NIS2-Risikomanagement: Nicht alle Risiken sind gleich wichtig

Warum wird Risikomanagement unter NIS2 so wichtig?

Cyber-Sicherheit ist für viele Unternehmen längst kein technisches Spezialthema mehr. Sie ist Teil der Unternehmenssteuerung geworden. Der Grund ist einfach: Die Bedrohungslage nimmt zu, regulatorische Anforderungen wachsen und viele Organisationen reagieren noch immer erst dann, wenn bereits etwas passiert ist.

Genau diese Haltung wird unter NIS2 zum Problem. Die Vorgaben zielen nicht darauf, dass Unternehmen einzelne Sicherheitsmaßnahmen nachweisen können. Gefordert ist ein nachvollziehbares, risikobasiertes und dauerhaft funktionierendes System. Es geht also nicht um ein einmaliges Projekt, sondern um einen Managementprozess, der regelmäßig überprüft, angepasst und dokumentiert wird.

Für besonders wichtige und wichtige Einrichtungen bedeutet das: Cyber-Risiken müssen systematisch erkannt, bewertet, gesteuert und kontrolliert werden. Wer heute nicht weiß, welche Risiken im Unternehmen bestehen, kann morgen kaum belastbar erklären, warum bestimmte Maßnahmen umgesetzt, verschoben oder akzeptiert wurden.

Kurz gesagt: NIS2 verschiebt den Fokus von „Haben wir Sicherheitstechnik?“ zu „Können wir unsere Risiken steuern?“

Was verlangt NIS2 im Kern vom Risikomanagement?

Im Zentrum steht der Gedanke, dass Informationssicherheit steuerbar sein muss. § 30 BSIG spricht nicht nur allgemein von Sicherheit, sondern ausdrücklich von Risikomanagementmaßnahmen für besonders wichtige und wichtige Einrichtungen. Der Kern ist ein System aus Risikoanalyse, Sicherheitskonzepten und Wirksamkeitskontrolle.

Praktisch bedeutet das: Unternehmen sollten nicht nur festlegen, welche Schutzmaßnahmen sie einsetzen. Sie müssen auch zeigen können, warum diese Maßnahmen angemessen sind, wie sie wirken und wie sie weiterentwickelt werden.

Wichtig sind dabei insbesondere:

• Konzepte für Risikoanalyse und IT-Sicherheit: Risiken müssen strukturiert identifiziert, bewertet und in Sicherheitskonzepte übersetzt werden.
• Verfahren zur Wirksamkeitsbewertung: Maßnahmen sollten nicht nur eingeführt, sondern regelmäßig überprüft werden.
• Risikobasierung und Verhältnismäßigkeit: Nicht jedes Risiko ist gleich kritisch. Prioritäten müssen nachvollziehbar gesetzt werden.
• Dokumentation: Entscheidungen, Bewertungen, Maßnahmen und Risikoakzeptanzen sollten belastbar nachweisbar sein.
• Stand der Technik und relevante Normen: Sicherheitsmaßnahmen müssen sich an anerkannten Maßstäben orientieren.
• Gefahrenübergreifendes Denken: Cyber-Risiken sollten nicht isoliert betrachtet werden, sondern im Zusammenhang mit Geschäftsprozessen, Lieferanten, Datenflüssen und Ausfallszenarien.
• Regelmäßige Aktualisierung: Risiken verändern sich. Das Risikomanagement muss deshalb mitwachsen.

Damit wird klar: Ein einzelnes Dokument reicht nicht. Unternehmen brauchen einen belastbaren Steuerungsrahmen, der im Alltag funktioniert.

Wie beginnt ein gutes NIS2-Risikomanagement?

Der erste Schritt ist Transparenz. Nur was erkannt wird, kann bewältigt werden. Deshalb beginnt gutes Risikomanagement nicht mit einer Liste technischer Tools, sondern mit der Frage: Was müssen wir eigentlich schützen?

Dazu gehört zunächst ein Überblick über Assets, kritische Services, IT- und Datenflüsse. Unternehmen sollten wissen, welche Systeme, Anwendungen, Prozesse, Informationen und Dienstleister für den Geschäftsbetrieb besonders wichtig sind. Erst daraus lässt sich ableiten, welche Risiken relevant sind und wo Prioritäten gesetzt werden müssen.

Ein praxistauglicher Einstieg umfasst vor allem:

• Asset-Inventar: Welche Systeme, Anwendungen, Datenbestände und Services sind vorhanden?
• Kritische Services: Welche Prozesse sind für den Betrieb besonders wichtig?
• Risiko-Register: Welche Risiken bestehen, wie werden sie bewertet und wie entwickeln sie sich?
• Sicherheitsziele: Was soll konkret geschützt werden – Verfügbarkeit, Integrität, Vertraulichkeit oder Belastbarkeit?
• Policies und Standards: Welche Regeln gelten verbindlich für zentrale Schutzbereiche?
• Management-Freigaben: Welche Entscheidungen wurden getroffen und wer trägt sie?
• Aktualisierungszyklen: Wann werden Risiken, Maßnahmen und Nachweise überprüft?

Besonders hilfreich ist es, Risiken nicht abstrakt zu beschreiben, sondern in konkreten Szenarien zu denken: Was wäre, wenn ein Angriff auf das Unternehmensnetzwerk erfolgt? Was passiert bei einem Ausfall kritischer Systeme? Welche Folgen hätte ein Datenverlust oder eine Datenschutzverletzung? Solche Szenarien machen Risiken greifbar und erleichtern die Priorisierung.

Wie werden Cyber-Risiken sinnvoll bewertet und priorisiert?

Damit Risikomanagement steuerbar wird, müssen Risiken vergleichbar werden. Dafür braucht es eine Methode, die nicht zu kompliziert ist, aber genügend Aussagekraft hat. Eine einfache und in der Praxis gut verständliche Logik ist die Betrachtung von Ursache, Risikoszenario und Auswirkungen.

Ein Beispiel: Schwache Passwörter, fehlende Zugriffskontrollen oder eine Phishing-E-Mail können Ursache beziehungsweise Schwachstelle sein. Daraus kann das Risikoszenario „Hackerangriff auf das Unternehmensnetzwerk“ entstehen. Mögliche Auswirkungen sind Datenverlust, Betriebsunterbrechungen, Reputationsschäden oder Datenschutzverletzungen.

Anschließend wird das Risiko bewertet. Typische Kriterien sind:

• Eintrittswahrscheinlichkeit: Wie wahrscheinlich ist es, dass das Szenario eintritt?
• Schaden beziehungsweise Auswirkung: Wie schwer wären die Folgen?
• Gesamtrisiko: Wie hoch ist das Risiko aus der Kombination beider Faktoren?

Diese Bewertung hilft, Ressourcen gezielt einzusetzen. Ein Risiko mit hoher Wahrscheinlichkeit und hohem Schaden muss anders behandelt werden als ein Risiko mit geringer Auswirkung. Wichtig ist dabei nicht, eine perfekte mathematische Genauigkeit vorzutäuschen. Entscheidend ist, dass die Bewertung konsistent, nachvollziehbar und dokumentiert erfolgt.

Nach der ersten Bewertung folgt die Risikobehandlung. Dabei werden Maßnahmen festgelegt, Verantwortliche bestimmt und das Restrisiko erneut betrachtet. Genau hier zeigt sich, ob Risikomanagement nur auf dem Papier existiert oder tatsächlich steuernd wirkt.

Welche Maßnahmen gehören zu einem belastbaren Risikomanagement?

Technik ist wichtig, aber sie reicht allein nicht aus. NIS2-konformes Risikomanagement lebt von der Verbindung technischer und organisatorischer Maßnahmen. Nur wenn beides zusammengedacht wird, entsteht ein System, das nicht nur schützt, sondern auch steuerbar und nachweisbar ist.

Technische Maßnahmen können zum Beispiel sein:

• Firewalls zur Absicherung kritischer Systeme
• Monitoring zur Erkennung auffälliger Aktivitäten
• mehrstufige Authentifizierungsverfahren
• Passwortrichtlinien
• regelmäßige Penetrationstests

Organisatorische Maßnahmen sind ebenso wichtig. Dazu gehören etwa:

• verbindliche Richtlinien und Standards
• Schulungen und Awareness-Maßnahmen
• klare Zuständigkeiten
• dokumentierte Freigaben
• regelmäßige Reviews
• Verfahren zur Wirksamkeitsbewertung

Der zentrale Punkt ist: Maßnahmen sollten nicht isoliert ausgewählt werden. Sie müssen auf konkrete Risiken einzahlen. Wenn das Ausgangsrisiko ein Hackerangriff auf das Unternehmensnetzwerk ist, sollten die gewählten Maßnahmen erkennbar dazu beitragen, Eintrittswahrscheinlichkeit oder Schadenshöhe zu reduzieren.

Danach bleibt meist ein Restrisiko. Dieses muss bewertet und – falls es nicht weiter reduziert wird – bewusst akzeptiert werden. Auch diese Risikoakzeptanz sollte dokumentiert sein. Denn gerade hier zeigt sich, ob die Organisation Verantwortung klar geregelt hat.

Wer muss im Risikomanagement Verantwortung übernehmen?

Risikomanagement funktioniert nicht als reine IT-Aufgabe. Es lebt vom Austausch zwischen Fachbereichen, Management, IT, Legal, Informationssicherheit und weiteren Beteiligten. Risiken entstehen oft dort, wo Prozesse tatsächlich stattfinden: in HR, Produktion, Einkauf, Legal, IT oder im Dienstleistermanagement.

Deshalb braucht es zwei Perspektiven:

• Risk Owner: Sie kennen die Prozesse, Systeme und Schwachstellen ihres Bereichs. Sie wissen, wo es im Ernstfall „weh tun“ könnte.
• Risk Manager: Er oder sie macht Risiken greifbar, strukturiert den Prozess, moderiert Bewertungen und sorgt dafür, dass Entscheidungen nachvollziehbar werden.

Damit das funktioniert, müssen Rollen und Entscheidungswege sauber geregelt sein. Unternehmen sollten festlegen, wer Programmverantwortung trägt, wer als Asset Owner, Service Owner oder Supplier Owner zuständig ist und wer im Incident- oder BCM-Kontext entscheidet.

Besonders wichtig sind:

• klare Zuordnung von Risiken
• regelmäßige Prüfung der Maßnahmenumsetzung
• Beobachtung und Nachbewertung von Risikoentwicklungen
• verbindliche Eskalationswege
• Management-Reporting
• dokumentierte Risikoakzeptanzen
• nachvollziehbare Priorisierungen

Ohne diese Struktur bleiben Maßnahmen oft unverbindlich. Im Ernstfall ist dann unklar, wer entscheidet, wer informiert werden muss und welche Risiken bewusst getragen wurden.

Wie lässt sich Risikomanagement dauerhaft im Unternehmen verankern?

Ein Risikomanagementsystem ist nur dann wirksam, wenn es nicht neben dem Tagesgeschäft existiert. Es muss in bestehende Prozesse integriert werden. Sonst entsteht ein Parallelprozess, der bei Audits oder Vorfällen mühsam reaktiviert wird, aber im Alltag kaum Wirkung entfaltet.

Ein guter Ansatz ist, Pflichten in bestehende Abläufe zu übersetzen. Das kann bedeuten, Risikofragen in Change- und Projektprozesse einzubauen, Lieferantensteuerung anzubinden oder Controls und Nachweise im ISMS zu verankern.

Praktisch wichtig sind insbesondere:

• Pflichtfelder in bestehenden Prozessen: Risikorelevante Informationen sollten dort erfasst werden, wo Entscheidungen ohnehin getroffen werden.
• Controls und Nachweise im ISMS: Maßnahmen und Nachweise sollten zentral strukturiert und überprüfbar sein.
• Anbindung der Lieferantensteuerung: Risiken aus Dienstleisterbeziehungen sollten nicht getrennt vom Cyber-Risikomanagement betrachtet werden.
• Nutzung von Change- und Projektprozessen: Neue Systeme, Prozesse oder Änderungen sollten risikobasiert bewertet werden.
• Tests, Übungen und KPIs: Wirksamkeit muss messbar und überprüfbar sein.
• Feste Review-Zyklen: Risiken, Maßnahmen und Dokumentation sollten regelmäßig aktualisiert werden.

So wird Risikomanagement vom Compliance-Projekt zum Bestandteil der Governance. Genau das ist entscheidend: Governance braucht Platz im Alltag.

Welche Rolle spielt Notfallplanung im NIS2-Risikomanagement?

Risikomanagement endet nicht bei Prävention. Auch die Frage, wie ein Unternehmen im Ernstfall reagiert, gehört dazu. Denn selbst gute Sicherheitsmaßnahmen können nicht jedes Risiko vollständig ausschließen.

Deshalb braucht es realistische Notfall- und Wiederanlaufpläne. Entscheidend ist, dass diese nicht nur auf dem Papier existieren, sondern regelmäßig getestet werden. Im Krisenfall bleibt keine Zeit, Zuständigkeiten erstmals zu klären oder Kommunikationswege zu improvisieren.

Ein belastbarer Notfallansatz umfasst:

• Notfall- und Wiederanlaufpläne
• benannte Notfallteams aus Security, Legal, IT und Management
• klare Eskalations- und Entscheidungswege
• regelmäßige Übungen und Tests
• Nachbereitung und Verbesserung nach Tests oder Vorfällen

Bereit zu sein ist besser als zu hoffen. Gerade unter NIS2 ist das wichtig, weil Unternehmen zeigen können sollten, dass sie nicht nur Risiken erkannt, sondern auch Reaktionsfähigkeit aufgebaut haben.

Fazit: Was sollten Unternehmen jetzt tun?

Das Hauptproblem ist nicht, dass Unternehmen keine Cyber-Sicherheitsmaßnahmen kennen. Das Hauptproblem ist, dass Risiken, Verantwortlichkeiten und Nachweise oft nicht systematisch genug miteinander verbunden sind. NIS2 erhöht genau hier den Druck: Risikomanagement muss nachvollziehbar, verhältnismäßig, dokumentiert und dauerhaft wirksam sein.

Die wichtigste Erkenntnis lautet: NIS2-konformes Risikomanagement ist kein Einzelprojekt und keine reine IT-Aufgabe. Es ist ein laufender Managementprozess, der Risiken sichtbar macht, bessere Entscheidungen ermöglicht und Verantwortung klar regelt.