NIS2 in der Praxis – Teil 2: Risikomanagementrichtlinie

• welche Rolle eine NIS2 Risikomanagementrichtlinie in Ihrem Sicherheitsrahmen spielt,
• wie Sie Risikobereitschaft, Risikotoleranz und Risikoakzeptanz definieren,
• wie Sie Anforderungen aus NIS2, BSIG-neu und ENISA zusammenführen,
• und wie Sie von Excel-Listen zu einem belastbaren, prüfbaren Risikomanagement kommen.

1. Warum Sie eine NIS2 Risikomanagementrichtlinie brauchen

Viele Unternehmen besitzen bereits eine Risikomatrix oder eine Liste mit Top-Risiken. Für NIS2 reicht das jedoch nicht mehr aus. Eine NIS2 Risikomanagementrichtlinie schafft ein strukturiertes, prüfbares Rahmenwerk. Sie ist verbindlich und definiert, wie Risiken im Unternehmen systematisch bewertet und behandelt werden.

• § 30 BSIG-neu fordert ein systematisches Risikomanagement.
• NIS2 verpflichtet zu dokumentierten „Konzepten zur Risikoanalyse“.
• ENISA verlangt definierte Prozesse, Rollen, Kriterien und Nachweise.

Die NIS2 Risikomanagementrichtlinie beantwortet grundlegende Fragen:

• Wie identifizieren wir Risiken?
• Nach welchen Kriterien bewerten wir sie?
• Wer entscheidet über Maßnahmen und Risikoakzeptanz?
• Wie oft wird das Risikomanagement überprüft?

Damit dient sie als praxisnaher Leitfaden – für Geschäftsleitung, IT/OT und operative Fachbereiche.

2. Was NIS2, BSIG-neu und ENISA zur NIS2 Risikomanagementrichtlinie sagen

In Art. 21 der NIS2-Richtlinie und im BSIG-neu wird Risikomanagement klar als Pflicht definiert: Unternehmen müssen „geeignete, wirksame und verhältnismäßige Maßnahmen“ treffen, die auf einem Risikomanagement nach Stand der Technik beruhen.

Der ENISA-Leitfaden konkretisiert diese NIS2 Risikomanagementrichtlinie in mehrere Bausteine:

• Risikomanagement-Rahmen: Ziele, Rollen, Prozesse
• Risikobewertungsmethodik: Kriterien, Skalen, Priorisierung
• Risikobehandlung: Maßnahmenoptionen & Entscheidungswege
• Kontinuierliche Verbesserung: Reviews, Audits, Lessons Learned
• Nachweise: Risikoregister, Berichte, Protokolle

Eine wirksame NIS2 Risikomanagementrichtlinie übersetzt diese Anforderungen auf die eigene Organisation, abhängig von:

• Unternehmensgröße,
• NIS2-relevanten Diensten,
• bestehenden Standards (ISO 27001, BSI, eigenes ISMS).

3. Die drei großen R im NIS2-Risikomanagement

Eine NIS2 Risikomanagementrichtlinie muss drei zentrale Begrifflichkeiten präzise definieren:

3.1 Risikobereitschaft (Risk Appetite)

• Definiert, wie viel Risiko Ihre Organisation grundsätzlich akzeptieren will.
• Wird ausschließlich von der Geschäftsleitung festgelegt.
• Kann je Bereich differenziert werden (z. B. IT, OT, Lieferkette).

Beispiel: „Wir akzeptieren für interne Büro-IT ein höheres Restrisiko als für Systeme, die NIS2-relevante Dienste unterstützen.“

3.2 Risikotoleranz (Risk Tolerance)

• Operationalisierung der Risikobereitschaft in konkreten Grenzwerten.
• Definiert, ab wann Maßnahmen verpflichtend sind.
• Wird in der Risikomatrix sichtbar.

Beispiel: „Risiken ≥ 16 müssen innerhalb von 6 Monaten reduziert oder von der Geschäftsleitung akzeptiert werden.“

3.3 Risikoakzeptanz (Risk Acceptance)

• Betrifft konkrete Risiken im Risikoregister.
• Erfordert dokumentierte Entscheidung und Begründung.
• Muss geregelt sein – wer darf was akzeptieren?

Eine NIS2 Risikmanagementrichtlinie sollte alle drei Ebenen sauber trennen und verbindlich regeln.

4. Aufbau einer NIS2-konformen Risikomanagementrichtlinie

Die folgende Struktur hat sich für eine NIS2 Risikomanagementrichtlinie als Best Practice etabliert:

4.1 Zweck und Geltungsbereich

• Bezug zu NIS2, BSIG-neu, ISO, BSI.
• Beschreibung der erfassten Organisationseinheiten, Systeme und NIS2-Dienste.

4.2 Begriffe und Grundprinzipien

• Definitionen von Risiko, Risikobereitschaft, Risikotoleranz, Risikoakzeptanz.
• Grundsätze: risikobasiert, verhältnismäßig, dokumentiert, nachvollziehbar.
• Optional: Bezug zum ENISA-Leitfaden.

4.3 Risikomanagementprozess

• Identifikation: Workshops, Interviews, Kataloge, Lessons Learned
• Analyse & Bewertung: Methode, Skalen, Unsicherheiten
• Behandlung: vermeiden, reduzieren, übertragen, akzeptieren
• Überwachung: Reviews, Audits, Ereignisse

4.4 Rollen & Verantwortlichkeiten

• Risikoeigner
• Risikomanagement-Funktion
• Informationssicherheit (CISO/ISB)
• Geschäftsleitung

4.5 Risikomodell & Schwellenwerte

• Bewertungsskalen 1–5
• Risikoklassen: niedrig, mittel, hoch, kritisch
• Schwellenwerte für verpflichtende Maßnahmen

4.6 Dokumentation & Nachweise

• Risikoregister
• Berichte an die Geschäftsleitung
• Nachweisdokumente für Aufsichtsbehörden

4.7 Kontinuierliche Verbesserung

• regelmäßige Reviews
• Einbindung von Vorfällen & Beinaheereignissen
• Audits & externe Prüfungen

5. Verbindung zu Standards wie ISO 27001 und BSI

Die NIS2 Risikomanagementrichtlinie lässt sich hervorragend in bestehende Standards integrieren:

• ISO 27001 / 27005
• BSI-Standard 200-3
• NIST CSF

Nutzen Sie bestehende Prozesse weiter – passen Sie sie lediglich an NIS2 und BSIG-neu an.

6. Häufige Stolperfallen im NIS2-Risikomanagement

• Nur IT-Risiken berücksichtigt: NIS2 umfasst auch Prozesse, Lieferketten und physische Sicherheit.
• Fehlende Einbindung der Geschäftsleitung: zentrale Entscheidungen gehören ins Management.
• Einmalige Risikoanalyse: NIS2 verlangt einen kontinuierlichen Prozess.
• Keine Maßnahmenverknüpfung: ein Risikoregister ohne Maßnahmen ist wertlos.

7. Wie es weitergeht – Teil 3 der Serie

Mit der Security-Policy (Teil 1) und der NIS2 Risikomanagementrichtlinie (Teil 2) schaffen Sie die Basis für Ihren NIS2-Umsetzungsfahrplan.

Im nächsten Beitrag geht es weiter mit:

Teil 3: Incident Management – klare Prozesse statt Improvisation unter NIS2

Haben Sie Risikobereitschaft, Risikotoleranz und Risikoakzeptanz bereits dokumentiert – oder arbeiten Sie noch mit einer „gewachsenen“ Excel-Sammlung?