FAQ : Normen
Ist der ANSSI-Leitfaden in der Schweiz anwendbar?
Ja. Obwohl die ANSSI die französische Behörde ist, sind ihre 42 IT-Hygienemassnahmen universell und besonders relevant für frankophone Schweizer KMU. Der Leitfaden ist kostenlos, pragmatisch und kompatibel mit NIST CSF und ISO 27001. Er ist ein ausgezeichneter Ausgangspunkt für Unternehmen in der Westschweiz.
Ist die ISO 27001 in der Schweiz obligatorisch?
Nein, die ISO 27001 ist in der Schweiz nicht gesetzlich vorgeschrieben. Allerdings verlangt das nDSG geeignete technische und organisatorische Massnahmen zum Schutz der Daten. Die ISO 27001 bietet den anerkanntesten Rahmen zum Nachweis dieser Konformität. Einige Branchen (Finanzen, Gesundheit) fordern sie vertraglich.
Können mehrere Rahmenwerke kombiniert werden (ISO, NIST, ANSSI, IKT)?
Ja, diese Rahmenwerke ergänzen sich. Bei Bexxo empfehlen wir einen schrittweisen Ansatz: mit dem Schweizer IKT-Minimalstandard oder dem ANSSI-Leitfaden beginnen, mit dem NIST CSF strukturieren und anschliessend die ISO 27001-Zertifizierung anstreben. Jede Stufe stärkt die vorherige, ohne von vorn beginnen zu müssen.
Schreibt das nDSG eine bestimmte Norm vor?
Nein, das nDSG (neues Schweizer Datenschutzgesetz) schreibt keine bestimmte Norm vor. Es verlangt «geeignete technische und organisatorische Massnahmen». Die ISO 27001, das NIST CSF oder der Schweizer IKT-Minimalstandard sind die anerkanntesten Rahmenwerke, um diese Konformität gegenüber dem EDÖB nachzuweisen.
Was ist EBIOS Risk Manager?
EBIOS Risk Manager ist die Risikoanalysemethode der ANSSI, strukturiert in 5 Workshops: Rahmensetzung, Risikoursachen, strategische Szenarien, operationelle Szenarien und Behandlung. Von französischen Behörden und zahlreichen frankophonen Unternehmen übernommen, ermöglicht sie die Identifikation der realistischsten Bedrohungen und die Priorisierung von Sicherheitsinvestitionen.
Was ist der Schweizer IKT-Minimalstandard?
Der IKT-Minimalstandard ist ein Rahmenwerk, das vom BWÖL (Bundesamt für wirtschaftliche Landesversorgung) in Zusammenarbeit mit dem NCSC entwickelt wurde. Er definiert 106 Massnahmen basierend auf dem NIST CSF, angepasst an den Schweizer Kontext. Kostenlos und auf Deutsch, Französisch und Italienisch verfügbar, enthält er ein Excel-Tool zur Selbstbewertung.
Was ist der Unterschied zwischen ISO 27001 und ISO 27002?
Die ISO 27001 definiert die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) und ermöglicht die Zertifizierung. Die ISO 27002 ist ein Leitfaden für bewährte Verfahren, der die Umsetzung der 93 Kontrollen des Anhangs A detailliert. Kurz gesagt: 27001 sagt «was zu tun ist», 27002 sagt «wie es zu tun ist».
Was kostet eine ISO 27001-Zertifizierung für ein KMU?
Zwischen 10 000 und 50 000 CHF für ein Schweizer KMU, je nach Grösse und Komplexität. Dieser Preis umfasst die Vorbereitung (Gap-Analyse, ISMS-Einführung) und das Zertifizierungsaudit durch eine akkreditierte Stelle. Die Erneuerung alle 3 Jahre kostet in der Regel 30 bis 50 % der ursprünglichen Kosten.
Was sind die 5 Funktionen des NIST CSF?
Die 5 Funktionen des NIST Cybersecurity Frameworks sind: Identifizieren (Vermögenswerte und Risiken verstehen), Schützen (Zugangskontrolle, Verschlüsselung), Erkennen (Überwachung, Warnmeldungen), Reagieren (Interventionsplan, Kommunikation) und Wiederherstellen (Wiederherstellung, gewonnene Erkenntnisse). Jede Funktion wird auf einem Score von 0 bis 4 bewertet.
Welche Cybersicherheitsstandards sind unerlässlich?
Zu den wichtigsten gehören ISO 27001, NIST, nLPD, DSGVO und PCI-DSS. Sie bieten robuste Rahmenbedingungen, um Ihre Systeme zu sichern und den Schutz von Daten zu gewährleisten.
Wie lange dauert es, die ISO 27001-Zertifizierung zu erhalten?
Im Durchschnitt 6 bis 12 Monate für ein Schweizer KMU, abhängig von der vorhandenen Reife. Der Prozess umfasst die Gap-Analyse (1-2 Monate), die ISMS-Einführung (3-6 Monate), das interne Audit (1 Monat) und das Zertifizierungsaudit (1-2 Monate). Bexxo begleitet seine Kunden auf dem gesamten Weg.
Wie unterstützt Bexxo Sie bei der Einhaltung dieser Normen?
Wir führen eine umfassende Bewertung Ihrer Situation durch, identifizieren die Abweichungen und schlagen einen konkreten Aktionsplan vor, um Ihre Praktiken an die erforderlichen Standards anzupassen.