2.1. Risikomanagementrahmen
2.1.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555 führen die betreffenden Einrichtungen einen geeigneten Risikomanagementrahmen ein, um die Risiken für die Sicherheit von Netz- und Informationssystemen zu ermitteln und anzugehen, und erhalten diesen Rahmen aufrecht.
Die betreffenden Einrichtungen führen Risikobewertungen durch und dokumentieren diese;
auf der Grundlage der Ergebnisse erstellen sie einen Risikobehandlungsplan, setzen diesen um und überwachen ihn.
Die Ergebnisse der Risikobewertung und die Restrisiken werden von den Leitungsorganen oder – soweit anwendbar – von Personen akzeptiert, die für das Risikomanagement rechenschaftspflichtig und befugt sind, sofern die betreffenden Einrichtungen für eine angemessene Berichterstattung an die Leitungsorgane sorgen.
2.1.2. Für die Zwecke von Nummer 2.1.1 legen die betreffenden Einrichtungen Verfahren für die Ermittlung, Analyse, Bewertung und Behandlung von Risiken fest („Risikomanagementverfahren im Bereich der Cybersicherheit“).
Das Risikomanagementverfahren im Bereich der Cybersicherheit ist – soweit anwendbar – fester Bestandteil des gesamten Risikomanagementverfahrens der betreffenden Einrichtungen.
Als Teil des Risikomanagementverfahrens im Bereich der Cybersicherheit müssen die betreffenden Einrichtungen
a) eine Risikomanagementmethodik befolgen;
b) eine Risikotoleranzschwelle im Einklang mit der Risikobereitschaft der betreffenden Einrichtungen festlegen;
c) einschlägige Risikokriterien einführen und pflegen;
d) im Einklang mit einem gefahrenübergreifenden Ansatz die bestehenden Risiken für die Sicherheit von Netz- und Informationssystemen ermitteln und dokumentieren, insbesondere in Bezug auf Dritte sowie auf Risiken, die zu Störungen der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit der Netz- und Informationssysteme führen könnten, wobei auch punktuelle Ausfälle zu ermitteln sind;
e) die bestehenden Risiken für die Sicherheit von Netz- und Informationssystemen analysieren, einschließlich des Niveaus der Bedrohung, der Wahrscheinlichkeit, der Auswirkung und des Risikos unter Berücksichtigung der Erkenntnisse über Cyberbedrohungen und Schwachstellen;
f) die ermittelten Risiken auf der Grundlage der Risikokriterien bewerten;
g) geeignete Optionen und Maßnahmen für die Behandlung von Risiken bestimmen;
h) die Umsetzung der Maßnahmen für die Behandlung von Risiken fortlaufend überwachen;
i) ermitteln, wer für die Umsetzung der Maßnahmen für die Behandlung von Risiken verantwortlich ist und wann diese erfolgen sollte;
j) die gewählten Maßnahmen für die Behandlung von Risiken in einem Risikobehandlungsplan dokumentieren und die Gründe für das Eingehen der Restrisiken umfassend erläutern.
2.1.3. Bei der Ermittlung und Priorisierung geeigneter Risikomanagementoptionen und -maßnahmen berücksichtigen die betreffenden Einrichtungen
- die Ergebnisse der Risikobewertung,
- die Ergebnisse des Verfahrens zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
- die Umsetzungskosten im Verhältnis zum erwarteten Nutzen,
- die in Nummer 12.1 genannte Klassifizierung von Anlagen und Werten und
- die in Nummer 4.1.3 genannte Analyse der betrieblichen Auswirkungen.
2.1.4. Die betreffenden Einrichtungen bewerten die Ergebnisse der Risikobewertung und den Risikobehandlungsplan in geplanten Zeitabständen und mindestens jährlich sowie bei wesentlichen Änderungen der Betriebsabläufe oder der Risiken oder bei erheblichen Sicherheitsvorfällen und aktualisieren sie – soweit angemessen.
Redaktionelle Anmerkung:
- die Formulierung „wobei auch punktuelle Ausfälle zu ermitteln sind;“ in 2.1.2 d) ist mißverständlich.
In der englischen Version heisst es „single point of failures“ : es sind also nicht „zufällige“ (punktuelle) Risiken gemeint, sondern kritische Risiken, die systemgefährdend sein können.
Mit einem strukturierten Risikomanagementrahmen, klar definierten Prozessen und regelmäßigen Überprüfungen können Organisationen die Sicherheit ihrer Netz- und IT-Systeme effektiv gewährleisten und die Anforderungen der NIS2-Richtlinie erfüllen.
Vereinfachte Erklärung der Anforderungen aus 2.1: Risikomanagementrahmen
2.1.1 Einführung eines Risikomanagementrahmens
Organisationen müssen einen klaren Rahmen schaffen, um Sicherheitsrisiken in ihren Netz- und IT-Systemen zu erkennen und zu bewältigen. Dieser Rahmen muss regelmäßig aktualisiert und gepflegt werden.
- Risikobewertungen: Risiken müssen identifiziert, analysiert und dokumentiert werden.
- Risikobehandlungsplan: Auf Basis der Bewertungen wird ein Plan erstellt, umgesetzt und überwacht.
- Akzeptanz der Restrisiken: Leitungsgremien oder zuständige Personen entscheiden über akzeptable Restrisiken und müssen regelmäßig informiert werden.
2.1.2 Verfahren für das Risikomanagement
Organisationen müssen ein spezifisches Verfahren für Cybersicherheitsrisiken implementieren, das in das allgemeine Risikomanagement integriert ist.
Dazu gehört:
a) Risikomanagementmethodik: Eine strukturierte Methode zur Bewertung von Risiken.
b) Risikotoleranz: Festlegung der akzeptablen Risikoschwelle gemäß der Risikobereitschaft der Organisation.
c) Risikokriterien: Klare Maßstäbe für die Bewertung von Risiken definieren und pflegen.
d) Gefahrenübergreifender Ansatz: Alle potenziellen Risiken für Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Systeme, einschließlich Risiken durch Dritte, identifizieren und dokumentieren.
e) Risikobewertung: Analyse der Bedrohungen, Wahrscheinlichkeiten und Auswirkungen unter Berücksichtigung aktueller Schwachstellen und Cyberbedrohungen.
f) Risikobewertung: Vergleich der Risiken mit definierten Kriterien zur Priorisierung.
g) Risikobehandlung: Maßnahmen zur Risikominderung definieren.
h) Überwachung: Kontinuierliche Überprüfung der Maßnahmenumsetzung.
i) Verantwortlichkeit: Festlegung, wer Maßnahmen umsetzt und bis wann.
j) Dokumentation: Erstellen eines Risikobehandlungsplans, der Maßnahmen und akzeptierte Restrisiken erläutert.
2.1.3 Priorisierung von Maßnahmen
Maßnahmen zur Risikobehandlung müssen auf Basis der folgenden Aspekte priorisiert werden:
- Ergebnisse der Risikobewertung.
- Bewertung der Effektivität bisheriger Maßnahmen.
- Kosten-Nutzen-Verhältnis.
- Klassifizierung von Anlagen und Werten.
- Analyse der Auswirkungen auf den Betrieb.
2.1.4 Regelmäßige Bewertung und Aktualisierung
- Organisationen müssen ihre Risikobewertungen und Behandlungspläne mindestens jährlich überprüfen.
- Zusätzliche Überprüfungen erfolgen bei größeren Sicherheitsvorfällen, Änderungen in Betrieb oder Risiken.
- Anpassungen des Rahmens und der Pläne sind erforderlich, wenn sich die Bedingungen ändern.
Fragenkatalog: Überwachung der Einhaltung
1. Regelmäßige Überprüfung der Einhaltung
- Werden die Konzepte für die Sicherheit von Netz- und Informationssystemen, themenspezifischen Konzepte, Vorschriften und Normen regelmäßig auf Einhaltung überprüft? (Bezug zu 2.2.1)
- Werden die Ergebnisse der Überprüfung dokumentiert und den Leitungsorganen vorgelegt? (Bezug zu 2.2.1)
- Werden die Leitungsorgane regelmäßig über den Stand der Netz- und Informationssicherheit informiert? (Bezug zu 2.2.1)
2. System für die Berichterstattung
- Ist ein wirksames System für die Berichterstattung über die Einhaltung der Bestimmungen implementiert? (Bezug zu 2.2.2)
- Ist das Berichtssystem an die Strukturen, Betriebsumfelder und Bedrohungslandschaften der Organisation angepasst? (Bezug zu 2.2.2)
- Bietet das Berichtssystem den Leitungsorganen einen umfassenden Überblick über den aktuellen Stand des Risikomanagements? (Bezug zu 2.2.2)
3. Maßnahmen zur Überwachung der Einhaltung
- Werden Maßnahmen zur Überwachung der Einhaltung in geplanten Zeitabständen durchgeführt? (Bezug zu 2.2.3)
- Werden Überwachungsmaßnahmen bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken durchgeführt? (Bezug zu 2.2.3)
- Sind die Ergebnisse der Überwachungsmaßnahmen dokumentiert und werden sie zur Verbesserung der Sicherheitsmaßnahmen verwendet? (Bezug zu 2.2.3)
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!