Die Herausforderung: Mehrere Frameworks, begrenzte Ressourcen
Ihre Organisation benötigt ISO 27001 für Kundenzwecke. NIS2 gilt, da Sie als wesentliche Einrichtung klassifiziert sind. Die DSGVO ist Gesetz. Und jetzt fragt der amerikanische Kunde nach SOC 2.
Jedes Framework hat seine Controls, seine Terminologie, seine Dokumentationsanforderungen. Die separate Verwaltung bedeutet Doppelarbeit, inkonsistente Dokumentation und Burnout.
Die Lösung: Control-Mapping — Identifizierung von Überschneidungen und einmalige Implementierung gemeinsamer Controls.
Überschneidungen zwischen Frameworks
Wie stark überschneiden sie sich?
| Framework A | Framework B | Überschneidung |
|---|---|---|
| ISO 27001 | NIS2 | ~70% |
| ISO 27001 | SOC 2 | ~60% |
| ISO 27001 | DSGVO | ~50% |
| NIS2 | DSGVO | ~40% (Incident Reporting, Sicherheitsmaßnahmen) |
| SOC 2 | ISO 27001 | ~60% |
Implikation: Wenn Sie ISO 27001 implementiert haben, haben Sie bereits die Mehrheit anderer Frameworks abgedeckt. Was fehlt, sind framework-spezifische Ergänzungen.
Was ist Control-Mapping?
Control-Mapping bedeutet, Controls aus einem Framework mit entsprechenden Controls in anderen Frameworks zu verknüpfen. Es zeigt, welche Anforderungen durch dieselbe Maßnahme abgedeckt werden.
Beispiel: Zugriffskontrolle
| Framework | Control/Anforderung | Anforderung kurz |
|---|---|---|
| ISO 27001 | A.5.15-A.5.18 | Zugriffskontroll-Richtlinie, Zugriffsmanagement |
| NIS2 | Art. 21.2i | Zugriffskontrolle und Asset-Management |
| DSGVO | Art. 32.1b | Fähigkeit zur Gewährleistung der Vertraulichkeit |
| SOC 2 | CC6.1-CC6.8 | Logical and physical access controls |
Schlussfolgerung: Eine gut implementierte Zugriffskontroll-Richtlinie mit zugehörigen Prozessen erfüllt alle vier Frameworks. Einmal dokumentieren, zu allen mappen.
Mapping-Prozess
- Alle anwendbaren Frameworks auflisten Welche Frameworks müssen Sie befolgen? Regulatorische (NIS2, DSGVO), Kundenanforderungen (ISO 27001, SOC 2), branchenspezifische? Erstellen Sie eine vollständige Liste.
- Einzigartige Anforderungen pro Framework inventarisieren Listen Sie alle Controls/Anforderungen aus jedem Framework auf. ISO 27001 hat 93 Controls in Annex A. NIS2 hat 10 Bereiche in Artikel 21. DSGVO hat spezifische Artikel. Dies wird Ihr gesamtes Control-Universum.
- Gemeinsame Controls identifizieren Gehen Sie durch und gruppieren Sie Controls, die denselben Bereich adressieren. Zugriffskontrolle? Gruppieren Sie alle Framework-Anforderungen zur Zugriffskontrolle. Incident Management? Dasselbe.
- Master Control Framework erstellen Erstellen Sie ein internes Framework mit konsolidierten Controls. Jedes Control deckt Anforderungen aus mehreren Frameworks ab. Dies wird Ihre Single Source of Truth.
- Implementieren und dokumentieren Implementieren Sie die Controls einmal — aber dokumentieren Sie, welche Framework-Anforderungen jedes Control erfüllt. Eine Richtlinie, mehrere Mappings.
- Für mehrere Frameworks nachweisen Bei Revisionen oder Audits zeigen Sie dieselben Nachweise, aber gemappt zu den jeweiligen Frameworks. Der Prüfer bekommt, was er braucht, Sie vermeiden Doppelarbeit.
Beispiel: ISO 27001 → NIS2 Mapping
Wie ISO 27001 Annex A gegen NIS2 Artikel 21 mappt:
| NIS2 Artikel 21 | ISO 27001 Annex A |
|---|---|
| a) Risikoanalyse und Sicherheitspolitik | A.5.1-A.5.4 (Policies), A.5.7 (Threat Intelligence) |
| b) Incident Handling | A.5.24-A.5.28 (Incident Management) |
| c) Business Continuity | A.5.29-A.5.30 (Kontinuität), A.8.13-A.8.14 (Backup) |
| d) Supply Chain Security | A.5.19-A.5.23 (Lieferantenbeziehungen) |
| e) Sicherheit bei Beschaffung | A.5.8 (Projekte), A.8.25-A.8.34 (Entwicklung) |
| f) Bewertung von Maßnahmen | A.5.35-A.5.36 (Überprüfung) |
| g) Cyber-Hygiene und Schulung | A.6.3 (Awareness), A.6.6 (Remote Working) |
| h) Kryptographie | A.8.24 (Kryptographie) |
| i) Personalressourcen und Zugriff | A.6.1-A.6.2 (Screening), A.5.15-A.5.18 (Zugriff) |
| j) Multi-Faktor-Authentifizierung | A.8.5 (Authentifizierung) |
Ergebnis: ISO 27001-zertifizierte Organisation hat ~70-80% von NIS2 abgedeckt. Gap-Analyse identifiziert den Rest.
Was überschneidet sich NICHT?
24 Stunden für erste Warnung ist spezifisch für NIS2. ISO 27001 erfordert keine spezifischen Zeitrahmen.
Verzeichnis der Verarbeitungstätigkeiten (Art. 30) ist DSGVO-spezifisch. Überschneidung mit Asset-Register, aber nicht identisch.
Availability und Processing Integrity haben spezifische Kriterien, die über ISO 27001 hinausgehen.
Explizite Anforderung, dass die Führung Sicherheitsschulungen durchläuft. Spezifischer als ISO 27001.
Master Control Framework in der Praxis
Struktur für ein konsolidiertes Control:
CONTROL: Zugriffskontrolle
─────────────────────────
Beschreibung:
Systematisches Management von Benutzerberechtigungen basierend auf
dem Prinzip der geringsten Berechtigung.
Richtlinie: P-AC-001 Zugriffskontroll-Richtlinie
Prozesse:
- Onboarding/Offboarding
- Berechtigungsüberprüfungen (quartalsweise)
- Privilegierter Zugriff
Mapping:
├── ISO 27001: A.5.15, A.5.16, A.5.17, A.5.18
├── NIS2: Artikel 21.2i
├── DSGVO: Artikel 32.1b
└── SOC 2: CC6.1, CC6.2, CC6.3
Nachweise:
- Zugriffskontroll-Richtlinie (Dokument)
- Berechtigungsüberprüfungsberichte (quartalsweise)
- AD-Konfiguration (Screenshot/Export)
- Offboarding-Checkliste (Beispiel)
Vorteile: Ein Control, eine Implementierung, eine Nachweissammlung — aber Nachweis für vier Frameworks.
Effizienzgewinne
Konkrete Einsparungen:
| Aktivität | Ohne Mapping | Mit Mapping | Einsparung |
|---|---|---|---|
| Richtlinienerstellung | 4 Versionen | 1 Version + Mapping | 75% |
| Nachweissammlung | 4 Sammlungen | 1 Sammlung | 75% |
| Audit-Vorbereitung | 4 Pakete | 1 Paket + Mapping-Matrizen | 60% |
| Laufende Wartung | 4 Updates | 1 Update | 75% |
| Gap-Analysen | 4 separate | 1 konsolidierte | 60% |
Geschätzte Gesamtzeiteinsparung: 40-60% für Organisationen mit 3+ Frameworks.
Fallstricke, die es zu vermeiden gilt
Nicht alle Frameworks sind identisch. Ein Mapping sollte Überschneidungen zeigen — aber auch Unterschiede und erforderliche Ergänzungen verdeutlichen.
Frameworks werden aktualisiert. ISO 27001:2022 unterscheidet sich von 2013. Das Mapping muss bei Änderungen gepflegt werden.
Dasselbe Control kann je nach Framework unterschiedliche Ebenen erfordern. "Verschlüsselung" kann in verschiedenen Kontexten unterschiedliche Bedeutungen haben.
GRC-Tools mit eingebautem Mapping sind gut — aber Sie müssen die Logik verstehen. Das Tool sollte unterstützen, nicht Ihr Verständnis ersetzen.
Praktische Tipps
Beginnen Sie mit dem, was Sie haben
Wenn Sie bereits ISO 27001 haben, nutzen Sie es als Basis und mappen andere Frameworks daran. Sie müssen nicht von Grund auf neu aufbauen.
Unterschiede klar dokumentieren
Notieren Sie in jedem Mapping, was für das jeweilige Framework einzigartig ist. “NIS2 erfordert zusätzlich X” ist wichtige Information.
Die richtigen Personen einbeziehen
Rechtsabteilung für DSGVO-Interpretation, IT-Sicherheit für technische Controls, Fachbereiche für Prozessverständnis. Multi-Framework erfordert funktionsübergreifende Arbeit.
Wo möglich automatisieren
GRC-Systeme mit eingebautem Control-Mapping sparen enorm viel Zeit. Manuelles Mapping in Excel funktioniert — skaliert aber schlecht.
Typische Mapping-Journey
Typische Progression für deutsche Organisation:
Jahr 1: DSGVO-Anpassung (2018)
- Grundlegender Datenschutz
- Verzeichnis der Verarbeitungstätigkeiten
- Einwilligung und Rechte
Jahr 2-3: ISO 27001-Zertifizierung
- Managementsystem für Informationssicherheit
- 93 Controls in Annex A
- Externe Auditierung und Zertifikat
Jahr 4: NIS2-Anpassung (2024-2025)
- Gap-Analyse gegen ISO 27001
- Ergänzungen: Incident Reporting, Managementverantwortung
- Mapping gegen bestehende Controls
Jahr 5+: SOC 2 / branchenspezifische
- Kundengetriebene Erweiterung
- Mapping gegen bestehende Basis
- Effizient mit Master Control Framework
Wie Securapilot helfen kann
Securapilot ist für Multi-Framework-Compliance entwickelt:
- Eingebautes Control-Mapping — Überschneidungen zwischen Frameworks sehen
- Master Control Framework — Ein Control, mehrere Mappings
- Nachweisteilung — Dieselben Nachweise für mehrere Frameworks
- Gap-Analyse — Identifizieren, was pro Framework fehlt
- Berichterstattung — Compliance-Status pro Framework in einem Dashboard
Buchen Sie eine Demo und sehen Sie, wie wir Multi-Framework-Compliance vereinfachen.
Häufig gestellte Fragen
Muss ich mehrere Frameworks befolgen?
Das hängt von Branche, Geografie und Kunden ab. Viele deutsche Organisationen benötigen mindestens NIS2UmsuCG (Gesetz), DSGVO (Gesetz) und ISO 27001 (Kundenanforderungen). B2B-SaaS fügt oft SOC 2 hinzu.
Mit welchem Framework soll ich beginnen?
Beginnen Sie mit dem, was den größten Handlungsdruck hat — oft eine Kundenanforderung oder gesetzliche Verpflichtung. ISO 27001 bietet eine breite Grundlage. NIS2/DSGVO sind rechtlich bindend.
Was ist ein 'Master Control Framework'?
Ein internes Framework, das alle Controls aus Ihren anwendbaren Frameworks konsolidiert. Sie implementieren Controls einmal und mappen dann Nachweise zu den jeweiligen Frameworks.
Wie vermeide ich Doppelarbeit?
Durch Identifikation gemeinsamer Controls und deren Verknüpfung. Eine Zugriffskontroll-Richtlinie erfüllt Anforderungen in ISO 27001, NIS2, DSGVO und SOC 2 — dokumentieren Sie dies entsprechend.
