


ISMS Richtlinien-Erstellung, schematischer Ablauf.