Viele Unternehmen denken bei NIS-2 zuerst an ein paar zusätzliche Sicherheitsmaßnahmen oder an ein neues Risiko-Register. Das greift zu kurz. NIS-2 verlangt ein dokumentiertes, geeignetes, verhältnismäßiges und wirksames Risikomanagement für Cybersicherheit. Das BSI beschreibt diese Pflicht inzwischen ausdrücklich so und ordnet die Verantwortung dafür klar der Geschäftsleitung zu.
Die kurze Antwort
Wenn Sie NIS-2-Risikomanagement sauber aufsetzen wollen, reicht es nicht, einmal im Jahr ein paar Risiken zu sammeln. Sie brauchen einen Ansatz, der Risiken identifiziert, bewertet, behandelt, dokumentiert und regelmäßig überprüft. ENISA beschreibt dafür in der aktuellen technischen Umsetzungsleitlinie unter anderem Anforderungen an eine übergeordnete Sicherheitsrichtlinie, eine Risikomanagement-Policy, Incident Handling, Business Continuity, Lieferkettensicherheit, sichere Entwicklung und Wirksamkeitsbewertung.
NIS-2 meint nicht nur Risiken aufschreiben"
Der erste Denkfehler ist, Risikomanagement mit einer Tabelle zu verwechseln. Ein paar Eintrittswahrscheinlichkeiten und Schadenshöhen in Excel sind noch kein belastbares NIS-2-Risikomanagement. Alle relevanten Einrichtungen müssen ein angemessenes Risikomanagement-Framework etablieren und pflegen, Risiken dokumentiert bewerten und daraus Maßnahmen ableiten. Das ist deutlich mehr als eine lose Sammlung von Befürchtungen.
Worum es beim NIS-2-Risikomanagement wirklich geht
Im Kern geht es um eine einfache Frage: Was kann Ihre Netz- und Informationssysteme so beeinträchtigen, dass Ihr Unternehmen, Ihre Kunden oder Ihre Leistungen ernsthaft Schaden nehmen? Genau deshalb ist der Blick unter NIS-2 breiter als klassische IT-Sicherheit im engeren Sinn. Das zeigt sehr klar: NIS-2 will keine isolierte Technikübung, sondern ein belastbares Steuerungssystem.
Der All-Gefahren-Blick bleibt wichtig
Ein gutes NIS-2-Risikomanagement schaut nicht nur auf Hackerangriffe. Es muss auch Ausfälle, Fehlkonfigurationen, Lieferantenprobleme, Betriebsunterbrechungen, unklare Verantwortlichkeiten oder Schwächen in Entwicklung und Wartung mitdenken. Genau deshalb ist NIS-2-Risikomanagement in der Praxis immer auch Betriebs- und Führungsfrage und nicht nur ein Security-Thema für Spezialisten.
Ohne klare Verantwortlichkeit wird das nichts
Das BSI betont ausdrücklich, dass die Verantwortung für Umsetzung und Überwachung der Risikomanagementmaßnahmen bei der Geschäftsleitung liegt. Gleichzeitig hebt das BSI in seiner Handreichung zur Geschäftsleitungsschulung hervor, dass Cybersicherheit integraler Bestandteil der Geschäfte und des Risikomanagements sein muss. Das ist ein wichtiger Punkt: NIS-2-Risikomanagement ist kein Thema, das man einfach an die IT "wegdelegiert".
Ein brauchbarer Start sieht meist so aus
Wenn Unternehmen das Thema sinnvoll angehen, dann meist in dieser Reihenfolge:
1. Kritische Informationen, Systeme und Abhängigkeiten sichtbar machen
Sie können nur Risiken steuern, die Sie überhaupt in den Blick bekommen. Dazu gehören nicht nur Systeme, sondern auch Dienste, Lieferanten, Schnittstellen, kritische Daten und betriebliche Abhängigkeiten. Asset Handling und Asset Classification gehört ausdrücklich als Teil der Maßnahme dazu.
2. Relevante Bedrohungen und Schwachstellen bestimmen
Danach geht es darum, realistische Bedrohungen und Schwachstellen zu benennen: Ausfall, Fehlbedienung, Schadsoftware, kompromittierte Konten, schwache Prozesse, problematische Lieferanten, fehlende Redundanz oder mangelhafte Reaktion im Vorfall. Das Ziel ist nicht Vollständigkeitswahn, sondern ein realistisches Bild der größten Risiken. Diese Herleitung folgt aus dem von ENISA geforderten Risk Management Framework.
3. Risiken bewerten und priorisieren
Nicht alles ist gleich kritisch. Wer NIS-2 sauber umsetzt, priorisiert: Was bedroht wirklich die wesentlichen Leistungen, Systeme und Daten? Wo ist der größte Schaden zu erwarten? Was ist bloß unschön, und was ist wirklich kritisch? ENISA verlangt dokumentierte Risikoanalysen und darauf basierende Maßnahmen.
4. Maßnahmen festlegen und umsetzen
Spätestens hier trennt sich Theorie von Praxis. Aus identifizierten Risiken müssen nachvollziehbare Maßnahmen folgen. Genau deshalb umfasst die ENISA-Leitlinie nicht nur die Risk Management Policy, sondern auch konkrete Themenfelder wie Incident Handling, Business Continuity, Supply Chain Security, Security Testing, Kryptografie, Access Control und den Umgang mit Informationen und Assets.
5. Dokumentation von Anfang an mitdenken
Ein Punkt wird oft zu spät ernst genommen: Dokumentation. Viele Unternehmen fangen erst an, Dinge sauber aufzuschreiben, wenn eine Behörde, ein Kunde oder ein Versicherer nachfragt. Genau dann ist es aber zu spät. Das BSI verlangt ausdrücklich, dass die Maßnahmen implementiert und dokumentiert werden. ENISA geht noch weiter und nennt dokumentierte Policies für mehrere Themenbereiche ausdrücklich als verpflichtend, darunter Risikomanagement, Incident Handling, Supply Chain Security, Security Testing, Wirksamkeitsbewertung, Kryptografie, Access Control und Asset Handling.
Das ist nicht nur für Aufsicht und Nachweis wichtig. Es ist auch im Ernstfall praktisch entscheidend. Wenn nach einem Vorfall Rückfragen kommen, ist improvisiertes Nachdokumentieren ein schwaches Fundament. Das gilt genauso bei betrieblichen Haftpflichtversicherungen mit Cyberanteil: Spätestens wenn geklärt werden muss, welche Maßnahmen tatsächlich bestanden, wie Zuständigkeiten geregelt waren und was konkret getan wurde, hilft ein später „nachgeschriebener“ Zustand nur begrenzt. Diese Schlussfolgerung ist eine praktische Folge aus den Dokumentationspflichten und der typischen Schadens- und Deckungsprüfung nach Vorfällen.
Der häufigste Fehler
Der häufigste Fehler ist, NIS-2-Risikomanagement als Compliance-Dokument zu behandeln, statt als Steuerungsinstrument. Dann gibt es eine Policy, vielleicht ein paar schöne Risikotabellen und irgendwo eine Maßnahmenliste — aber keine echte Verzahnung mit Betrieb, Vorfällen, Lieferanten, Veränderungen und Managemententscheidungen. Genau deshalb verlangt ENISA nicht nur eine Risk Management Policy, sondern auch die Bewertung der Wirksamkeit von Maßnahmen und die Anbindung an andere Sicherheits- und Betriebsthemen.
FAQ
NIS-2 verlangt geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, die implementiert und dokumentiert werden. Dazu gehört ein systematischer Umgang mit Cybersicherheitsrisiken.
Nein. Ein Risiko-Register kann ein Baustein sein, ersetzt aber kein belastbares Risikomanagement-Framework mit Bewertung, Maßnahmen, Nachverfolgung und Wirksamkeitskontrolle.
Die Verantwortung für Umsetzung und Überwachung liegt bei der Geschäftsleitung. Das BSI stellt das ausdrücklich klar. Natürlich kann die konkrete Umsetzung im Unternehmen delegiert werden.
Weil Maßnahmen nach NIS-2 nicht nur umgesetzt, sondern auch dokumentiert sein müssen. Wenn erst im Nachhinein nachgeschrieben wird, fehlt belastbarer Nachweis — gegenüber Aufsicht, Kunden oder Versicherern.
Dass Unternehmen das Thema als reine Compliance-Übung behandeln und nicht als laufendes Steuerungssystem für reale Risiken.
Unser Tipp
NIS-2-Risikomanagement heißt nicht, einmal ein paar Risiken aufzuschreiben und dann zur Tagesordnung überzugehen. Es heißt, Cybersicherheitsrisiken strukturiert zu erkennen, zu bewerten, mit Maßnahmen zu hinterlegen, zu dokumentieren und regelmäßig auf Wirksamkeit zu prüfen. Genau dadurch wird aus Regulierung etwas, das im Ernstfall wirklich trägt.
Interesse geweckt?
Wenn Sie Ihr NIS-2-Risikomanagement nicht nur formal abhaken, sondern so aufbauen wollen, dass es in der Realität funktioniert, sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!