ISMS Copilot
NIS2 mit KI

Durchführung der NIS2-Risikobewertung mit KI

Übersicht

Sie erfahren, wie Sie KI einsetzen können, um eine umfassende NIS2-Risikobewertung gemäß Artikel 21 durchzuführen. Dieser Leitfaden deckt den von der Richtlinie geforderten All-Hazards-Ansatz (Gefahrenabwehr für alle Bedrohungen) ab, identifiziert sowohl Cyber- als auch Nicht-Cyber-Risiken, wendet das Proportionalitätsprinzip an, erstellt eine auf Ihren Unternehmenstyp zugeschnittene Risikomethodik, generiert detaillierte Risikoregister, analysiert Ihre Bedrohungslandschaft und ordnet die Risikobehandlung den zehn Maßnahmenbereichen von Artikel 21 zu.

Für wen dieser Leitfaden ist

Dieser Leitfaden richtet sich an:

  • Risikomanager und CISOs, die für NIS2-Risikobewertungsprozesse verantwortlich sind

  • Compliance-Beauftragte, die Risikomanagement-Frameworks für NIS2 aufbauen oder aktualisieren

  • Sicherheitsberater, die NIS2-Risikobewertungen für Kunden in kritischen Sektoren durchführen

  • IT-Manager, die die Anforderungen von Artikel 21 in umsetzbare Risikobehandlungspläne übersetzen müssen

  • Mitglieder der Geschäftsführung, die Risikomanagementmaßnahmen genehmigen müssen und ihre persönliche Haftung gemäß Artikel 20 verstehen wollen

Bevor Sie beginnen

Sie benötigen:

  • Ein ISMS Copilot-Konto (kostenlose Testversion verfügbar)

  • Ihre NIS2-Anwendungsbereichsbestimmung (Einstufung als wesentliche oder wichtige Einrichtung) – siehe Erste Schritte bei der NIS2-Umsetzung mit KI, falls Sie dies noch nicht abgeschlossen haben

  • Ein Inventar Ihrer kritischen Informationssysteme, Netzwerke und Dienste

  • Ihre aktuelle Dokumentation zur Risikobewertung (falls vorhanden)

  • Genehmigung des Risikobewertungsprozesses durch das Leitungsorgan (Artikel 20)

NIS2 Artikel 21(1) fordert einen risikobasierten All-Hazards-Ansatz. Das bedeutet, dass Ihre Risikobewertung nicht nur Cyber-Bedrohungen, sondern auch physische, umweltbedingte, menschliche und lieferkettenbezogene Risiken berücksichtigen muss, die die Sicherheit Ihrer Netz- und Informationssysteme beeinträchtigen könnten.

Verständnis der NIS2-Risikobewertungsanforderungen

Was Artikel 21 fordert

Artikel 21 Absatz 1 der NIS2-Richtlinie verpflichtet wesentliche und wichtige Einrichtungen, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen. Diese Maßnahmen müssen auf einem All-Hazards-Ansatz beruhen und darauf abzielen, Netz- und Informationssysteme sowie deren physische Umgebung vor Vorfällen zu schützen.

Der All-Hazards-Ansatz bedeutet, dass Ihre Risikobewertung Folgendes adressieren muss:

  • Cyber-Bedrohungen: Ransomware, Phishing, Advanced Persistent Threats (APT), DDoS, Kompromittierung der Lieferkette, Insider-Drohungen

  • Physische Bedrohungen: Unbefugter physischer Zugriff, Diebstahl von Geräten, Sabotage, Vandalismus

  • Umweltbedrohungen: Naturkatastrophen, Überschwemmungen, Feuer, Stromausfälle, extreme Wetterereignisse

  • Menschliche Faktoren: Menschliches Versagen, Social Engineering, unzureichende Schulung, Abhängigkeit von Schlüsselpersonen

  • Lieferkettenrisiken: Kompromittierung von Lieferanten, Abhängigkeit von einzelnen Anbietern, Schwachstellen bei Drittanbietern

  • Technische Fehler: Hardwarefehler, Softwarefehler, Kapazitätserschöpfung, Konfigurationsfehler

Fokusbereich Audit: Die Aufsichtsbehörden werden prüfen, ob Ihre Risikobewertung tatsächlich einen All-Hazards-Ansatz verfolgt oder sich nur auf Cyber-Bedrohungen konzentriert. Bewertungen, die physische, umweltbedingte oder menschliche Risiken ignorieren, werden als nicht konform mit Artikel 21(1) eingestuft.

Das Verhältnismäßigkeitsprinzip

Artikel 21(1) besagt explizit, dass Maßnahmen verhältnismäßig sein müssen in Bezug auf:

  • Den Grad der Risikoexposition der Einrichtung

  • Die Größe der Einrichtung

  • Die Wahrscheinlichkeit und Schwere von Vorfällen

  • Die gesellschaftlichen und wirtschaftlichen Auswirkungen von Vorfällen

Dies bedeutet, dass ein kleiner Managed Service Provider, der als wesentliche Einrichtung eingestuft ist, andere Kontrollerwartungen hat als ein großer Energieversorger, obwohl beide alle zehn Maßnahmenbereiche abdecken müssen. Ihre Risikobewertung muss dokumentieren, wie die Verhältnismäßigkeit angewendet wurde.

Wie KI die NIS2-Risikobewertung transformiert

Traditionelle Risikobewertungen für NIS2 erfordern tiefgreifende Expertise in verschiedenen Bedrohungsbereichen, sektorspezifisches Wissen und die Fähigkeit, hunderte von Risiken den Kontrollmaßnahmen zuzuordnen. ISMS Copilot beschleunigt dies durch:

  • Sektorspezifische Threat Intelligence: Generierung von Bedrohungslandschaften, die auf ENISA-Berichten und realen Angriffsmustern basieren

  • Umfassende Risikoidentifikation: Gewährleistung der All-Hazards-Abdeckung durch systematisches Generieren von Risikoszenarien über alle Bedrohungskategorien hinweg

  • Konsistente Bewertung: Anwendung von Wahrscheinlichkeits- und Auswirkungskriterien über hunderte von Risikoszenarien hinweg

  • Maßnahmen-Mapping: Automatische Zuordnung identifizierter Risiken zu den entsprechenden Artikel 21-Maßnahmenbereichen und spezifischen Kontrollen

  • Generierung von Risikoregistern: Erstellung strukturierter, audit-bereiter Risikoregister in Minuten statt Wochen

Schritt 1: Definition Ihrer Risikobewertungsmethodik

Warum die Methodik an erster Stelle stehen muss

Bevor Sie Risiken identifizieren, müssen Sie Ihre Risikobewertungsmethodik festlegen und dokumentieren. Die Aufsichtsbehörden werden prüfen, ob eine Methodik existiert, ob sie von der Geschäftsführung genehmigt wurde und ob sie konsistent auf alle bewerteten Risiken angewendet wurde.

Aufbau der Methodik mit KI

  1. Erstellen des Methodik-Frameworks:

    "Erstelle eine umfassende NIS2-Risikobewertungsmethodik für eine Organisation im Sektor [Sektor], die als [wesentliche/wichtige] Einrichtung mit [Anzahl] Mitarbeitern eingestuft ist. Die Methodik muss: einen All-Hazards-Ansatz gemäß Artikel 21(1) verfolgen, die Phasen Risikoidentifikation, -analyse, -bewertung und -behandlung umfassen, Wahrscheinlichkeits- und Auswirkungsskalen (5-stufig) definieren, Risikoberechnung und Risikoakzeptanzkriterien enthalten, das Verhältnismäßigkeitsprinzip berücksichtigen und für die Genehmigung durch unsere Geschäftsführung geeignet sein."

  2. Auf NIS2 zugeschnittene Auswirkungskriterien definieren:

    "Erstelle NIS2-spezifische Kriterien für die Auswirkungsanalyse, die fünf Dimensionen abdecken: (1) Betriebsunterbrechung wesentlicher/wichtiger Dienste, (2) finanzieller Verlust einschließlich potenzieller Bußgelder bis zu [10 Mio. EUR/7 Mio. EUR] oder [2 %/1,4 %] des Umsatzes, (3) Auswirkungen auf andere Einrichtungen und Sektoren (Kaskadeneffekte), (4) Anzahl der betroffenen Nutzer/Empfänger und (5) rufschädigende und gesellschaftliche Auswirkungen. Erstelle eine 5-Punkte-Skala mit konkreten Beispielen für jede Dimension, die für eine [Sektor]-Organisation relevant sind."

  3. Wahrscheinlichkeitskriterien definieren:

    "Erstelle Kriterien zur Bewertung der Risikowahrscheinlichkeit für unsere NIS2-Risikobewertung. Beziehe eine 5-Punkte-Skala (Selten/Unwahrscheinlich/Möglich/Wahrscheinlich/Nahezu sicher) ein mit: frequenzbasierten Definitionen, auf Bedrohungsfähigkeit basierenden Definitionen und sektorspezifischen Beispielen. Referenziere aktuelle ENISA-Bedrohungsdaten für unseren Sektor [Sektor]."

  4. Risikoakzeptanzschwellen festlegen:

    "Definiere Risikoakzeptanzkriterien für die NIS2-Compliance. Der Risikoappetit unserer Organisation ist [konservativ/moderat/aggressiv]. Erstelle: eine Risikomatrix (5x5) mit farbcodierten Risikostufen, Akzeptanzschwellen nach Risikostufe (akzeptieren/mindern/transferieren/vermeiden), Eskalationsregeln für Risiken über der Toleranzgrenze und Genehmigungsbefugnisse (Risikoeigner/CISO/Geschäftsführung) für jede Behandlungsentscheidung."

Dokumentation der Genehmigung: Sobald ISMS Copilot Ihre Methodik generiert hat, legen Sie diese Ihrer Geschäftsführung zur formalen Genehmigung vor. Halten Sie die Genehmigung im Protokoll der Vorstandssitzung fest. Dies ist eine spezifische Anforderung gemäß Artikel 20 – das Leitungsorgan muss die Risikomanagementmaßnahmen im Bereich Cybersicherheit genehmigen.

Schritt 2: Identifizierung und Katalogisierung Ihrer Assets

Was in Ihr Asset-Inventar gehört

Die NIS2-Risikobewertung erfordert ein gründliches Verständnis der Netz- und Informationssysteme, die Ihr Unternehmen für den Betrieb und die Erbringung von Dienstleistungen nutzt. Ihr Inventar sollte Folgendes abdecken:

Asset-Kategorie

Beispiele

NIS2-Relevanz

Informationswerte

Kundendaten, Betriebsdaten, Konfigurationsdaten, Anmeldedaten

Vertraulichkeit, Integrität, Verfügbarkeit von Diensten

Hardware

Server, Netzwerkgeräte, OT/ICS-Systeme, Endgeräte, IoT-Geräte

Schutz der physischen Umgebung, Zugriffskontrolle

Software

Betriebssysteme, Anwendungen, Firmware, SCADA/DCS-Systeme

Umgang mit Schwachstellen, Sicherheit bei der Beschaffung

Netzwerkinfrastruktur

Router, Switches, Firewalls, VPNs, drahtlose Netzwerke

Netzwerksicherheit, Segmentierung, Überwachung

Cloud-Dienste

IaaS-, PaaS-, SaaS-Anbieter, CDN, DNS

Lieferkettensicherheit, Drittanbieterrisiko

Personen

Schlüsselpersonal, Administratoren, externe Auftragnehmer

Personal-Sicherheit, Zugriffskontrolle, Schulung

Einrichtungen

Rechenzentren, Büros, Industrieanlagen, Kontrollräume

Physische Umgebung, Betriebskontinuität

Dienste

Erbringung wesentlicher/wichtiger Dienste, unterstützende Dienste

Dienstverfügbarkeit, Auswirkungsanalyse bei Vorfällen

Generierung Ihres Asset-Inventars mit KI

  1. Inventar-Vorlage erstellen:

    "Generiere eine umfassende Asset-Inventar-Vorlage für die NIS2-Risikobewertung in einer [Sektor]-Organisation. Beziehe Spalten ein für: Asset-ID, Asset-Name, Asset-Kategorie, Beschreibung, Asset-Eigner, Geschäftskritikalität (1-5), Abhängigkeiten (Upstream/Downstream), Standort, Relevanz für NIS2-Maßnahmenbereiche und aktuelle Schutzmaßnahmen. Fülle sie vorab mit typischen Assets für eine [Sektor]-Einrichtung."

  2. Kritische Dienstabhängigkeiten identifizieren:

    "Kartiere für unsere [Sektor]-Organisation, die [wesentliche/wichtige Dienste beschreiben] anbietet, die kritischen Abhängigkeiten zwischen unseren Diensten und den zugrunde liegenden Assets. Erstelle einen Abhängigkeitsbaum, der zeigt: welche Assets welche Dienste unterstützen, Single Points of Failure und Kaskadeneffekt-Pfade, falls spezifische Assets kompromittiert werden. Dies ist entscheidend für die NIS2-Auswirkungsanalyse bei Vorfällen."

  3. Assets nach Kritikalität klassifizieren:

    "Wende Geschäftskritikalitäts-Klassifizierungen auf unser Asset-Inventar für die NIS2-Risikobewertung an. Die Klassifizierungskriterien sollten berücksichtigen: Auswirkungen auf die Erbringung wesentlicher/wichtiger Dienste bei Kompromittierung des Assets, Anforderungen an die Wiederherstellungszeit, regulatorische Sensibilität und Vernetzung mit anderen kritischen Assets. Weise Kritikalitätsstufen (Kritisch/Hoch/Mittel/Niedrig) mit Begründung zu."

Berücksichtigung von OT/ICS: Wenn Ihr Unternehmen in Sektoren wie Energie, Wasser, Transport oder Fertigung tätig ist, muss Ihr Asset-Inventar operative Technologien (OT) und industrielle Steuerungssysteme (ICS) enthalten. Diese haben oft andere Risikoprofile, längere Patch-Zyklen und einzigartige Schwachstellen im Vergleich zu IT-Assets. ISMS Copilot kann Ihnen helfen, sektorspezifische OT-Risiken zu identifizieren.

Schritt 3: Analyse Ihrer Bedrohungslandschaft

Aufbau eines sektorspezifischen Bedrohungsprofils

NIS2 erfordert einen All-Hazards-Ansatz, aber die spezifischen Bedrohungen, denen Ihr Unternehmen ausgesetzt ist, hängen stark von Ihrem Sektor, dem geografischen Standort und Ihrer Technologieumgebung ab. Die ENISA veröffentlicht jährliche Berichte zur Bedrohungslandschaft, die sektorspezifische Informationen liefern.

  1. Generierung Ihrer Bedrohungslandschaft:

    "Erstelle eine umfassende Analyse der Bedrohungslandschaft für unsere [Sektor]-Organisation zur NIS2-Risikobewertung. Beziehe ein: (1) Cyber-Bedrohungen: Top-Angriffsvektoren für unseren Sektor (mit aktuellen Beispielen), relevante Bedrohungsakteure (staatlich unterstützt, Cyberkriminelle, Hacktivisten, Insider) und aufkommende Bedrohungen. (2) Physische Bedrohungen: unbefugter Zugriff, Diebstahl von Equipment, Sabotage. (3) Umweltbedrohungen: Naturkatastrophen für unseren [Standort], Stromnetzrisiken, klimabedingte Risiken. (4) Menschliche Bedrohungen: Social-Engineering-Muster in unserem Sektor, Indikatoren für Insider-Drohungen, Abhängigkeit von Schlüsselpersonen. (5) Lieferkettenbedrohungen: gängige Angriffsmuster in unserem Sektor, Abhängigkeitsrisiken. Referenziere ENISA-Bedrohungsdaten, sofern anwendbar."

  2. Fähigkeiten von Bedrohungsakteuren bewerten:

    "Bewerte für jede für unsere [Sektor]-Einrichtung relevante Kategorie von Bedrohungsakteuren: Motivation (finanziell, Spionage, Störung, ideologisch), Fähigkeitsniveau (opportunistisch bis fortgeschritten), typische Angriffsmethoden, Zielmuster für unseren Sektor und historische Vorfälle bei ähnlichen Organisationen. Stelle dies als Matrix für Bedrohungsakteure dar."

  3. Sektorspezifische Angriffsszenarien identifizieren:

    "Generiere 20 realistische Angriffsszenarien speziell für eine [Sektor]-Organisation für die NIS2-Risikobewertung. Jedes Szenario sollte enthalten: Bedrohungsakteur, Angriffsvektor, betroffene Assets, potenzielle Auswirkungen auf wesentliche/wichtige Dienste, Wahrscheinlichkeitsbewertung und Kaskadeneffekte auf andere Einrichtungen oder Sektoren. Beziehe sowohl Cyber- als auch Nicht-Cyber-Szenarien ein, um die All-Hazards-Anforderung zu erfüllen."

Nicht-Cyber-Risiken nicht ignorieren: Ein häufiger Fehler besteht darin, die NIS2-Risikobewertung als reine Cybersicherheitsaufgabe zu betrachten. Artikel 21(1) fordert ausdrücklich den Schutz von Netz- und Informationssystemen und der „physischen Umgebung dieser Systeme“ vor Vorfällen. Auditoren werden nach Beweisen suchen, dass Sie neben Cyber-Bedrohungen auch physische, umweltbedingte und menschliche Risiken bewertet haben.

Schritt 4: Durchführung der Risikobewertung

Risikoidentifikation

Nachdem Asset-Inventar und Bedrohungslandschaft feststehen, identifizieren Sie systematisch Risiken, indem Sie überlegen, wie jede Bedrohung Schwachstellen in jedem kritischen Asset ausnutzen könnte und welche Auswirkungen dies auf Ihre wesentlichen oder wichtigen Dienste hätte.

  1. Initiales Risikoregister generieren:

    "Generiere auf Basis des Asset-Inventars und der Bedrohungslandschaft ein umfassendes Risikoregister für unsere NIS2-Risikobewertung. Beziehe für jeden Risikoeintrag ein: Risiko-ID, Risikotitel, Risikobeschreibung (Bedrohung + Schwachstelle + Auswirkung), betroffene(s) Asset(s), Bedrohungskategorie (Cyber/Physisch/Umwelt/Mensch/Lieferkette), betroffene NIS2 Artikel 21 Maßnahmenbereiche, bestehende Kontrollen, Restwahrscheinlichkeit (1-5), Restauswirkung (1-5), Risikowert, Risikostufe, Risikoeigner und empfohlene Behandlung. Generiere mindestens 40 Risiken, die alle Bedrohungskategorien für eine [Sektor]-Organisation abdecken."

  2. All-Hazards-Abdeckung sicherstellen:

    "Überprüfe unser Risikoregister auf Vollständigkeit gemäß dem All-Hazards-Ansatz. Verifiziere eine angemessene Abdeckung: Cyber-Bedrohungen (mind. 15 Risiken), physische Bedrohungen (mind. 5 Risiken), Umweltbedrohungen (mind. 5 Risiken), menschliche Risikofaktoren (mind. 5 Risiken), Lieferkettenrisiken (mind. 5 Risiken) und technische Fehlerrisiken (mind. 5 Risiken). Identifiziere Lücken und generiere zusätzliche Risikoeinträge."

  3. Kaskadeneffekte und sektorübergreifende Auswirkungen bewerten:

    "Analysiere für die 10 am höchsten bewerteten Risiken in unserem Register potenzielle Kaskadeneffekte: (1) wie dieses Risiko andere Einrichtungen beeinflussen könnte, die von unseren Diensten abhängen, (2) wie sich eine Störung unserer Dienste in unserem Sektor ausbreiten könnte, (3) ob die Auswirkungen andere NIS2-Sektoren betreffen könnten. Diese Kaskadenanalyse ist entscheidend für die Bestimmung der Erheblichkeit eines Vorfalls gemäß NIS2."

Risikoanalyse und Bewertung

  1. Konsistente Bewertung anwenden:

    "Prüfe und validiere die Risikowerte in unserem Risikoregister. Verifiziere für jedes Risiko: dass die Wahrscheinlichkeitsbewertung die aktuelle Bedrohungslage für unseren Sektor widerspiegelt, dass die Auswirkungsanalyse alle fünf NIS2-relevanten Dimensionen (Betriebsunterbrechung, finanzieller Verlust, Kaskadeneffekte, betroffene Nutzer, gesellschaftliche Auswirkung) berücksichtigt und dass die Berechnung des Risikowerts unserer genehmigten Methodik folgt. Markiere Inkonsistenzen und empfiehl Anpassungen."

  2. Risiko-Heatmap erstellen:

    "Generiere eine Risiko-Heatmap-Visualisierung für unser NIS2-Risikoregister, die zeigt: Verteilung der Risiken über Wahrscheinlichkeits- und Auswirkungsstufen, Clusterung nach Bedrohungskategorien und Identifizierung der Top-Risiko-Cluster, die vorrangig behandelt werden müssen. Formatiere dies als HTML-Tabelle mit farbcodierten Zellen."

Vorhandene Risikodaten hochladen: Wenn Ihr Unternehmen über bestehende Risikobewertungen verfügt (aus ISO 27001, DORA oder internen Prozessen), laden Sie diese in den ISMS Copilot hoch. Lassen Sie die KI identifizieren, welche Risiken für NIS2 relevant sind, welche für den All-Hazards-Ansatz aktualisiert werden müssen und welche zusätzlichen Risiken hinzugefügt werden müssen, um Artikel 21 zu erfüllen.

Schritt 5: Entwicklung von Risikobehandlungsplänen gemäß Artikel 21

Mapping von Risiken auf die Maßnahmenbereiche von Artikel 21

Jedes Risiko in Ihrem Register muss mit einem oder mehreren der zehn Maßnahmenbereiche aus Artikel 21 Absatz 2 verknüpft sein. Ihre Behandlungspläne müssen die Kontrollen spezifizieren, die jedes Risiko adressieren. Dies schafft den Audit-Trail von der Risikoidentifikation bis zur Umsetzung der Kontrollen.

  1. Risiken Kontrollen zuordnen:

    "Ordne für jedes Risiko in unserem Risikoregister die empfohlene Behandlung den spezifischen NIS2 Artikel 21(2) Maßnahmenbereichen zu: (a) Risikoanalyse und Sicherheitspolicies, (b) Bewältigung von Vorfällen, (c) Backup-Management und Krisenmanagement, (d) Sicherheit der Lieferkette, (e) Sicherheit der Netz- und Informationssysteme einschl. Schwachstellenmanagement, (f) Bewertung der Wirksamkeit, (g) Cybersicherheitsschulungen, (h) Kryptografie, (i) Personalsicherheit und Zugriffskontrolle, (j) Multi-Faktor-Authentisierung und sichere Kommunikation. Spezifiziere für jedes Mapping die konkret umzusetzende Kontrolle und die erwartete Risikoreduktion."

  2. Risikobehandlungspläne erstellen:

    "Generiere detaillierte Risikobehandlungspläne für die Top-20-Risiken in unserem Register, die unsere Akzeptanzschwelle überschreiten. Jeder Plan sollte enthalten: Risiko-ID, Behandlungsentscheidung (mindern/transferieren/vermeiden), spezifische umzusetzende Kontrollen, verantwortliche Person, Zeitplan, erwartetes Restrisiko, Ressourcenbedarf und Erfolgskriterien. Stelle sicher, dass die Behandlungen gemäß NIS2 Artikel 21(1) verhältnismäßig zur Größe und Risikoexposition unserer Organisation sind."

  3. Dokumentation von Risikoakzeptanz-Entscheidungen:

    "Generiere formale Risikoakzeptanz-Erklärungen für Risiken, die innerhalb unserer Akzeptanzschwelle liegen. Jede Erklärung sollte enthalten: Risiko-ID, Risikobeschreibung, aktueller Risikowert, Begründung für die Akzeptanz (einschließlich Verhältnismäßigkeit), Bedingungen für eine Neubewertung, Genehmigungsinstanz (Risikoeigner oder Geschäftsführung) und Überprüfungsdatum. Diese Erklärungen müssen gemäß unserer Methodik von der zuständigen Stelle genehmigt werden."

Anwendung des Verhältnismäßigkeitsprinzips auf Behandlungen

NIS2 schreibt nicht für alle Organisationen identische Kontrollen vor. Ihre Maßnahmen müssen verhältnismäßig zu Ihrer spezifischen Risikoexposition sein.

"Überprüfe unsere Risikobehandlungspläne auf die Einhaltung der Verhältnismäßigkeit. Unsere Organisation hat [Anzahl] Mitarbeiter, [Umsatz] EUR Jahresumsatz und agiert im Sektor [Sektor] als [wesentliche/wichtige] Einrichtung. Bewerte für jede vorgeschlagene Behandlung: (1) Verhältnismäßigkeit zu Größe und Ressourcen, (2) Verhältnismäßigkeit zu Wahrscheinlichkeit und Schwere des Risikos, (3) Übereinstimmung mit dem Stand der Technik im Sektor und (4) Wirtschaftlichkeit im Verhältnis zur Risikoreduktion. Markiere unverhältnismäßig teure oder unzureichende Behandlungen und schlage Alternativen vor."

Stand der Technik: Artikel 21(1) verpflichtet Einrichtungen, den Stand der Technik und, soweit anwendbar, einschlägige europäische und internationale Normen zu berücksichtigen. Das bedeutet, dass Ihre Kontrollen aktuelle Best Practices widerspiegeln sollten – keine veralteten Ansätze. Das Wissen von ISMS Copilot umfasst aktuelle Standards und Praktiken.

Schritt 6: Dokumentation und Präsentation der Risikobewertung

Erstellung des formalen Risikobewertungsberichts

  1. Den Bericht generieren:

    "Erstelle einen formalen NIS2-Risikobewertungsbericht für unsere Organisation. Strukturiere den Bericht wie folgt: (1) Executive Summary mit Kernergebnissen und Top-Risiken, (2) Umfang und Methodik (Referenz auf genehmigte Methodik), (3) Zusammenfassung Asset-Inventar, (4) Analyse der Bedrohungslandschaft, (5) Risikoregister mit Bewertungsdetails, (6) Risiko-Heatmap, (7) Risikobehandlungspläne für Risiken über der Akzeptanzschwelle, (8) Risikoakzeptanz-Erklärungen, (9) Mapping der Risiken auf Artikel 21(2) Maßnahmenbereiche, (10) Verhältnismäßigkeitsbewertung, (11) Empfehlungen und nächste Schritte, (12) Anhänge. Dieser Bericht wird der Geschäftsführung zur Genehmigung vorgelegt."

  2. Zusammenfassung für die Geschäftsführung erstellen:

    "Erstelle eine 3-seitige Management-Zusammenfassung unserer NIS2-Risikobewertung für die Geschäftsführung. Fokus auf: Top 10 Risiken und deren geschäftliche Auswirkungen, Bereiche mit der höchsten Exposition, benötigte Investitionen für die Risikobehandlung, Zeitplan für Prioritätsmaßnahmen sowie die spezifischen Genehmigungs- und Aufsichtspflichten der Geschäftsführung. Füge eine klare Empfehlung für einen Beschluss zur Genehmigung des Risikobehandlungsplans bei."

Genehmigung durch die Geschäftsführung ist obligatorisch: Gemäß Artikel 20 muss das Leitungsorgan die Risikomanagementmaßnahmen zur Cybersicherheit genehmigen. Dies umfasst die Risikobewertungsmethodik, das Risikoregister und die Risikobehandlungspläne. Dokumentieren Sie die Genehmigung in den Sitzungsprotokollen und bewahren Sie diese als Audit-Nachweis auf.

Schritt 7: Einrichtung einer laufenden Risikoüberwachung

Kontinuierliches Risikomanagement

NIS2-Compliance ist keine einmalige Angelegenheit. Ihre Risikobewertung muss regelmäßig sowie bei wesentlichen Änderungen überprüft und aktualisiert werden.

  1. Den Überprüfungszyklus definieren:

    "Erstelle einen Zeitplan für die Überprüfung und Aktualisierung der Risikobewertung für die laufende NIS2-Compliance. Definiere: (1) Reguläre Überprüfungsfrequenz (empfohlen quartalsweise für wesentliche, halbjährlich für wichtige Einrichtungen), (2) Trigger-Ereignisse für sofortige Neubewertung (neue Bedrohungen, Vorfälle, organisatorische Änderungen, Änderungen in der Lieferkette, regulatorische Updates), (3) Verantwortliche Rollen für Monitoring und Eskalation, (4) Prozess zur Aktualisierung des Risikoregisters und der Behandlungspläne, (5) Berichtszyklus an die Geschäftsführung."

  2. Verfahren zur Bedrohungsüberwachung aufbauen:

    "Erstelle ein Verfahren zur Überwachung von Bedrohungsinformationen (Threat Intelligence) für unsere [Sektor]-Organisation zur Unterstützung der laufenden NIS2-Risikobewertung. Beziehe ein: zu überwachende Quellen (ENISA, nationale CSIRT-Warnungen, Branchen-ISACs, Security-Bulletins von Anbietern), Überwachungsfrequenz, Kriterien für die Eskalation neuer Bedrohungen zur Risikoneubewertung und Integration in unsere Fähigkeiten zur Erkennung von Vorfällen."

Häufige Fehler bei der Risikobewertung und wie man sie vermeidet

Fehler

Warum es für NIS2 wichtig ist

Wie man es vermeidet

Nur Fokus auf Cyber-Risiken

Verstößt gegen die All-Hazards-Anforderung von Artikel 21(1)

Systematische Bewertung physischer, umweltbedingter und menschlicher Risiken neben Cyber-Bedrohungen

Keine dokumentierte Methodik

Aufsichtsbehörden verlangen Nachweise für einen konsistenten, wiederholbaren Ansatz

Methodik dokumentieren und von der Geschäftsführung genehmigen lassen, bevor die Bewertung beginnt

Ignorieren von Kaskadeneffekten

Die Erheblichkeit eines NIS2-Vorfalls berücksichtigt Auswirkungen auf andere Einrichtungen und Sektoren

Analyse einrichtungs- und sektorübergreifender Auswirkungen für hoch bewertete Risiken

Unverhältnismäßige Kontrollen

Artikel 21(1) fordert Verhältnismäßigkeit – Über- oder Untersteuerung ist nicht konform

Begründung der Verhältnismäßigkeit für jede Behandlungsentscheidung dokumentieren

Statisches Risikoregister

Die Risikolandschaft ändert sich ständig; ein veraltetes Register zeugt von schlechter Governance

Quartalsweise Überprüfungen und triggerbasierte Neubewertungsprozesse etablieren

Fehlende Genehmigung durch das Management

Artikel 20 schreibt die Genehmigung der Risikomanagementmaßnahmen durch das Leitungsorgan vor

Risikobewertung und Behandlungspläne dem Vorstand präsentieren; Genehmigung im Protokoll festhalten

Keine Berücksichtigung von Lieferkettenrisiken

Artikel 21(2)(d) fordert explizit die Bewertung von Risiken in der Lieferkette

Lieferanten- und Drittanbieterrisiken systematisch in das Register aufnehmen

Nächste Schritte

Mit der abgeschlossenen Risikobewertung haben Sie nun die Grundlage für die Implementierung der NIS2-Kontrollen in allen Maßnahmenbereichen von Artikel 21.

Fahren Sie mit den nächsten Leitfäden dieser Serie fort:

  • Erstellung von Richtlinien: Siehe Wie man NIS2-Cybersicherheitsrichtlinien mit KI erstellt, um Ihre Risikobehandlungspläne in audit-bereite Richtlinien für jeden der zehn Maßnahmenbereiche zu übersetzen

  • Meldung von Vorfällen: Siehe Wie man die NIS2-Vorfallmeldung mit KI implementiert, um die in Ihren Risikobehandlungsplänen identifizierten Erkennungs- und Meldefunktionen aufzubauen

  • Lieferkettensicherheit: Siehe Wie man die NIS2-Lieferkettensicherheit mit KI verwaltet für detaillierte Anleitungen zum Umgang mit den identifizierten Lieferkettenrisiken

Falls Sie die Ersteinrichtung noch nicht abgeschlossen haben, beginnen Sie mit Erste Schritte bei der NIS2-Umsetzung mit KI für Scoping, Governance und Workspace-Konfiguration.

Gebrauchsfertige Prompts zur Risikobewertung finden Sie in der NIS2 Directive Prompt Library. Einen umfassenden Überblick über alle NIS2-Anforderungen bietet der NIS2 Compliance Guide for In-Scope Companies.

Hilfe erhalten

Für zusätzliche Unterstützung bei der NIS2-Risikobewertung:

  • Fragen Sie ISMS Copilot: Nutzen Sie Ihren NIS2-Workspace für laufende Fragen und Aktualisierungen zur Risikobewertung

  • Vorhandene Risikodaten hochladen: Lassen Sie Ihre aktuellen Risikoregister, Bedrohungsanalysen oder Kontrollinventare durch KI analysieren

  • Sektorspezifische Beratung: Fordern Sie Bedrohungslandschaften und Risikoszenarien an, die auf Ihren Sektor und Ihr Betriebsumfeld zugeschnitten sind

  • Framework-Abgleich: Erhalten Sie Unterstützung bei der Ausrichtung der NIS2-Risikobewertung an ISO 27005, ISO 31000 oder anderen bereits genutzten Risikomanagement-Standards

Bereit für Ihre NIS2-Risikobewertung? Öffnen Sie Ihren NIS2-Workspace auf chat.ismscopilot.com und beginnen Sie mit Ihrer Risikomethodik. Die KI führt Sie durch jeden Schritt, von der Asset-Identifizierung bis zu den Risikobehandlungsplänen, mit auf Ihren Sektor und Ihre Klassifizierung kalibrierten Ergebnissen.

War das hilfreich?