Cybersecurity Normen & Standards

Normen und Standards sind für die Gewährleistung von Qualität, Sicherheit und Effizienz in zahlreichen Branchen weltweit unverzichtbar. Sie erleichtern den Handel, verbessern die Produktqualität und tragen zu Governance und Compliance in der Unternehmensführung bei. Im Folgenden werden die Unterschiede zwischen Normen und Standards, ihre Rolle in der Unternehmensführung, die beteiligten Normungsorganisationen sowie die Harmonisierung dieser Standards in der EU dargestellt.

Unterschied zwischen Normen und Standards

Der Begriff “Standard” bezieht sich auf technische Spezifikationen, die von anerkannten Organisationen entwickelt wurden und auf freiwilliger Basis angewendet werden können. Standards beschreiben häufig spezifische Verfahren und Eigenschaften eines Produkts oder einer Dienstleistung.

Im Gegensatz dazu sind “Normen” oft formellere Dokumente, die von offiziellen Normungsorganisationen erstellt und veröffentlicht werden und breite Akzeptanz finden. Während Standards oft branchenspezifisch sind, haben Normen eine breitere Anwendung und werden häufig in der Regulierung berücksichtigt (vgl. New Legislative Framework in der EU).

Rolle von Normen in der Unternehmensführung

Im Kontext von Governance, Risk Management und Compliance (GRC) spielen Normen eine zentrale Rolle. Sie unterstützen Unternehmen dabei, regulatorische Anforderungen zu erfüllen, Risiken zu managen und effektive Governance-Strukturen zu implementieren.

Normen wie ISO 31000 für das Risikomanagement oder ISO/IEC 27001 für das Informationssicherheitsmanagement sind dabei von besonderer Bedeutung und bieten Rahmenwerke, die Unternehmen helfen, ihre operationellen Risiken systematisch zu managen.

Normungsorganisationen

Auf internationaler Ebene spielen Organisationen wie die Internationale Organisation für Normung (ISO), die Internationale Elektrotechnische Kommission (IEC) und die Internationale Fernmeldeunion (ITU) eine wichtige Rolle bei der Entwicklung von Standards, die weltweit Anwendung finden.

In Europa sind das Europäische Komitee für Normung (CEN), das Europäische Komitee für elektrotechnische Normung (CENELEC) und das Europäische Institut für Telekommunikationsnormen (ETSI) an der Normung beteiligt.

In Deutschland sind das Deutsche Institut für Normung (DIN) und die Deutsche Kommission Elektrotechnik Elektronik Informationstechnik im DIN und VDE (DKE) zentrale Akteure.

Harmonisierung der Normen in der EU

Die Harmonisierung von Normen innerhalb der Europäischen Union wird durch die Veröffentlichung harmonisierter Normen im Amtsblatt der Europäischen Union (OJEU) befördert. Diese Normen erleichtern es den Unternehmen, Produkte und Dienstleistungen zu entwickeln, die den EU-Vorschriften entsprechen und in allen Mitgliedstaaten anerkannt werden.

Das Amtsblatt der Europäischen Union (OJEU) spielt eine wichtige Rolle bei der Verbreitung von Informationen über harmonisierte Normen. Die Veröffentlichung einer Norm im OJEU bedeutet, dass sie von den EU-Institutionen anerkannt wurde und dass Produkte, die diesen Normen entsprechen, als konform mit den EU-Vorschriften gelten.

Auswahl relevanter Normen im Bereich Cybersicherheit

Im Bereich der Cybersicherheit sind Normen wie ISO/IEC 27001 von großer Bedeutung. Diese Norm bietet einen Rahmen für das Management der Informationssicherheit und hilft Organisationen, sich gegen Sicherheitsbedrohungen zu schützen.

Weitere wichtige, branchenunabhängige Normen für Betreiber sind:

  • ISO/IEC 27001: “Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen”
    Diese Norm definiert Anforderungen für ein Informationssicherheits-Managementsystem (ISMS). Sie bietet einen systematischen Ansatz zur Verwaltung sensibler Unternehmensinformationen und gilt branchenübergreifend.
  • ISO/IEC 27701: “Sicherheitstechniken – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Management von Informationen zum Datenschutz – Anforderungen und Leitlinien”
    Als Erweiterung der ISO 27001 konzentriert sich diese Norm auf den Datenschutz. Sie bietet Richtlinien für die Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Datenschutz-Informations-Managementsystems (PIMS).
  • ISO 22301: “Sicherheit und Resilienz – Business Continuity Management System – Anforderungen”
    Diese Norm legt Anforderungen an ein Business Continuity Management System (BCMS) fest. Sie hilft Organisationen, sich auf Störfälle vorzubereiten, darauf zu reagieren und sich davon zu erholen.

Wichtige Normen für Hersteller von Produkten sind:

Darüber hinaus gibt es weitere, branchenspezifische Normen.

Industrie allgemein

Automobilindustrie

  • ISO/SAE 21434: “Straßenfahrzeuge – Cybersecurity-Engineering”
    Diese Norm konzentriert sich auf die Cybersecurity in der Automobilindustrie. Sie definiert Anforderungen für Cybersecurity-Risikomanagement in der Fahrzeugentwicklung und während des gesamten Produktlebenszyklus.
  • ISO 24089: “Straßenfahrzeuge – Entwicklung und Durchführung von Software Updates”
    Diese Norm befasst sich mit den Prozessen und Anforderungen für Software-Updates in Fahrzeugen. Sie ist besonders relevant im Kontext der zunehmenden Digitalisierung und Vernetzung von Fahrzeugen.

Medizintechnik

  • IEC 80001-5-1: “Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten – Sicherheit, Effektivität und Daten- und Systemsicherheit bei Implementierung und Gebrauch von eingebundenen Medizinprodukten oder eingebundener Gesundheitssoftware – Teil 5-1: Aktivitäten im Produktlebenszyklus”
    Diese Norm bietet Leitlinien für die Cybersecurity von vernetzten medizinischen Geräten. Sie unterstützt Gesundheitsorganisationen bei der Risikobewertung und -minderung.
  • IEC TR 60601-4-5: “Medizinische elektrische Geräte – Teil 4-5: Leitfaden und Bewertung – Sicherheitsbezogene technische Anforderungen für Security”
    Dieser technische Bericht befasst sich mit der Cybersecurity von medizinischen elektrischen Geräten und medizinischen elektrischen Systemen. Er bietet Herstellern Richtlinien zur Berücksichtigung von Cybersecurity-Aspekten.

Bahnindustrie

  • CLC/TS 50701: “Bahnanwendungen – Cybersecurity”
    Diese technische Spezifikation befasst sich mit der Cybersecurity im Eisenbahnsektor. Sie bietet Richtlinien für die Implementierung von Cybersecurity-Maßnahmen in Bahnsystemen.

Internet of Things

Normen und Standards sind unverzichtbare Werkzeuge für Unternehmen, um Qualität, Sicherheit und Compliance zu gewährleisten. Die Zusammenarbeit zwischen nationalen und internationalen Normungsorganisationen sowie die Harmonisierung dieser Normen in der EU tragen wesentlich dazu bei, dass Unternehmen in einem globalisierten Markt effektiv agieren können.