Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

#nis2know: NIS-2 Risikoanalyse

NIS-2-betroffene Unternehmen müssen eine regelmäßige Risikoanalyse vornehmen

Gesetzliche Grundlagen

Die NIS-2 Richtlinie verpflichtet "besonders wichtige" (essential) und "wichtige" (important) Einrichtungen zur Durchführung einer Risikoanalyse, vgl. Art. 21 (1) und (2) a).

Die Risikoanalyse nach NIS-2 Richtlinie verlangt, dass "besonders wichtige" und "wichtige" Einrichtungen systematisch Risiken für ihre Organisation bewerten und geeignete Schutzmaßnahmen ergreifen, um diese Risiken zu mitigieren.

Bei der Wahl der Risikoanalysemethodik sind die Einrichtungen frei. Eine Orientierung an bestehenden Standards (z. B. BSI-Standard 200-3) wird jedoch empfohlen.

Auf Basis der Risikoanalyse müssen Einrichtungen geeignete, wirksame und verhältnismäßige Risikomanagementmaßnahmen implementieren und dokumentieren. "Verhältnismäßig" meint, dass Einrichtungen bei der Wahl ihrer Maßnahmen folgende Faktoren berücksichtigen müssen:

  • europäische und internationale Normen
  • Stand der Technik
  • Kosten der Umsetzung
  • Ausmaß der Risikoexposition
  • Größe der Einrichtung
  • Eintrittswahrscheinlichkeit von Sicherheitsvorfällen
  • Schwere und Auswirkungen von Vorfällen

Bestandteile einer Risikoanalyse im Sinne der NIS-2 Richtlinie

Identifikation von Bedrohungen und Schwachstellen

Es werden alle potenziellen Bedrohungen und Schwachstellen für die Organisation und insbesondere ihrer Netz- und Informationssysteme identifiziert, die die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der Geschäftsprozesse, Daten und Systeme gefährden könnten.

Bewertung der Risiken

Die Wahrscheinlichkeit des Eintretens von Risiken sowie die möglichen Auswirkungen auf die Organisation werden analysiert.

Bewertung der Sicherheitsmaßnahmen

Die bestehenden Sicherheitsmaßnahmen werden auf ihre Wirksamkeit hin überprüft, um festzustellen, ob sie ausreichen, um die identifizierten Risiken zu mitigieren.

Die Sicherheitsmaßnahmen werden angepasst, sobald sie im Rahmen der Bewertung als nicht wirksam eingestuft werden. Im Anschluss findet eine neue Bewertung statt. Dies ist ein kontinuierlicher Prozess.

Dokumentation und Compliance

Einrichtungen müssen die Ergebnisse ihrer Risikoanalyse und die umgesetzten Sicherheitsmaßnahmen dokumentieren.

Die NIS-2 Richtlinie fordert eine regelmäßige Überprüfung und Aktualisierung der Risikoanalyse, insbesondere wenn sich die Bedrohungslage ändert oder neue Schwachstellen bekannt werden.

Integration in das Sicherheitsmanagement

Die Risikoanalyse ist ein Bestandteil des Sicherheitsmanagements und muss regelmäßig aktualisiert werden, um auf neue Bedrohungen und Entwicklungen im Bereich der Cybersicherheit zu reagieren.

Die NIS-2 Richtlinie fordert auch eine enge Zusammenarbeit zwischen den relevanten Organisationseinheiten und mit externen Partnern, um die Sicherheitslage umfassend zu überwachen und zu verbessern.

Ablauf einer Risikoanalyse (vereinfacht) 

Ablauf einer Risikoanalyse (vereinfacht) (Bild hat eine Langbeschreibung)
Quelle: BSI

 1. Kontext verstehen

  • Unternehmenskontext analysieren (interne und externe Einflüsse)
  • Anwendungsbereich des ISMS definieren
  • Stakeholder und deren Anforderungen identifizieren

2. Assets identifizieren

  • Welche Geschäftsprozesse, Informationen, Anwendungen, IT-Systeme, Räume etc. sind schützenswert?
  • Klassifizierung nach Vertraulichkeit, Integrität, Verfügbarkeit
  • Risiken identifizieren
  • Welche potenziellen Bedrohungen (z. B. Hacker, Naturkatastrophen, vorsätzliche Handlungen) gibt es?
  • Welche Schwachstellen (z. B. veraltete Software, fehlende Schulungen) sind vorhanden?
  • Welche Auswirkungen können diese Bedrohungen und Schwachstellen auf die Informationssicherheit haben?

3. Risikobewertung durchführen

  • Risikokategorien für die Eintrittswahrscheinlichkeit und Schadensauswirkungen festlegen
  • Kriterien für die Risikobewertung festlegen (z. B. mit einer Risikomatrix)
  • Risikoakzeptanzkriterien festlegen (akzeptables Risikoniveau für die Organisation)
  • Zuweisung von Risikoeigentümern

4. Risikobehandlung

  • Mögliche Strategien:
    • Vermeiden (z. B. Aufgabe eines riskanten Projekts)
    • Verringern (z. B. durch Umsetzung von Sicherheitsmaßnahmen)
    • Übertragen (z. B. durch Versicherung oder Outsourcing)
    • Akzeptieren (bewusst in Kauf nehmen)
  • Auswahl geeigneter Maßnahmen, z. B. aus Anhang A der ISO 27001 oder Maßnahmen, die aus den Anforderungen des IT-Grundschutz-Kompendiums abgeleitet wurden
  • Jede Maßnahme bzw. jedes Risiko sollte einen Verantwortlichen haben

5. Dokumentation

  • Ergebnisse der Risikoanalyse dokumentieren, z. B. in einem "Statement of Applicability" (SoA) gemäß ISO 27001
  • Diese Dokumentation dient der Nachvollziehbarkeit und ist auditrelevant

6. Regelmäßige Überprüfung/Konsolidierung

  • Risiken und Maßnahmen müssen regelmäßig überprüft und aktualisiert werden, z. B. bei Änderungen in der Organisation der Einrichtung oder nach Sicherheitsvorfällen

Welche bestehenden Standards für Risikoanalysen gibt es bereits?

"Besonders wichtige" und "wichtige" Einrichtung sind bei der Wahl der Risikoanalysemethodik frei. Es gibt verschiedene Standards, die als Orientierung dienen können. Hierzu zählen neben der ISO 27001 auch die BSI-Standards 200-3 und 200-4.

Mapping von Standards zum Thema „Risikoanalyse“ (Bild hat eine Langbeschreibung) Mapping von Standards zum Thema „Risikoanalyse“
Quelle: BSI

NIS-2-Risikoanalyse Onepager

Ähnliche Themen

Zurück zu NIS-2-regulierte Unternehmen

Kurz-URL:
http://www.bsi.bund.de/dok/nis-2-risikoanalyse