NIS2 -Umsetzung und Dokumentation von Risikomanagementmaßnahmen

Das Risikomanagement nach NIS-2 verfolgt zwei Hauptziele:

1. Reduzierung von Sicherheitsrisiken: Unternehmen sollen Risiken frühzeitig erkennen, bewerten und durch geeignete Maßnahmen minimieren.
2. Nachweis der Verantwortlichkeit: Geschäftsleitungen müssen gegenüber Aufsichtsbehörden und Auditoren dokumentieren können, dass sie ihrer Verantwortung nachgekommen sind.

Die Kombination aus präventiver Planung und auditfähiger Dokumentation bildet die Grundlage für eine rechtssichere Unternehmensführung im Cyberbereich.

Grundprinzipien der Umsetzung

Die Umsetzung von Risikomanagementmaßnahmen basiert auf mehreren zentralen Prinzipien:

1. Systematischer Ansatz: Risiken werden strukturiert identifiziert, bewertet und priorisiert.
2. Kontinuierliche Aktualisierung: Sicherheitsmaßnahmen werden regelmäßig überprüft und angepasst, insbesondere bei Änderungen der IT-Infrastruktur, Geschäftsprozesse oder Bedrohungslage.
3. Verantwortlichkeit der Geschäftsleitung: Leitungsorgane genehmigen Maßnahmen, stellen Ressourcen bereit und überwachen die Umsetzung.
4. Integration in Unternehmensprozesse: Risikomanagement ist kein isolierter IT-Prozess, sondern Bestandteil von Corporate Governance, Compliance und strategischer Planung.

Schritte zur Umsetzung 

1. Risikoidentifikation

Die Geschäftsleitung muss verstehen, welche Risiken bestehen und welche Bereiche betroffen sind.
Typische Risiken umfassen:

• IT- und Netzwerksicherheitsrisiken (z. B. Malware, Ransomware)
• Risiken in der Lieferkette (Lieferanten, Partner)
• Prozess- oder Systemausfälle
• Datenschutzverletzungen oder rechtliche Verstöße

Die Identifikation erfolgt oft in Zusammenarbeit mit der IT-Abteilung, internen Prüfern oder externen Beratern, die Ergebnisse müssen jedoch von der Geschäftsleitung validiert werden.

2. Risikobewertung

Nicht jedes Risiko ist gleich relevant. Die Bewertung erfolgt anhand von Kriterien wie:

• Eintrittswahrscheinlichkeit
• Auswirkungen auf Geschäftsprozesse, Kunden und Reputation
• Kosten und Nutzen von Gegenmaßnahmen

Die Geschäftsleitung entscheidet über Priorisierung und Budgetierung, um sicherzustellen, dass Ressourcen effizient eingesetzt werden.

3. Implementierung von Maßnahmen

Basierend auf der Risikobewertung werden Maßnahmen definiert. Diese können sein:

• Technische Maßnahmen: Firewalls, Zugangskontrollen, Verschlüsselung, Multi-Faktor-Authentifizierung
• Organisatorische Maßnahmen: Prozesse für Incident Response, Backup-Strategien, Schulungen für Mitarbeitende
• Lieferkettenbezogene Maßnahmen: Sicherheitsanforderungen an Partner und Dienstleister, Audits, Verträge

Die Geschäftsleitung ist verantwortlich für Genehmigung, Ressourcenzuweisung und Monitoring der Umsetzung.

4. Dokumentation

Die Dokumentation ist entscheidend, um Nachweisfähigkeit und Auditfähigkeit zu gewährleisten. Sie sollte umfassen:

• Maßnahmenbeschreibung: Was wurde implementiert, wann und von wem
• Verantwortlichkeiten: Wer ist für Umsetzung, Kontrolle und Aktualisierung zuständig
• Risikoanalyse: Welche Risiken wurden identifiziert und wie bewertet
• Wirksamkeitskontrolle: Ergebnis regelmäßiger Tests, Audits oder Simulationen
• Änderungsmanagement: Anpassungen bei neuen Bedrohungen oder geänderten Prozessen

Die Dokumentation muss vollständig, nachvollziehbar und jederzeit abrufbar sein, um den Anforderungen von Aufsichtsbehörden zu genügen.

Rolle der Geschäftsleitung in der Dokumentation

Die NIS-2-Richtlinie macht deutlich, dass die Verantwortung nicht delegierbar ist.
Daher obliegt der Geschäftsleitung:

• die Abnahme der Dokumentation,
• die Überprüfung der Wirksamkeit von Maßnahmen,
• und die Sicherstellung, dass Nachweise vollständig und aktuell sind.

Ein formaler Beschluss oder eine schriftliche Bestätigung durch die Geschäftsleitung wird in Audits häufig als Schlüsselnachweis anerkannt.

Praktische Umsetzung in Unternehmen

In der Praxis empfehlen sich folgende Vorgehensweisen:

• Nutzung eines zentrales ISMS (Informationssicherheits-Managementsystem)
• Erstellung standardisierter Checklisten und Vorlagen für Risikobewertungen
• Regelmäßige Reviews durch die Geschäftsleitung
• Dokumentation aller Updates, Tests und Vorfälle mit Datum, Verantwortlichem und Ergebnis
• Sicherstellung der Langzeitarchivierung der Unterlagen (mindestens fünf Jahre)

Diese Maßnahmen gewährleisten sowohl Rechtssicherheit als auch operative Transparenz.

Die Umsetzung und Dokumentation von Risikomanagementmaßnahmen bildet das Herzstück der NIS-2-Compliance für Geschäftsleitungen.

• Sie schafft die Basis für informierte Entscheidungen,
• ermöglicht die steuerbare Kontrolle von Sicherheitsmaßnahmen,
• und gewährleistet die Nachweisbarkeit gegenüber Aufsichtsbehörden und Auditoren.

Ohne diese dokumentierte Umsetzung kann eine Geschäftsleitung ihrer gesetzlichen Verantwortung nicht gerecht werden – unabhängig davon, wie gut die technischen Maßnahmen implementiert sind.

Risikomanagement ist somit nicht nur eine organisatorische Pflicht, sondern ein strategisches Führungsinstrument.

Wenn Sie möchten, setze ich direkt mit 2.1.3 Melde- und Unterrichtungspflichten fort – ebenfalls formell, vollständig und SEO-optimiert. Soll ich das tun? 

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz