Was bedeutet „Elektronisches Informationssystem“?

Ein elektronisches Informationssystem (EIS) ist ein komplexes System aus technischen und menschlichen Komponenten, das zur Erfassung, Verarbeitung, Speicherung, Übertragung oder Verwaltung digitaler Daten dient. Der Begriff ist besonders relevant im Bereich der Informations- und Cybersicherheit – insbesondere im Zusammenhang mit Regulierungen wie der NIS2-Richtlinie oder der ISO 27001.

Ein EIS umfasst nicht nur Hard- und Software, sondern auch die Personen, die das System bedienen oder darauf zugreifen – also Nutzer, die Einfluss auf Sicherheit und Funktionalität des Systems nehmen.

Technische Komponenten eines EIS

Ein elektronisches Informationssystem besteht typischerweise aus drei Hauptkomponenten:

Elektronische Kommunikationsnetze: Dazu gehören alle Infrastrukturen zur Datenübertragung, z. B. das Internet, Festnetz- und Mobilfunknetze oder unternehmensinterne Netzwerke (LAN, VPN).

Digitale Geräte und Systeme: Computer, Server, smarte Endgeräte, industrielle Steuerungssysteme, Sensoren – alle Hardwarekomponenten, die Daten automatisch gemäß vorab definierter Logik verarbeiten.

Digital verwaltete Daten: Informationen, die vom System erstellt, verarbeitet, gespeichert oder übermittelt werden – sowohl strukturierte (z. B. Datenbanken) als auch unstrukturierte Daten (z. B. Dokumente, E-Mails).

Der Nutzer als Risikofaktor und Sicherheitsaspekt

Obwohl das EIS technisch definiert ist, betrachten moderne Sicherheitsstandards wie NIS2 auch den menschlichen Faktor als zentralen Bestandteil. Nutzer, Administratoren, Betreiber oder externe Dienstleister stellen potenzielle Schwachstellen dar. Daher gilt:

• Sicherheitsmaßnahmen müssen Zugriffsrechte, Identitätsprüfung und Protokollierung abdecken.
• Regelmäßige Schulungen und Sensibilisierung der Nutzer sind essenziell.
• Menschliche Fehler oder vorsätzliche Handlungen müssen bereits bei der Sicherheitsplanung berücksichtigt werden.

Warum ist die Definition des EIS im Kontext von NIS2 wichtig?

Die NIS2-Richtlinie, die seit 2023 gilt, hat das Ziel, die Cybersicherheitsresilienz auf EU-Ebene zu stärken. Dafür ist eine klare Definition, der Schutz und die Überwachung elektronischer Informationssysteme unerlässlich. Organisationen im Geltungsbereich – z. B. Energieversorger, Banken, Gesundheitseinrichtungen oder Verkehrsunternehmen – müssen risikobasierte Sicherheitsmaßnahmen für alle Systeme mit kritischen Informationen umsetzen.

In diesem Kontext gilt das EIS als reguliertes Objekt. Zum Beispiel:

• Ein industrielles Steuerungssystem eines Logistikunternehmens samt Datenerfassungsnetzwerk gilt als EIS.
• Ein cloudbasiertes CRM-System zur Verarbeitung sensibler Daten fällt ebenfalls unter den EIS-Begriff.

EIS ist mehr als nur ein technisches Thema

Der Begriff „elektronisches Informationssystem“ geht über das klassische Verständnis von „IT-System“ hinaus. Für digital operierende Organisationen stellt das EIS eine komplexe Infrastruktur mit technologischen, organisatorischen, regulatorischen und menschlichen Komponenten dar.

Daher sollten Unternehmen regelmäßig EIS-bezogene Risiken, Zuständigkeiten und Sicherheitsmaßnahmen überprüfen und dokumentieren.

Offizielle Definition

Ein elektronisches Informationssystem ist eine Gesamtheit von Systemen – einschließlich Kommunikationsnetzen, IT-Geräten und den von ihnen verwalteten Daten –, die zur automatischen Datenverarbeitung und zum Datenaustausch geeignet sind. Nach gängiger Informationssicherheitsregulierung gehören auch Nutzer, die das System betreiben oder darauf zugreifen, zum System selbst.

Weiter zum Glossar