Brain-Media.de/Compliance-Lexikon/NIS-2 Risikomanagement
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · NIS-2

NIS-2 Risikomanagement

auch: risikobasierter Ansatz nach NIS-2

NIS-2 Risikomanagement bezeichnet den von § 30 BSIG geforderten risikobasierten Ansatz, bei dem Sicherheitsmassnahmen auf Basis einer systematischen Risikoanalyse ausgewaehlt und dimensioniert werden - verhaeltnismaessig zur Groesse der Einrichtung, zum Risiko der genutzten Systeme und zur Wahrscheinlichkeit und Schwere moeglicher Sicherheitsvorfaelle.

Warum NIS-2 keinen Einheitsmassstab vorgibt

NIS-2 verlangt nicht, dass alle Organisationen identische Massnahmen umsetzen - sie verlangt einen risikobasierten Ansatz: Massnahmen muessen der Groesse der Einrichtung und dem Risiko ihrer Systeme angemessen sein. Das bedeutet konkret: Eine systematische Risikoanalyse ist die Voraussetzung, nicht das Ergebnis der Massnahmenplanung. Ohne dokumentierte Risikoanalyse fehlt die Begruendung fuer jede Massnahmenauswahl.

Wo der risikobasierte Ansatz gefordert wird

FrameworkReferenzAnforderung
NIS-2 / BSIG§ 30 Abs. 1Risikobasierter Ansatz: Massnahmen muessen dem Risiko angemessen sein.
NIS-2-Richtlinie (EU) 2022/2555Art. 21 Abs. 1Verhaeltnismaessigkeitsprinzip: Massnahmen orientieren sich an Risikoexposition und Unternehmensgroesse.
ISO 27005vollstaendigInternationale Methodik fuer Informationssicherheitsrisikomanagement als Umsetzungsrahmen.
BSI 200-3vollstaendigBSI-Risikoanalysemethodik als alternativer, deutschlandspezifischer Ansatz.
ENISARisk Management GuidelinesEuropaeische Leitlinien zur Umsetzung des risikobasierten NIS-2-Ansatzes.

BAM-Objektreferenz

BAM-Objekt NIS2-RM-01
BeschreibungNIS-2-Risikomanagement mit dokumentiertem, risikobasiertem Sicherheitskonzept
GitHubBAM Core →

Haeufige Fehler

  • Massnahmen ohne vorausgehende Risikoanalyse implementiert (Checkbox-Ansatz)
  • Keine dokumentierte Methodik fuer die Risikobewertung
  • Risikoanalyse nicht regelmaessig aktualisiert
  • Verhaeltnismaessigkeitspruefung nicht dokumentiert - Begruendung fuer Massnahmenauswahl fehlt

Vom Risiko zur Massnahme

Ein wirksames NIS-2-Risikomanagement beginnt mit der Identifikation aller kritischen Systeme und Prozesse, bewertet deren Bedrohungsexposition und Schadenspotenzial und leitet daraus angemessene Massnahmen ab. Diese Kette muss nachvollziehbar dokumentiert sein: Welches Risiko adressiert welche Massnahme? Diese Nachweisbarkeit ist bei aufsichtlichen Pruefungen durch das BSI ein zentraler Pruefpunkt.

Naechster Schritt

NIS-2-Stresstest starten

Kostenloser Compliance-Stresstest zum Risikomanagement-Ansatz.

Verwandte Begriffe

Risk AssessmentNIS-2 MindestmassnahmenRisk Treatment

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper