Der endgültige Wortlaut des neuen Cybersicherheitsgesetzes ist noch nicht in Sicht. Die Verschiebung des Beginns der Vorbereitungen der Unternehmen auf seine Erfüllung wird zumindest teurer, wenn die entsprechenden Ressourcen überhaupt in der erforderlichen Zeit auf dem Markt verfügbar sind.
Es ist auch möglich, mit der Erstellung der von der ISO/IEC 27001:2022 geforderten Dokumente zu beginnen, da diese bereits klar definiert sind und auch zur Erfüllung der Verpflichtungen aus dem neuen Cybersicherheitsgesetz und Durchführungsverordnungen verwendet werden können.
Nach ISO/IEC 27001:2022 müssen mindestens folgende Dokumente (ausgenommen Dokumente, die sich aus den Anhängen ergeben) vorhanden sein:
Geltungsbereich des ISMS (Abschnitt 4.3)
Richtlinie zur Informationssicherheit (Abschnitt 5.2)
Risikobewertung und Risikobehandlungsprozess (Abschnitt 6.1.2)
Erklärung zur Anwendbarkeit (Abschnitt 6.1.3)
Risikobehandlungsplan (Abschnitte 6.1.3, 6.2 und 8.3)
Ziele der Informationssicherheit (Abschnitt 6.2)
Risikobewertung und Behandlungsbericht (Abschnitte 8.2 und 8.3)
Überblick über alle relevanten gesetzlichen, regulatorischen und vertraglichen Anforderungen, die Einfluss auf die Informationssicherheitsstrategie und das ISMS haben (Abschnitt 18.1)