Kategorie: Uncategorized

Risikomanagement

Was ist eigentlich Risikomanagement?

Der Begriff Risikomanagement ist seit NIS 2 wieder häufiger zu hören. Alle, die jetzt schon wieder aufschreien, wie kompliziert das sein wird, kann ich beruhigen. Risikomanagement ist keine neue Sache, es gibt etablierte, gut umsetzbare Prozesse. Und nebenbei bemerkt, sollten Unternehmen sich schon längst um das Thema Risikomanagement kümmern – nicht nur im Bereich IT und Cybersicherheit, sondern auch in vielen anderen Geschäftsbereichen. Auch mit IT-Sicherheit verzahnte Normen/Konzepte sind zu beachten, wie z. B: DSGVO, AI-Act, Compliance etc. Deshalb erkläre ich hier, worum es geht und wie eine Risikoanalyse aussehen kann.

Risikomanagement: Kurze Einordnung

Bereits § 91 II + III AktG verpflichtet Vorstände von Aktiengesellschaften seit 1998 dazu, ein Überwachungssystem für bestandsgefährdende Risiken einzurichten. Die Idee ist also fast 30 Jahre alt. Auch die ISO/IEC 27001 – der weltweit führende Standard als Vorgabe für eine strukturierte Umsetzung von IT-Sicherheit – verankert den risikobasierten Ansatz seit jeher als zentrales Element. Und um auch noch einmal auf die DSGVO zu sprechen zu kommen: Art. 5 I lit. f) DSGVO fordert die Sicherstellung von Integrität und Vertraulichkeit personenbezogener Daten und verfolgt denselben Ansatz über die Anforderung eine „angemessene Sicherheit“ zu gewährleisten. Das funktioniert nur, wenn eine Risikobewertung durchgeführt wird. Sie sehen, das Thema Risikomanagement ist wirklich nicht neu.

Risikomanagement und NIS 2 gehören untrennbar zusammen

In § 30 des BSI-Gesetzes — das ist das deutsche NIS-2-Umsetzungsgesetz, das seit dem 6. Dezember 2025 gilt — sind Risikomanagementmaßnahmen für „besonders wichtige“ und „wichtige“ Einrichtungen verankert. Deshalb wird das Thema gerade wieder aktuell. Gefordert wird dort eine systematische Bewertung der Risiken für Netz- und Informationssysteme sowie daraus abgeleitete, verhältnismäßige Schutzmaßnahmen. Verhältnismäßig ist dabei das Schlüsselwort. Es geht nämlich nicht um realitätsferne Maßnahmen, sondern um solche, die unter anderem:

  • dem Stand der Technik entsprechen,
  • einschlägige europäische und internationale Normen berücksichtigen (EN, ISO/IEC),
  • sowohl digitale als auch physische und hybride Gefahren berücksichtigen und auch
  • die Firmengröße und den dort vorhandenen Etat berücksichtigen,

um ein, für das Unternehmen, angemessenes IT-Sicherheitsniveau herzustellen.

Die Umsetzung ist grundsätzlich bekannt und möglich, die Mindestanforderungen werden sogar in Form eines Maßnahmenkataloges in § 30 BSIG genau aufgelistet. Außerdem ist die Forderung eines Risikomanagements absolut berechtigt und im Interesse von Unternehmen, denn Cyberangriffe und Social Engineering nehmen stetig zu. Am Ende soll das Unternehmen geschützt werden, denn die Schäden durch Cyberangriffe erhöhen sich ständig. Die entsprechenden Summen können ein Unternehmen leicht in finanzielle Schwierigkeiten bringen. Und auch wenn eine Cyberversicherung evtl. den monetären Schaden zahlt, der immaterielle Schaden, der sich schnell als Reputationsschaden zeigt, ist nicht durch Geld aufzufangen.

Neu an NIS 2, das möchte ich hier einfach noch mal erwähnen, ist vor allem die Verbindlichkeit der Umsetzung, die jetzt durch Prüfrechte des BSI und konkrete Meldepflichten im BSIG dargestellt sind. Nicht außer Acht zu lassen ist außerdem die persönliche Verantwortung der Geschäftsleitung. IT-Sicherheit ist nämlich ein Managementthema und kein originäres IT-Thema.

So funktioniert eine Risikoanalyse in der Praxis

Die Risikoanalyse ist eine zentrale Methode im Rahmen des Risikomanagements. Das BSI beschreibt den Ablauf ganz übersichtlich in sechs Schritten:

Kontext verstehen: Welche internen und externen Einflüsse sind relevant? Welche Stakeholder haben welche Anforderungen?

Assets identifizieren: Welche Geschäftsprozesse, Daten, Systeme oder Räume sind schützenswert? Welche potenziellen Bedrohungen gibt es? Und welche Schwachstellen sind vorhanden?

Risikobewertung durchführen: Hier wird der Rahmen festgelegt, zum Beispiel für die Erstellung einer Risikomatrix. Welche Kategorien für Eintrittswahrscheinlichkeit und Schadensauswirkungen gibt es? Welches Risikoniveau ist für das Unternehmen akzeptabel?

Risikobehandlung: Welche Strategien gibt es? Welche Maßnahmen sind geeignet und wer ist verantwortlich?

Dokumentation: Ergebnisse und Maßnahmen müssen nachvollziehbar festgehalten werden.

Regelmäßige Überprüfung: Da sich Rahmenbedingungen und die Bedrohungslage ändern, muss die Risikoanalyse überprüft und aktualisiert werden.

Dies ist zwar eine verkürzte Übersicht, doch die Prozesse werden darin klar.

Welcher Standard sollte genutzt werden?

Welche Methodik zur Risikoanalyse umgesetzt wird, darf das Unternehmen frei entscheiden.

Das BSIG fordert eine Umsetzung nach internationaler Norm, hier drängt sich ISO/IEC 27001 förmlich auf, ggf. unterstützt durch das vom BSI schon vor Jahren herausgegebene Umsetzungs-Framework in Form der BSI-Grundschutz-Kataloge, die voll kompatibel zu ISO/IEC 27001 sind.

Fazit

Wer nach ISO/IEC 27001 zertifiziert ist – mit oder ohne BSI-Grundschutz – hat die Anforderungen der Risikoanalyse umgesetzt. Nun gilt es, das Konzept aktuell zu halten. Wer noch keine strukturierte Sicherheitsarchitektur hat, sollte sich jetzt kümmern.

Ich unterstütze Sie gerne zu allen Fragen der konzeptionellen IT-Sicherheitsumsetzung nach ISO/IEC 27001 mit oder ohne BSI-Grundschutz. Auch können Sie entsprechende Seminare bei mir buchen, ich bin beim BSI gelistet für die Durchführung der BSI-Schulungen.

Sie wissen noch nicht, ob Sie unter den Anwendungsbereich von NIS 2 (BSIG) fallen? Wir finden es heraus. Aber ich kann Ihnen jetzt schon sagen, um eine ordentliche IT-Sicherheitsstruktur kommen Sie nicht herum. Vereinbaren Sie einfach einen unverbindlichen Kennenlerntermin.

NIS 2 ist nun da

NIS 2 ist nun da: Was das neue Umsetzungsgesetz jetzt wirklich bedeutet

NIS 2 ist kein vollkommen neues Regelwerk, sondern eine konsequente Weiterentwicklung des bestehenden deutschen IT-Sicherheitsrechts. Mit dem am 05.12.2025 im Bundesgesetzblatt verkündeten und am 06.12.2025 in Kraft getretenen nationalen Umsetzungsgesetz wird das bisherige BSI-Gesetz deutlich erweitert und inhaltlich geschärft. Für Unternehmen bedeutet das vor allem eines: Die bekannten Anforderungen an Informationssicherheit bleiben bestehen, werden aber auf Lieferketten kritischer Betreiber ausgedehnt und verbindlicher durchgesetzt.

Image

Quelle: KI generiert

Die europäische NIS-2-Richtlinie verfolgt das Ziel, die Cybersicherheit in der gesamten EU auf ein vergleichbares und belastbares Niveau zu heben. Da es sich um eine Richtlinie handelt, musste sie zunächst in nationales Recht überführt werden. Der Zeitstrahl  zeigt eindrücklich, dass dieser Prozess mehrere Jahre in Anspruch genommen hat. Zwischen der Verabschiedung der Richtlinie Ende 2022 und dem Inkrafttreten des deutschen Gesetzes Ende 2025 liegen umfangreiche Abstimmungs-, Gesetzgebungs- und Prüfverfahren. Diese Dauer ist kein Sonderfall, sondern typisch für Richtlinienumsetzungen im Europarecht. Der Umsetzungszeitraum war eine Chance für Unternehmen, sich auf die neuen bzw. erweiterten Regleungen vorzubereiten.

NIS 2 Gesetzgebungszeitstrahl * cheyenne-Blog

Mit dem Umsetzungsgesetz wird das BSI-Gesetz nicht ersetzt, sondern ausgebaut. Das Bundesamt für Sicherheit in der Informationstechnik bleibt die zentrale nationale Aufsichtsbehörde. Es ist weiterhin zuständig für Aufsicht, Beratung, Kontrolle und Durchsetzung der gesetzlichen Anforderungen. Unternehmen, die bereits Berührungspunkte mit dem BSI hatten, werden viele Strukturen wiedererkennen, müssen sich aber auf erweiterte Pflichten einstellen.

Adressiert werden nun nicht mehr nur klassische KRITIS-Betreiber. Der Anwendungsbereich wurde deutlich ausgeweitet. Besonders wichtige und wichtige Einrichtungen werden anhand von Sektorzugehörigkeit und Unternehmensgröße bestimmt. Maßgeblich sind unter anderem Energie, Verkehr, Gesundheit, digitale Infrastruktur, Abfallwirtschaft, Lebensmittelproduktion, IT-Dienstleistungen und zahlreiche weitere Bereiche. Auch mittlere Unternehmen können erstmals erfasst sein. Die Erweiterung resultiert aus der Idee, dass IT-Sicherheit für kritische Infrastruktur nur sinnvoll umgesetzt werden kann, wenn die Lieferketten daran beteiligt werden.

Fällt Ihr Unternehmen unter NIS2?

Hier eine vereinfachte Checkliste zur ersten Einordnung:

  • Sie erbringen Ihre Dienstleistungen in einem der in der Anlage der Verordnung genannten kritischen oder wichtigen Sektoren.
  • Ihr Unternehmen beschäftigt mindestens 50 Mitarbeiter oder überschreitet die relevanten Umsatz- oder Bilanzsummenschwellen.
  • Sie betreiben IT-Systeme, Netzwerke oder digitale Dienste, deren Ausfall erhebliche Auswirkungen auf Wirtschaft oder Gesellschaft haben kann.
  • Sie waren bisher kein KRITIS-Betreiber, fallen aber aufgrund der abgesenkten Schwellenwerte erstmals unter das Gesetz.

Treffen mehrere Punkte zu, ist eine vertiefte Prüfung dringend zu empfehlen.

Inhaltlich verlangt NIS 2 keine exotischen oder realitätsfernen Maßnahmen. Gefordert wird ein systematisches, dokumentiertes und wirksames Informationssicherheitsmanagement. Dazu gehören Risikoanalysen, Notfall- und Incident-Response-Konzepte, Lieferkettensicherheit, Schulungen für Geschäftsleitungen und Mitarbeiter sowie klare Meldeprozesse bei Sicherheitsvorfällen. Neu ist vor allem die Verbindlichkeit und die persönliche Verantwortung der Geschäftsleitung.

Das BSI orientiert sich bei der Bewertung der Maßnahmen weiterhin am Stand der Technik. In der Praxis bietet sich eine Umsetzung der IT-Sicherheit nach BSI-Grundschutz bzw. ISO 27001 an. Wer bereits nach diesen Standards arbeitet, hat eine solide Ausgangsbasis. Wer noch keine strukturierte Sicherheitsarchitektur etabliert hat, sollte jetzt handeln.

NIS 2 schafft damit weniger neue Pflichten als vielmehr Klarheit. Unternehmen wissen nun, wer zuständig ist, welche Anforderungen gelten und welche Konsequenzen drohen, wenn sie ignoriert werden. Gleichzeitig bietet das Gesetz einen Rahmen, um Informationssicherheit strategisch und planbar umzusetzen.

Und jetzt? Ichhelfe Ihnen gerne

Sie sind unsicher, ob Ihr Unternehmen unter NIS 2 fällt oder welche Rolle Sie als Geschäftsleitung konkret haben?
Sprechen Sie mich gerne an. Eine kurze Einordnung schafft oft bereits Klarheit über Handlungsbedarf und Prioritäten.

Wenn Sie als Geschäftsführer wissen möchten, was NIS 2 praktisch für Sie bedeutet, bietet mein Seminar NIS 2 für Entscheider eine kompakte und verständliche Übersicht. Es geht um Verantwortlichkeiten, typische Fallstricke und darum, wie Informationssicherheit wirtschaftlich sinnvoll organisiert werden kann.

Wenn Sie vor allem an der strukturierten Umsetzung interessiert sind, ist IT-Sicherheit nach BSI-Grundschutz ein bewährter Ansatz. In meinen BSI-Seminaren zeige ich, wie sich gesetzliche Anforderungen systematisch und praxisnah abbilden lassen.

Hier geht es zu meinen Seminaren:  cheyenne-IT.de/seminare

Auch für eine allgemeine Strategieberatung stehe ich Ihnen gerne zur Verfügung.

 

 

Der europäische Datenschutztag

Der europäische Datenschutztag findet seit 2007 immer am 28. Januar eines Jahres statt. Dieser Tag wurde vom Europarat ins Leben gerufen, um die Bürger Europas mehr für den Datenschutz zu sensibilisieren.

europäischer Datenschutztag

Der Termin wurde so gewählt, weil am gleichen Tag 1981 die Europäische Datenschutzkonvention unterzeichnet wurde. Im Jahr 2008 haben sich die USA und Kanada der Idee angeschlossen und veranstalten nun ihrerseits am selben Tag einen Datenschutztag.

Der europäische Datenschutztag in Deutschland wird von den unabhängigen Datenschutzbehörden der Länder begangen, in jedem Jahr gibt es ein Thema. Ausrichter ist jeweils eine der Landesbehörden. In diesem Jahr ist es das Land Nordrhein-Westfalen.

Das Thema dieses Jahres ist:

„Europäischer Datenschutz: Chance oder Risiko? Acht Monate DS-GVO – Bilanz und Blick nach vorn“

Wie in jedem Jahr kommen verschiedene Experten zu diesem Thema zu Wort.

Ich werde wie gewohnt nach meinem Besuch an dieser Stelle über den europäischen Datenschutztag berichten.

europäischer Datenschutztag 2018