Der Status eines zertifizierten Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001 wird erst durch ein externes Audit erreicht, das von unabhängigen Auditoren einer akkreditierten Zertifizierungsstelle durchgeführt wird. Zur Aufrechterhaltung der Zertifizierung ist dieses Audit jährlich zu wiederholen, wobei der Umfang der Überprüfung variiert. Zum Bestehen des externen Audits muss wiederum im Vorfeld ein internes Audit zu Erfüllung […]
ISMS
KRITIS-Dachgesetz: Bundeskabinett beschließt Gesetzesentwurf
Am 10.09.2025 hat das Bundeskabinett den Entwurf für das KRITIS-Dachgesetz (KRITISDachG) beschlossen, das im derzeitigen Gesetzesentwurf als „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ firmiert. Strengere Vorgaben für Betreiber kritischer Anlagen – etwa in der Energieversorgung, im Transport- oder Gesundheitswesen – sollen Deutschland besser vor Sabotage, Terroranschlägen und […]
NIS2 in Deutschland – Anspruch, Umsetzung und Realität einer europäischen Sicherheitsrichtlinie
Seit dem 16. Januar 2023 ist die NIS-2-Richtlinie (EU) 2022/2555 auf europäischer Ebene in Kraft. Sie hat zum Ziel, die Cybersicherheitsanforderungen für kritische und wirtschaftlich bedeutende Einrichtungen in zentralen, EU-weit geltenden Vorgaben zu vereinheitlichen. Ihr Anspruch ist hoch: mehr Schutz, mehr Transparenz, mehr Resilienz – europaweit und branchenübergreifend. Doch knapp zwei Jahre später zeigt sich: […]
ISO/IEC 27001 vs. NIST und SOC 2®: Ein Vergleich
In einer zunehmend digitalisierten Welt hat die Informationssicherheit eine immer höhere Relevanz. Unternehmen sind gefordert, ihre Daten zu schützen und gleichzeitig Anforderungen von Kunden, Partnern und Regulierungsbehörden zu erfüllen. In diesem Zusammenhang sind Standards wie ISO/IEC 27001, die Frameworks des NISTs (National Institute of Standards and Technology) und SOC 2® (Service Organization Control 2) von […]
Datenschutz-Management nach ISO/IEC 27701
Für unser Team aus der Informationssicherheit sind Normen wie die ISO/IEC 27001 unser Tagesgeschäft. Was für Außenstehende nur wie eine Aneinanderreihung von schwammigen Regelungen aussieht, ist in Wirklichkeit der Aufbau eines strukturierten Managementsystems für die Informationssicherheit (kurz ein ISMS), individuell anpassbar auf die Branche, Größe und Kronjuwelen des jeweiligen Unternehmens. Auch andere Bereiche haben analoge […]
„sicher & resilient“: Anforderungen und Umsetzung des NIS2UmsuCG – Teil 2
Im zweiten Teil unserer Blogreihe „sicher & resilient“ befassen wir uns mit den Anforderungen und der Umsetzung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, kurz NIS2UmsuCG (Regierungsentwurf vom 22.07.2024, das Gesetz ist noch nicht verkündet). Das NIS2UmsuCG markiert einen Meilenstein für die Cybersicherheitsstrategie in Deutschland. Es setzt die EU-Richtlinie NIS 2 national um und verpflichtet Betreiber kritischer und […]
„sicher & resilient“: NIS2UmsuCG, KRITIS-Dachgesetz und Cyber Resilience Act (CRA) – Teil 1
In unserer Blogreihe „sicher & resilient“ möchten wir Ihnen einen Überblick über die neuen Anforderungen aus dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), dem KRITIS-Dachgesetz und dem Cyber Resilience Act (CRA) geben. Wir beleuchten dabei die Synergien dieser Regelwerke und zeigen praktische Herausforderungen für den Umsetzungs- und Auditierungsprozess auf. Die Sicherheit kritischer Infrastrukturen und digitaler Produkte steht […]
RUN – Neue Prüfvorgaben des BSI
Das „RUN“-Dokument – steht für „Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung“ – des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde am 2. Januar 2025 in Version 1.0 veröffentlicht (vgl. Mitteilung des BSI). Es bietet einen einheitlichen und strukturierten Ansatz, um die Umsetzung der Anforderungen aus § 8a BSIG zu bewerten. Dieser Blogbeitrag beschreibt […]
Verarbeitung von Sozial- und Gesundheitsdaten in der Cloud: Mehraufwand durch C5-Testat?
Seit dem 01. Juli 2024 ist der §393 SGB V „Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung“ gültig. Hierin beschreibt der Gesetzgeber IT-Sicherheitsanforderungen an Cloud-Computing-Dienste betreffend der Verarbeitung von Sozial- und Gesundheitsdaten. Das kann z. B. Cloud-Anbieter betreffen, deren Kunden Ärzt*innen, Krankenhäuser, Therapeut*innen, Apotheken oder Kranken- und Pflegekassen bzw. Dienstleister, die im Auftrag Sozial- und Gesundheitsdaten prozessieren, sind. Demnach […]
Sicherheit von Industriesteuerungen
Galten industrielle Steuerungssysteme (Industrial Control Systems, ICS) und Betriebstechnologie (Operation Technology, OT) gegenüber äußeren Angriffen von Hackern durch ihre physische sowie logische Trennung vom Internet oder den Unternehmensnetzen als geschützt, geht in Zeiten der Industrie 4.0 dieser „natürliche“ Schutz immer mehr verloren. Anlagen werden vernetzt, können untereinander kommunizieren und werden nicht selten aus der Ferne […]
§ 11 Abs. 1b EnWG-Akkreditierung – los geht’s!
Die datenschutz cert GmbH ist als erste Zertifizierungsstelle* von der Deutschen Akkreditierungsstelle (DAkkS) für die Zertifizierung von Energieanlagenbetreibern gemäß IT-Sicherheitskatalog gemäß § 11 Abs. 1b EnWG akkreditiert worden. Damit können nun endlich Kraftwerksbetreiber ihrer Verpflichtung aus dem IT-Sicherheitskatalog nachkommen, ein Informationssicherheits-Managementsystem (ISMS) einzuführen und zertifizieren zu lassen. Kritische Infrastrukturen (KRITIS) sind verstärkt Cyberangriffen ausgesetzt. Eine […]
Bilgi Güvenliği Yönetimi Sistemi (BGYS)
Bilgi güvenliği, bir organizasyonun varlıklarının (bilgi, donanım, yazılım vb.) gizliliğini, bütünlüğünü ve erişilebilirliğini korumak için alınan önlemleri ifade eder. BGYS, bilgi güvenliği risklerini yönetmek ve korumak için bir çerçeve sağlar. Almanca karşılığına Informationssicherheits-Managementsystem diyebileceğimiz ve ingilizceye Information Security Management System olarak çevirip ISMS olarak kısaltabilecegimiz BGYS, bir organizasyonun bilgi varlıklarının yönetimini, risk analizlerini, riskleri azaltmak […]
Langersehnt, endlich da: die neue ISO/IEC 27001:2022!
Im Oktober 2022 wurde eine neue Version des De-Facto-Standards der Informationssicherheit veröffentlicht: die ISO/IEC 27001:2022, welche Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) formuliert. Die 2022er-Version löst damit die 2017er-Version (ISO/IEC 27001:2013 inkl. der beiden Corrigenda) ab. Was ist neu? Und was kommt auf nach ISO/IEC 27001 zertifizierte Kunden jetzt zu? Dazu finden Sie Informationen in diesem […]
„Informationssicherheit – Ein ganzheitlicher Ansatz“
Am 10.02.2022 war Christopher Stradomsky, Informationssicherheitsexperte Audits/Zertifizierungen bei der datenschutz cert GmbH, zu Gast beim ersten lmbit B3S Krankenhaus-Stammtisch. Seinen Impulsvortag zum Thema „Informationssicherheit – Ein ganzheitlicher Ansatz“ können Sie sich in voller Länge als Video bei YouTube ansehen. Kurzfassung des Impulsvortrages: Im Vortag von Christopher Stradomsky geht es darum, Informationssicherheit in Unternehmen und Organisationen […]
„5.7 Threat intelligence“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
Die Norm ISO/IEC 27002 ist in einer neuen Version erschienen, wie im Artikel „Die neue ISO/IEC 27002“ vom 13.04.2022 in diesem Blog dargestellt. Neben der Neustrukturierung wurden auch vollständig neue Referenzmaßnahmen (auch „Control“ genannt) eingeführt, die in dieser Blogreihe vorgestellt werden. Das erste der neuen Controls, „5.7 Threat intelligence“, befasst sich mit der zielgerichteten Sammlung, […]
1 2