NIS2 Risikomanagement: Von der Risikoanalyse zum Behandlungsplan

NIS2 verlangt von betroffenen Unternehmen ein systematisches Risikomanagement. Das klingt abstrakt, ist aber konkret geregelt: §30 Abs. 1 BSIG schreibt einen gefahrenübergreifenden Ansatz vor, der weit über klassische IT-Sicherheit hinausgeht. Dieser Artikel zeigt, wie Sie von der ersten Risikoanalyse zu einem dokumentierten Behandlungsplan kommen, der einer BSI-Prüfung standhält.

All-Gefahren-Ansatz: Was §30 Abs. 1 BSIG verlangt

§30 Abs. 1 BSIG fordert "angemessene, verhältnismäßige und wirksame technische und organisatorische Maßnahmen" auf Basis eines gefahrenübergreifenden Ansatzes. Der Gesetzgeber hat diesen Begriff bewusst gewählt: Unternehmen dürfen sich nicht auf einzelne Szenarien beschränken. Wer nur Ransomware-Angriffe betrachtet, aber Stromausfälle, Hochwasser oder physischen Zutritt ignoriert, verfehlt die Anforderung.

Physische, digitale und hybride Risiken

Der All-Gefahren-Ansatz unterscheidet drei Risikokategorien. Physische Risiken betreffen die Infrastruktur: Brand, Wasser, Stromausfall, Einbruch. Digitale Risiken umfassen Cyberangriffe, Malware, DDoS, Datenverlust. Hybride Risiken kombinieren beides: Social Engineering, das in Credential Theft mündet, oder ein physischer Einbruch, der zum Diebstahl von Backup-Medien führt.

In der Praxis sind es oft die hybriden Szenarien, die Unternehmen unterschätzen. Ein Beispiel: Ein Dienstleister hat Zutritt zum Serverraum und gleichzeitig Remote-Zugang zu Systemen. Die Risikoanalyse muss beide Angriffsvektoren gemeinsam betrachten, nicht getrennt in "physisch" und "IT".

Abgrenzung zum klassischen IT-Risikomanagement

Klassisches IT-Risikomanagement fokussiert auf technische Schwachstellen: ungepatchte Systeme, offene Ports, schwache Passwörter. Der NIS2-Ansatz geht weiter. Er bezieht die gesamte Organisation ein: Prozesse, Personal, Gebäude, Lieferanten. Das ist im Kern das, was ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 bereits leistet. Der Gesetzgeber hat sich bei der Formulierung von §30 bewusst an ISO 27001 orientiert.

Risikobewertung nach NIS2: Methodik und Kriterien

Das BSI gibt keine feste Methodik vor. Unternehmen sind methodisch frei, solange die Bewertung nachvollziehbar, dokumentiert und wiederholbar ist. In der Praxis haben sich zwei Rahmenwerke bewährt: der BSI-Standard 200-3 (Risikoanalyse auf Basis von IT-Grundschutz) und ISO 27005 (Risikomanagement für Informationssicherheit).

Risikoinventar aufbauen

Der erste Schritt ist die systematische Erfassung aller relevanten Risiken. Dafür identifizieren Sie zunächst die kritischen Geschäftsprozesse und die informationstechnischen Systeme, die diese Prozesse unterstützen. Dann leiten Sie daraus ab, welche Bedrohungen auf diese Systeme wirken können.

Ein Risikoinventar enthält typischerweise 30 bis 80 Einzelrisiken, je nach Unternehmensgröße und Komplexität. Wichtig ist die Vollständigkeit: Jedes Risiko bekommt eine eindeutige ID, eine Beschreibung, den betroffenen Geschäftsprozess und den zuständigen Risikoeigner.

Bewertungsmatrix: Eintrittswahrscheinlichkeit und Auswirkung

Jedes identifizierte Risiko wird anhand von zwei Dimensionen bewertet: Wie wahrscheinlich ist der Eintritt? Und wie schwer wären die Auswirkungen? Die gängigste Methode ist eine 5x5-Matrix mit den Stufen "sehr gering" bis "sehr hoch" auf beiden Achsen.

Die Bewertung muss nachvollziehbar sein. Das BSI prüft nicht, ob Sie ein Risiko "richtig" eingestuft haben (das ist immer eine Schätzung), sondern ob Ihre Kriterien konsistent und dokumentiert sind. Definieren Sie deshalb vorab, was "hoch" oder "kritisch" in Ihrem Kontext bedeutet. Für die Eintrittswahrscheinlichkeit könnte "hoch" bedeuten: "einmal pro Jahr oder häufiger". Für die Auswirkung: "Betriebsunterbrechung von mehr als 24 Stunden".

Aus der Kombination beider Dimensionen ergibt sich ein Risikowert. Risiken im roten Bereich (hohe Wahrscheinlichkeit und hohe Auswirkung) erfordern sofortiges Handeln. Risiken im grünen Bereich können beobachtet werden.

Akzeptable vs. inakzeptable Risiken

Nicht jedes Risiko muss beseitigt werden. §30 BSIG verlangt "angemessene" Maßnahmen, nicht die Eliminierung aller Risiken. Deshalb brauchen Sie eine Risikoschwelle: Ab welchem Risikowert ist ein Risiko nicht mehr akzeptabel?

Diese Schwelle legt die Geschäftsleitung fest. Das ist nicht delegierbar, denn §38 BSIG macht die Geschäftsleitung persönlich verantwortlich für die Billigung und Überwachung der Risikomanagementmaßnahmen. Die Geschäftsleitung muss also verstehen, welche Risiken das Unternehmen bewusst trägt und welche behandelt werden.

Schutzziele: Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität

§30 Abs. 1 BSIG nennt drei Schutzziele explizit: Verfügbarkeit, Integrität und Vertraulichkeit. In der Praxis kommt Authentizität als viertes Schutzziel hinzu, das ISO 27001 ebenfalls berücksichtigt.

Verfügbarkeit bedeutet, dass Systeme und Daten bei Bedarf zugänglich sind. Ein Verstoß liegt vor, wenn ein Angriff den Zugriff auf das ERP-System für acht Stunden unterbindet. Integrität stellt sicher, dass Daten nicht unbemerkt verändert wurden. Eine manipulierte Rechnung, die ohne Freigabe in der Buchhaltung landet, ist ein Integritätsverlust. Vertraulichkeit schützt Informationen vor unbefugtem Zugriff: ein Datenleck mit Kundendaten, ein abgehörtes Videotelefonat. Authentizität stellt sicher, dass eine Nachricht oder ein Dokument tatsächlich vom angegebenen Absender stammt.

Bei der Risikobewertung ordnen Sie jedem Risiko zu, welche Schutzziele betroffen sind. Ein Ransomware-Angriff bedroht primär die Verfügbarkeit. Ein Man-in-the-Middle-Angriff bedroht Vertraulichkeit und Integrität gleichzeitig. Diese Zuordnung hilft bei der Priorisierung der Gegenmaßnahmen.

"Die meisten Unternehmen starten beim Risikomanagement mit der Technik: Firewalls, Backups, Verschlüsselung. Dabei übersehen sie, dass §30 BSIG zuerst die Methodik verlangt. Ohne dokumentierte Risikoanalyse weiß niemand, ob die technischen Maßnahmen überhaupt die richtigen Risiken adressieren."

Bettina Stearn, ISO/IEC 27001 Auditorin & QM-Fachexpertin bei SECJUR

Risikobehandlungsplan: Von der Analyse zur Maßnahme

Die Risikobewertung allein reicht nicht. Für jedes Risiko oberhalb der definierten Akzeptanzschwelle brauchen Sie einen Behandlungsplan. Dieser dokumentiert, welche Entscheidung Sie für jedes Risiko getroffen haben und welche konkreten Maßnahmen daraus folgen.

Vermeiden, Mindern, Übertragen, Akzeptieren

Für jedes identifizierte Risiko stehen vier Behandlungsoptionen zur Verfügung:

Die Wahl der Behandlungsoption hängt vom Verhältnis zwischen Behandlungskosten und Schadenserwartung ab. Ein Risiko mit potenziell existenzbedrohendem Schaden (z.B. vollständiger Datenverlust aller Produktionsdaten) rechtfertigt höhere Investitionen als ein Risiko mit überschaubarem Schaden (z.B. temporärer Ausfall einer internen Wiki-Seite).

Dokumentationspflichten

§30 Abs. 1 Satz 3 BSIG verlangt ausdrücklich: "Die Einhaltung der Verpflichtungen nach Satz 1 ist zu dokumentieren." Das bedeutet: Jede Risikobewertung, jede Behandlungsentscheidung und jede umgesetzte Maßnahme muss schriftlich nachvollziehbar sein.

In der Praxis bewährt sich ein Risikoregister, das folgende Felder pro Risiko enthält: Risiko-ID, Beschreibung, betroffene Schutzziele, Eintrittswahrscheinlichkeit, Auswirkung, Risikowert, Behandlungsoption, geplante Maßnahmen, Umsetzungsstatus, Risikoeigner und Datum der letzten Überprüfung. Dieses Register wird mindestens jährlich aktualisiert und nach jedem Sicherheitsvorfall überprüft.

Welche konkreten Maßnahmen §30 BSIG im Einzelnen verlangt, erfahren Sie in unserem Überblick zu den NIS2 Anforderungen. Wie Sie Sicherheitsvorfälle innerhalb der gesetzlichen Fristen melden, beschreibt unser Artikel zur NIS2 Meldepflicht. Risiken in der Lieferkette und die Absicherung von Zulieferern behandeln wir separat unter NIS2 Lieferkette.

NIS2 Risikomanagement mit SECJUR: Automatisierte Bewertung

Die Herausforderung beim NIS2-Risikomanagement ist nicht die einmalige Analyse, sondern die kontinuierliche Pflege. Risiken verändern sich: neue Bedrohungen, neue Systeme, neue Geschäftsprozesse. Ein statisches Excel-Sheet, das einmal im Jahr aktualisiert wird, reicht für die NIS2-Anforderungen nicht aus.

ISMS-Plattformen wie SECJUR Digital Compliance Office automatisieren den Kernprozess: Risikoinventar anlegen, Bewertungsmatrix konfigurieren, Behandlungspläne zuweisen und den Umsetzungsstatus verfolgen. Der interne Aufwand sinkt erfahrungsgemäß um bis zu 50 %, weil die Plattform Workflows, Vorlagen und Mappings mitbringt. Wer bereits ein ISMS nach ISO 27001 betreibt, hat bei den Unternehmen, die wir bei der Umsetzung begleiten, rund 70-80 % der NIS2-Risikomanagement-Anforderungen bereits abgedeckt.

Der Einstieg beginnt mit einer Gap-Analyse: Welche Risiken sind bereits erfasst? Wo fehlen Bewertungen? Welche Behandlungspläne sind veraltet? Von dort lässt sich das bestehende Risikomanagement schrittweise auf NIS2-Niveau heben, ohne bei null anfangen zu müssen.