Normen und Standards sind unverzichtbar, wenn es um Qualität, Sicherheit und Effizienz in nahezu allen Branchen geht. Sie fördern den Handel, steigern die Produktqualität und bieten Unternehmen einen verlässlichen Rahmen für Governance und Compliance. Nachfolgend werden der Unterschied zwischen Normen und Standards, ihre Bedeutung für die Unternehmensführung, die wichtigsten Normungsorganisationen sowie die Rolle der Normharmonisierung in der Europäischen Union dargestellt.
Unterschied zwischen Normen und Standards
Der Begriff „Standard“ bezeichnet technische Spezifikationen, die von anerkannten Organisationen entwickelt werden und deren Anwendung in der Regel freiwillig ist. Standards beschreiben häufig spezifische Methoden, Verfahren oder Eigenschaften für Produkte und Dienstleistungen.
Demgegenüber stehen „Normen“, die formeller ausgestaltet sind und von offiziellen Normungsorganisationen veröffentlicht werden. Normen finden häufig breite Akzeptanz und werden vermehrt in regulatorischen Rahmenwerken berücksichtigt (siehe etwa das New Legislative Framework in der EU). Während Standards oft branchenspezifische Anforderungen abdecken, sind Normen meist breit angelegt und haben einen hohen Stellenwert in der Gesetzgebung.
Rolle von Normen in der Unternehmensführung
Normen sind ein essenzieller Bestandteil des Governance-, Risiko- und Compliance-Managements (GRC). Sie helfen Unternehmen dabei, gesetzliche Vorgaben einzuhalten, mögliche Risiken zu identifizieren und zu steuern sowie insgesamt transparente und effiziente Unternehmensstrukturen zu schaffen.
Normen wie ISO 31000 (Risikomanagement) oder ISO/IEC 27001 (Informationssicherheitsmanagement) bieten dabei erprobte Rahmenwerke, die Unternehmen bei der systematischen Bewältigung operationeller Risiken unterstützen.
Normungsorganisationen
Auf internationaler Ebene sind vor allem die Internationale Organisation für Normung (ISO), die Internationale Elektrotechnische Kommission (IEC) und die Internationale Fernmeldeunion (ITU) maßgeblich an der Entwicklung global anwendbarer Normen beteiligt.
In Europa übernimmt das Europäische Komitee für Normung (CEN) zusammen mit dem Europäischen Komitee für elektrotechnische Normung (CENELEC) und dem Europäischen Institut für Telekommunikationsnormen (ETSI) wesentliche Aufgaben in der europäischen Normungsarbeit.
In Deutschland sind insbesondere das Deutsche Institut für Normung (DIN) sowie die Deutsche Kommission Elektrotechnik Elektronik Informationstechnik im DIN und VDE (DKE) federführend bei der Erstellung und Pflege nationaler Normen.
Harmonisierung der Normen in der EU
Die Harmonisierung von Normen innerhalb der Europäischen Union erfolgt durch die Veröffentlichung sogenannter harmonisierter Normen im Amtsblatt der Europäischen Union (OJEU). Diese Normen unterstützen Unternehmen dabei, Produkte und Dienstleistungen zu entwickeln, die in allen EU-Mitgliedstaaten anerkannt werden und mit den dort geltenden Vorschriften übereinstimmen.
Die Veröffentlichung einer Norm im OJEU signalisiert, dass sie von den EU-Institutionen anerkannt ist. Produkte, die diesen Normen entsprechen, gelten folglich als konform mit relevanten EU-Vorschriften.
Auswahl relevanter Normen im Bereich Cybersicherheit
Im Bereich der Cybersicherheit sind Normen wie ISO/IEC 27001 von großer Bedeutung. Diese Norm bietet einen Rahmen für das Management der Informationssicherheit und hilft Organisationen, sich gegen Sicherheitsbedrohungen zu schützen.
Wichtige, branchenunabhängige Normen für Betreiber sind:
- ISO/IEC 27001: „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen“
Diese Norm definiert Anforderungen für ein Informationssicherheits-Managementsystem (ISMS). Sie bietet einen systematischen Ansatz zur Verwaltung sensibler Unternehmensinformationen und gilt branchenübergreifend. - ISO/IEC 27701: „Sicherheitstechniken – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Management von Informationen zum Datenschutz – Anforderungen und Leitlinien“
Als Erweiterung der ISO 27001 konzentriert sich diese Norm auf den Datenschutz. Sie bietet Richtlinien für die Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Datenschutz-Informations-Managementsystems (PIMS). - ISO 22301: „Sicherheit und Resilienz – Business Continuity Management System – Anforderungen“
Diese Norm legt Anforderungen an ein Business Continuity Management System (BCMS) fest. Sie hilft Organisationen, sich auf Störfälle vorzubereiten, darauf zu reagieren und sich davon zu erholen.
Wichtige Normen für Hersteller von Produkten sind:
- ISO/IEC 15408: „Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre – Evaluationskriterien für IT-Sicherheit“
Diese Normreihe, auch als Common Criteria bekannt, bietet einen Rahmen für die Spezifikation, Implementierung und Evaluierung von Sicherheitsfunktionen in IT-Produkten. Sie wird oft für die Zertifizierung von Sicherheitsprodukten verwendet. - ISO/IEC 30111: „Informationstechnik – IT-Sicherheitsverfahren – Prozesse für die Behandlung von Schwachstellen“
Diese Norm bietet Richtlinien für Organisationen zur Behandlung von Schwachstellen in ihren Produkten und Diensten. Sie beschreibt Prozesse für den internen Umgang mit Sicherheitslücken. - ISO/IEC 29147: „Informationstechnik – Sicherheitstechniken – Offenlegung von Schwachstellen“
Diese Norm enthält Richtlinien für die Offenlegung von Sicherheitslücken. Sie hilft Organisationen, effektive Prozesse für den Empfang und die Verarbeitung von Schwachstellenmeldungen zu etablieren. - EN 18031: „Gemeinsame Sicherheitsanforderungen für Funkanlagen“
Diese Norm beschäftigt sich mit Anforderungen an die Informationssicherheit und den Schutz von personenbezogenen Daten für mit dem Internet verbundenen Funkanlagen (radio equipment).
Darüber hinaus gibt es weitere, branchenspezifische Normen.
Industrie allgemein
- IEC 62443: „IT-Sicherheit für industrielle Automatisierungssysteme“
Diese Normenreihe befasst sich mit der IT-Sicherheit für industrielle Automatisierungs- und Steuerungssysteme (IACS). Sie bietet Richtlinien für Hersteller, Integratoren und Betreiber von Industrieanlagen.
Automobil- und Landmaschinenindustrie
- ISO/SAE 21434: „Straßenfahrzeuge – Cybersecurity-Engineering“
Diese Norm konzentriert sich auf die Cybersecurity in der Automobilindustrie. Sie definiert Anforderungen für Cybersecurity-Risikomanagement in der Fahrzeugentwicklung und während des gesamten Produktlebenszyklus. - ISO 24089: „Straßenfahrzeuge – Entwicklung und Durchführung von Software Updates“
Diese Norm befasst sich mit den Prozessen und Anforderungen für Software-Updates in Fahrzeugen. Sie ist besonders relevant im Kontext der zunehmenden Digitalisierung und Vernetzung von Fahrzeugen. - ISO 24882: „Landmaschinen und Traktoren – Cybersecurity Engineering“
Diese sich ebenfalls in der Entwicklung befindliche Norm soll Anforderungen zur Cybersicherheit landwirtschaftlicher Maschinen festlegen um Sicherheitsrisiken über den gesamten Lebenszyklus zu minimieren.
Bahnindustrie
- CLC/TS 50701: „Bahnanwendungen – Cybersecurity“
Diese technische Spezifikation befasst sich mit der Cybersecurity im Eisenbahnsektor. Sie bietet Richtlinien für die Implementierung von Cybersecurity-Maßnahmen in Bahnsystemen. - IEC 63452: „Bahnanwendungen – Cybersecurity“
Diese sich in der Entwicklung befindliche Norm beschreibt eine einheitliche Methode zur Verwaltung der Cybersicherheit von Bahnsystemen, indem sie die Anforderungen der IEC 62443-Reihe an die spezifischen Anwendungsbereiche und Betriebsumgebungen der Bahn anpasst und synchron mit den RAMS-Lebenszyklen der IEC 62278-Reihe integriert
Maschinenbau
- EN 50742: „Schutz gegen Korrumpierung“
Diese sich in der Entwicklung befindliche Norm beschreibt, wie Maschinen vor absichtlicher und unbeabsichtigter Korrumpierung entsprechend der Maschinenverordnung abgesichert werden können.
Medizintechnik
- IEC 80001-5-1: „Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten – Sicherheit, Effektivität und Daten- und Systemsicherheit bei Implementierung und Gebrauch von eingebundenen Medizinprodukten oder eingebundener Gesundheitssoftware – Teil 5-1: Aktivitäten im Produktlebenszyklus“
Diese Norm bietet Leitlinien für die Cybersecurity von vernetzten medizinischen Geräten. Sie unterstützt Gesundheitsorganisationen bei der Risikobewertung und -minderung. - IEC TR 60601-4-5: „Medizinische elektrische Geräte – Teil 4-5: Leitfaden und Bewertung – Sicherheitsbezogene technische Anforderungen für Security“
Dieser technische Bericht befasst sich mit der Cybersecurity von medizinischen elektrischen Geräten und medizinischen elektrischen Systemen. Er bietet Herstellern Richtlinien zur Berücksichtigung von Cybersecurity-Aspekten.
Internet of Things
- ETSI EN 303 645: „CYBER – Cybersecurity im Konsumenten-Bereich des Internets der Dinge: Mindestanforderungen“
Diese europäische Norm definiert Cybersecurity-Anforderungen für IoT-Geräte für Verbraucher. Sie zielt darauf ab, ein Basisniveau an Sicherheit für diese Geräte zu gewährleisten.
Normen und Standards im Bereich Cybersecurity dienen nicht nur der technischen Qualitätssicherung, sondern sind auch tragende Pfeiler einer wirksamen Unternehmensführung. Sie helfen dabei, regulatorische Anforderungen zu erfüllen, Risiken zu minimieren und das Vertrauen in digitale Produkte und Dienstleistungen zu stärken. Die internationale Zusammenarbeit bei der Normsetzung sowie die Harmonisierung auf EU-Ebene sorgen dafür, dass Unternehmen im globalisierten Markt bestehen können, ohne dabei die Sicherheit aus den Augen zu verlieren.
Unterstützung bei der Umsetzung
Die Vielfalt an Normen und Standards kann für Unternehmen eine Herausforderung darstellen, insbesondere wenn spezifische Anforderungen verschiedener Branchen und Einsatzbereiche berücksichtigt werden müssen. Oft ist eine individuelle Vorgehensweise nötig, um die relevanten Normen richtig zu interpretieren und in bestehende Prozesse zu integrieren.
Ein ganzheitlicher Blick auf die Cybersecurity trägt dazu bei, nicht nur die Einhaltung der geforderten Normen zu gewährleisten, sondern auch die allgemeine Widerstandsfähigkeit gegen Sicherheitsbedrohungen zu erhöhen. Falls Sie unsicher sind, welche Schritte für Ihr Unternehmen die richtigen sind oder wie Sie ein bestehendes Sicherheitskonzept weiter optimieren können, lohnt sich ein unverbindliches Gespräch mit einem erfahrenen Beratungsteam.
Kontaktieren Sie uns für ein Erstgespräch, um gemeinsam zu klären, welche Normen für Ihre Situation relevant sind und wie diese effizient und nachhaltig umgesetzt werden können.