NIS2: Audit-sichere Genehmigung im Risikomanagement

Stellen Sie sich vor, nach einem Cyberangriff fragt der Prüfer nicht nur nach dem technischen Bericht Ihres IT-Teams. Er bittet um das von Ihnen, der Geschäftsleitung, unterzeichnete Protokoll, das belegt, warum Sie eine bestimmte Sicherheitsmaßnahme genehmigt – oder eben nicht genehmigt – haben. Haben Sie ein solches Dokument zur Hand?

‍

Mit der NIS2-Richtlinie ist dieses Szenario keine theoretische Übung mehr, sondern gelebte Realität. Die Richtlinie verlagert die Verantwortung für Cybersicherheit weg von einer reinen IT-Aufgabe hin zu einer zentralen Führungsaufgabe mit persönlicher Haftung. Es geht nicht mehr nur darum, ob Ihr Unternehmen sicher ist, sondern darum, ob Sie als Leitungsebene Ihre Aufsichts- und Sorgfaltspflicht nachweisbar erfüllt haben.

‍

Doch während viele Führungskräfte die neue Haftung thematisch kennen, herrscht oft Unsicherheit darüber, wie man diese Rechenschaftspflicht in der Praxis umsetzt. Ein einfaches „Wir haben darüber gesprochen“ reicht nicht mehr aus. Gefragt ist ein formalisierter, dokumentierter und vor allem auditsicherer Genehmigungsprozess. Dieser Artikel ist Ihr Leitfaden, um genau das aufzubauen.

‍

‍

Warum ein formeller Prozess unter NIS2 unverzichtbar ist

‍

Die Artikel 20 und 21 der NIS2-Richtlinie sind für die Leitungsebene von zentraler Bedeutung. Sie fordern, dass die Geschäftsführung die Risikomanagementmaßnahmen für die Cybersicherheit „billigen“ und deren Umsetzung „überwachen“ muss. Das Schlüsselwort hierbei ist „billigen“. Es impliziert einen bewussten, informierten und vor allem dokumentierten Akt der Zustimmung.

‍

Rechenschaftspflicht bedeutet in diesem Kontext, dass Sie jederzeit belegen können müssen, warum Sie eine bestimmte Entscheidung getroffen haben. Das schließt auch die bewusste Entscheidung ein, ein gewisses Restrisiko zu akzeptieren. Ohne einen formalen Prozess fehlt Ihnen im Ernstfall der Nachweis, dass Sie Ihrer Verantwortung nachgekommen sind.

‍

⚠️ Falle der Rechenschaftspflicht: Ein Budget für die IT-Sicherheit freizugeben ist nicht dasselbe wie eine Risikomanagement-Maßnahme zu genehmigen. Ihre Dokumentation muss unmissverständlich belegen, dass eine spezifische Investition zur Minderung eines klar definierten Risikos getätigt wurde. Ein pauschaler Budgetposten ist kein ausreichender Nachweis.

‍

Der 5-Schritte-Prozess zur audit-sicheren NIS2-Genehmigung

‍

Ein robuster und nachvollziehbarer Genehmigungsprozess ist Ihr Schutzschild gegen Haftungsrisiken. Er wandelt abstrakte Anforderungen in einen konkreten, wiederholbaren Arbeitsablauf um.

‍

‍

Schritt 1: Risiko in Geschäftssprache übersetzen

‍

Der häufigste Fehler in der Kommunikation zwischen IT und Management ist, dass Risiken in technischem Jargon präsentiert werden. Eine Leitungsebene kann die Tragweite von „fehlenden EDR-Lizenzen“ kaum bewerten. Die Aufgabe ist es, diese Risiken in die Sprache des Geschäfts zu übersetzen: den Euro-Wert.

‍

• Statt: „Wir brauchen eine fortschrittliche Endpoint-Detection-and-Response-Lösung.“
  ‍
• Besser: „Wir müssen das Risiko eines Ransomware-Angriffs adressieren. Ein wahrscheinliches Szenario ist ein fünftägiger Produktionsstillstand, der uns laut unserer Analyse ca. 2 Millionen Euro an Umsatz und Wiederherstellungskosten kosten würde.“

‍

Nur wenn der potenzielle finanzielle Schaden klar ist, kann die Geschäftsführung eine fundierte Entscheidung über die Investition in Gegenmaßnahmen treffen.

‍

Schritt 2: Lösungsoptionen bewerten und vorschlagen

‍

Selten gibt es nur eine einzige Lösung. Ein guter Entscheidungsprozess basiert auf Optionen. Das IT- oder Sicherheitsteam sollte der Geschäftsleitung klare Alternativen mit Kosten, Nutzen und einem erwarteten Return on Investment (ROI) vorlegen.

‍

• Option A: Implementierung einer umfassenden EDR-Lösung. Kosten: 100.000 €. Erwartete Risikoreduktion: 70 %.
  ‍
• Option B: Verbesserung der bestehenden Antiviren-Software und verstärkte Mitarbeiterschulungen. Kosten: 40.000 €. Erwartete Risikoreduktion: 35 %.
  ‍
• Option C: Risikoakzeptanz. Kosten: 0 €. Keine Risikoreduktion.

‍

Diese Darstellung ermöglicht eine kaufmännische Abwägung und zeigt, dass verschiedene Wege geprüft wurden.

‍

Schritt 3: Das entscheidende Meeting der Leitungsebene

‍

Die Genehmigung sollte in einem formellen Meeting stattfinden, dessen Agenda klar auf die Risikoentscheidung ausgerichtet ist. Dies ist keine Routinebesprechung.

‍

Wichtige Fragen, die die Leitungsebene stellen sollte:

‍

• Wie realistisch ist das dargestellte Schadensszenario?
• Wie wurde der finanzielle Schaden berechnet?
• Welche Restrisiken verbleiben auch nach Umsetzung der Maßnahme?
• Wie messen wir den Erfolg der Maßnahme nach der Implementierung?

‍

Schritt 4: Der "Golden Record" – Die Entscheidung unanfechtbar dokumentieren

‍

Dies ist der kritischste Schritt. Jede Entscheidung – ob Genehmigung, Ablehnung oder bewusste Akzeptanz eines Risikos – muss in einem standardisierten Protokoll festgehalten werden. Nennen wir es das NIS2-Entscheidungsprotokoll. Ein strukturierter Prozess, wie er in unserem NIS2 Leitfaden für deutsche Unternehmen beschrieben wird, ist hierfür die Grundlage.

‍

Ein solches Protokoll sollte mindestens enthalten:

‍

1. Datum der Entscheidung: Wann wurde entschieden?
2. Beschreibung des Risikos: Klare, verständliche Darstellung des Geschäftsrisikos (inkl. potenziellem finanziellem Schaden).
3. Vorgeschlagene Maßnahmen: Kurze Beschreibung der geprüften Optionen (inkl. Kosten).
4. Die Entscheidung: Eindeutige Festlegung: Maßnahme A genehmigt / Abgelehnt / Risiko C akzeptiert.
5. Begründung: Ein kurzer Satz, warum diese Entscheidung getroffen wurde (z. B. „Aufgrund des unverhältnismäßig hohen Schadenspotenzials wird die Investition in Option A genehmigt.“).
6. Unterschriften: Namen und Unterschriften der verantwortlichen Leitungsorgane.

‍

Dieses Dokument ist Ihr "Golden Record" – der unanfechtbare Beweis Ihrer sorgfältigen Entscheidungsfindung.

‍

Schritt 5: Kontinuierliche Überwachung und Berichterstattung

‍

NIS2 verlangt nicht nur die Billigung, sondern auch die Überwachung der Maßnahmen. Der Prozess endet also nicht mit der Unterschrift. Es müssen regelmäßige Überprüfungen stattfinden, um sicherzustellen, dass die genehmigten Maßnahmen wie geplant umgesetzt werden und ihre Wirksamkeit entfalten. Besonders in kritischen Bereichen wie der Anlagensicherheit ist ein lückenloses Sicherheitsrisikomanagement unerlässlich und erfordert stetige Aufmerksamkeit.

‍

Mehr als nur intern: Rechenschaftspflicht in der Lieferkette

‍

Ihre Verantwortung endet nicht an den Toren Ihres Unternehmens. NIS2 verpflichtet Sie explizit dazu, die Cybersicherheit in Ihrer Lieferkette zu managen. Das bedeutet, dass Sie auch Risiken, die von Zulieferern und Dienstleistern ausgehen, bewerten und behandeln müssen. Der hier beschriebene Genehmigungsprozess gilt daher ebenso für Entscheidungen über die Zusammenarbeit mit Partnern. Die Sicherheit Ihrer Partner ist Ihre Sicherheit. Ein solides Management der NIS2 Lieferkette erfordert ebenfalls eine saubere Dokumentation Ihrer Risikoentscheidungen bezüglich Ihrer Lieferanten.

‍

Ihr Toolkit für die NIS2-Rechenschaftspflicht

‍

Ein audit-sicherer Prozess ist keine Hexerei, sondern das Ergebnis guter Vorbereitung und klarer Strukturen. Um direkt startklar zu sein, sollten Sie die folgenden Werkzeuge in Ihrem Unternehmen etablieren:
‍

Zusammenfassung: Vertiefung der wichtigsten Fragen und grundlegende Aspekte der Dokumentation

‍

1. Die Vorlage für das „NIS2-Entscheidungsprotokoll“: Erstellen Sie ein standardisiertes Word- oder PDF-Dokument mit den in Schritt 4 genannten Feldern. Machen Sie es zur Pflicht, dieses Dokument für jede wichtige Sicherheitsentscheidung zu verwenden.
   ‍
2. Eine Checkliste für Risiko-Meetings: Standardisieren Sie die Agenda für Genehmigungs-Meetings, um sicherzustellen, dass immer alle relevanten Aspekte (Geschäftsrisiko, Optionen, Kosten, ROI) besprochen werden.
   ‍
3. Ein Fragenkatalog für Ihren CISO/IT-Leiter: Bereiten Sie eine Liste mit den Kernfragen aus Schritt 3 vor, um sicherzustellen, dass Sie als Leitungsebene alle Informationen erhalten, die Sie für eine fundierte Entscheidung benötigen.

‍

Fazit: Vom Haftungsrisiko zur strategischen Chance

‍

Die strengen Anforderungen der NIS2-Richtlinie an die Rechenschaftspflicht der Leitungsebene mögen zunächst wie eine Belastung wirken. Doch bei genauerer Betrachtung sind sie eine Chance.

‍

Ein formalisierter Genehmigungsprozess zwingt Ihr Unternehmen, Cybersicherheit nicht als Kostenfaktor, sondern als strategische Geschäftsdisziplin zu betrachten. Er schafft Transparenz, fördert fundierte, datengetriebene Entscheidungen und stärkt die Widerstandsfähigkeit Ihrer gesamten Organisation. Sie minimieren nicht nur Ihr persönliches Haftungsrisiko, sondern bauen ein Unternehmen auf, das für die digitalen Herausforderungen der Zukunft besser gewappnet ist. Beginnen Sie noch heute damit, diesen Prozess zu etablieren.

‍

Häufig gestellte Fragen (FAQ)

‍

Was bedeutet "Rechenschaftspflicht der Leitungsebene" unter NIS2 konkret?

‍

Es bedeutet, dass die Geschäftsführung nicht nur für die Bereitstellung von Ressourcen verantwortlich ist, sondern auch aktiv die Risikomanagementmaßnahmen genehmigen, überwachen und für deren Wirksamkeit geradestehen muss. Im Falle eines Vorfalls muss die Leitung nachweisen können, dass sie ihre Aufsichtspflicht erfüllt hat.

‍

Reicht ein einfaches Meeting-Protokoll als Nachweis?

‍

Ein Standard-Meeting-Protokoll ist oft zu unspezifisch. Es mag festhalten, dass über Cybersicherheit gesprochen wurde, aber selten warum eine bestimmte Entscheidung getroffen wurde, welche Alternativen geprüft und wie die Risiken bewertet wurden. Ein dediziertes Entscheidungsprotokoll, wie oben beschrieben, ist wesentlich robuster und audit-sicherer.

‍

Was passiert, wenn wir ein Risiko bewusst akzeptieren? Muss das auch dokumentiert werden?

‍

Ja, unbedingt. Die bewusste und dokumentierte Akzeptanz eines Risikos ist ein legitimer Teil des Risikomanagements. Es zeigt, dass Sie das Risiko identifiziert, bewertet und eine strategische Entscheidung getroffen haben – zum Beispiel, weil die Kosten für die Minderung in keinem Verhältnis zum potenziellen Schaden stehen. Ohne Dokumentation sieht es im Nachhinein wie Fahrlässigkeit aus.

‍

Wie hängt dieser Prozess mit ISO 27001 zusammen?

‍

Sehr eng. Ein nach ISO 27001 zertifiziertes Informationssicherheits-Managementsystem (ISMS) beinhaltet bereits viele der geforderten Prozesse, einschließlich Risikobewertung und -behandlung. Der hier beschriebene Genehmigungsprozess formalisiert die in der ISO 27001 geforderte "Unterstützung und Verpflichtung der obersten Leitung" und macht sie für NIS2-Zwecke explizit nachweisbar. Ein ISMS ist eine hervorragende Grundlage, um die NIS2-Anforderungen zu erfüllen.

‍