CISIS12 als ISMS im Krankenhaus, ein Pilotprojekt zu CISIS12 und i-Kfz, und natürlich nicht zuletzt der neue CISIS12 extended Katalog – das Programm beim CISIS12 Kundentag am Freitag, 12.05.2023 hatte viele spannende Themen zu bieten. Die Kernbotschaft des Tages war, dass das Entwicklerteam mit den Neuerungen das ISMS noch flexibler und branchenoffener gestaltet hat.
„CISIS12 ist das Launchpad, M24S die Rakete und welchen Sprit Sie dann nehmen, ist egal“, erklärte Frank Moses (Geschäftsführer SlyCon GmbH)aus dem Entwicklerteam beim gut besuchten Kundentag in der TechBase in Regensburg. Was er damit meint ist, dass durch die Entwicklung von CISS12 extended künftig auch weitere Kataloge wie B3S für Krankenhäuser oder das BSI Grundschutzprofil eingebunden werden können. Dass das den Kunden sehr entgegenkommt, zeigen die drei Pilotkunden, Markt Titting, Markt Burgheim und die Stadt Hilpoltstein. Mit Unterstützung durch ihren Berater Ralf Turban (Geschäftsführer Mein Datenschutzberater) haben sie CISIS12 extended das bereits getestet und zeitgleich CISIS12 und das BSI Grundschutzprofil eingeführt, was den Abschluss in einem gemeinsamen Audit gefunden hat. Am CISIS12 Kundentag konnten die Vertreterinnen und Vertreter dann unter dem Applaus der Anwesenden stolz ihre Prüfzertifikate und Konformitätsbescheinigungen entgegennehmen.
„CISIS12 extended stellt eine wichtige Weiterentwicklung in der Geschichte von CISIS12 dar. Damit kann nun die Lücke zum IT-Grundschutz und zur ISO27001 geschlossen werden“, erklärt Sandra Wiesbeck, Geschäftsführerin des IT-Sicherheitsclusters e. V. und freiberufliche Auditorin. Laut Sandra Wiesbeck wird CISIS12 extended ab dem 1. Juni 2023 offiziell veröffentlicht.
Ein weiteres Pilotprojekt aus der öffentlichen Verwaltung stellte Manuela Feese-Zolotnitski (GCS Geno Corporate Services GmbH) gemeinsam mit Matthias Mühlhause (datenschutz cert) vor. Hier ging es um die Einführung von i-Kfz in einem Landratsamt. Ihr Fazit: „CISIS12 hilft in strukturierter Weise, die Anforderungen des Kraftfahrt-Bundesamts umzusetzen.“ Haben Landratsämter bzw. Zulassungsstellen bereits CISIS12 eingeführt, verringere sich der nötige Aufwand für die Einführung des i-Kfz Verfahrens, da ein Großteil mit CISIS12 schon abgedeckt seien, so die Beraterin.
Jetzt CISIS12 einzuführen, um gut aufgestellt zu sein, wenn sich aktuelle Richtlinien und Gesetze verschärfen, ist auch ein Strategie, zu der Thomas Rehbohm (CISO Freie Hansestadt Bremen) rät. Kommende Verschärfungen sieht er beispielsweise in der NIS2 oder der CER-Richtlinie. Deshalb empfiehlt er das ISMS, nicht nur in „seinem“ Bundesland im Norden.
„Sicherheit in Krankenhäusern ist durchaus schaffbar.“ Diese optimistische Botschaft gab Ralf Wildvang (SEMPACON GmbH) den Besucherinnen und Besuchern des CISIS12 Kundentag mit auf den Weg. Dabei sind seine Beobachtungen als Berater doch häufig erst einmal ernüchternd. „Oft wird irgendwas getan, viel Geld ausgegeben, aber letztlich ist kaum Kenntnis da“, so der Geschäftsführer. Deshalb hilft er seinen Kunden, erst einmal die wichtigsten Prozesse zu identifizieren und diese abzusichern. Wenn ein Krankenhaus in den KRITIS-Sektor fällt, was sich über Kennzahlen und Schwellenwerte definiert, dann reicht CISIS12 als ISMS nicht mehr aus. Aber auch hier gilt, einmal eingeführt verringert CISIS12 spürbar den Aufwand für weitere Schritte: „CISIS12-Maßnahmen und B3S-Anforderungen haben eine hohe Schnittmenge“, so Wildvang.
„Der Kundentag zur Weiterentwicklung unseres ISMS hinsichtlich der Skalierbarkeit zu weiteren Standards und Informationssicherheitsanforderungen war ein wichtiger Schritt in Richtung gemeinsamer Fortschritt. Die rege Beteiligung und der Austausch von Erfahrungen haben gezeigt, dass wir auf dem richtigen Weg sind. Gemeinsam werden wir CISIS!2 weiterentwickeln und den Anforderungen der sich stetig verändernden Sicherheitslandschaft gerecht werden. Danke an alle Teilnehmer und Referenten für ihr Engagement und ihre wertvollen Beiträge.“ – Sandra Wiesbeck, Geschäftsführerin des IT-Sicherheitsclusters e.V.