16. Februar 2025

Risikomanagement im Griff mit NIS-2

Von Joachim Reinke

Februar 16, 2025

Risiko

Risikomanagement im Griff mit NIS-2: Die NIS-2 Richtlinie verlangt von Unternehmen, dass sie sich systematisch mit Informationssicherheitsrisiken auseinandersetzen. Daher schauen wir einfach mal rein: Wie funktioniert ein risikobasierter Ansatz konkret? Im folgenden die wichtigsten Schritte.

Schritt 1: Welche Informationen müssen geschützt werden?

Zunächst sollte ein Unternehmen klären, welche Daten und Informationen besonders schützenswert sind. Dabei geht es um drei zentrale Aspekte:

  • Vertraulichkeit: Welche Informationen sollten nicht in falsche Hände geraten?
  • Integrität: Welche Daten dürfen auf keinen Fall von den Falschen geändert werden?
  • Verfügbarkeit: Welche Informationen sind essenziell, damit das Unternehmen reibungslos arbeiten kann?

Schritt 2: Wo werden diese Informationen verarbeitet?

Sobald klar ist, welche Daten wichtig sind, muss analysiert werden, wo und wie sie verarbeitet werden. Dazu gehören:

  • Hardware: Server, Laptops, Mobilgeräte
  • Cloud-Dienste: Wo sind Daten gespeichert?
  • Netzwerke: Wie übertragen Computer und Mitarbeiter Informationen?

Schritt 3: Welche Risiken bestehen?

Nun geht es darum, mögliche Gefahren zu identifizieren. Dabei hilft es, sich konkrete Szenarien vorzustellen:

  • Cloud-Systeme könnten ausfallen: wichtige Daten sind dann nicht verfügbar. Das Unternehmen kann ggf. nicht weiterarbeiten.
  • Ein Laptop mit sensiblen Kundendaten kommt abhanden, ohne dass die Daten verschlüsselt waren.
  • Cyberangriffe könnten Systemausfälle oder Datendiebstahl verursachen.

Hilfreich sind hier bspw. die Elementargefährdungen, wie sie das BSI bereitstellt. Diese erleichtern es, an verschiedenste Arten von Risiken zu denken.

Schritt 4: Bewertung der Risiken

Aber nicht jedes Risiko ist gleich kritisch. Daher lässt sich jedes identifizierte Risiko nach zwei Faktoren bewerten:

  1. Wie wahrscheinlich ist das Risiko? (z. B. unwahrscheinlich, mittel, hoch)
  2. Wie groß wäre der Schaden? (z.B. von gering bis existenzbedrohend)

Danach ergibt sich eine Priorisierung (bspw. mit einer Farbskala rot, gelb, grün):

  • Rote Risiken: Hohe Wahrscheinlichkeit + hoher Schaden → sofort Maßnahmen ergreifen
  • Grüne Risiken: Geringe Wahrscheinlichkeit + geringer Schaden → niedrige Priorität
  • ...und alles dazwischen.

Schritt 5: Maßnahmen ableiten

Auf Basis der Bewertung können Unternehmen nun gezielt Schutzmaßnahmen entwickelt, um die größten Risiken zu minimieren. Unternehmen mit einer ISO 27001-, TISAX- oder BSI-Grundschutz-Zertifizierung sind hier oft im Vorteil, da sie bereits erprobte Verfahren nutzen.

Risikomanagement ist etabliert und bewährt

Der risikobasierte Ansatz ist nichts Neues – er wird bereits von tausenden Unternehmen weltweit genutzt. Wer sich frühzeitig damit auseinandersetzt, hat einen klaren Vorteil bei der Umsetzung von NIS-2 und kann sich gezielt gegen Cyberrisiken absichern.

Unser Tipp

Risikomanagement im Griff mit NIS-2: Und viele Unternehmen müssen sich danach richten. Jetzt ist noch Zeit, das Thema umzusetzen. Hier können Sie jetzt schon checken, ob Ihr Unternehmen betroffen ist.

Interesse geweckt?

Möchten Sie mehr zum Thema NIS-2? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.

Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD, TÜV Rheinland und die AOK.

View Comments