nis²insights.com

In Kraft seit 17. Okt. 2024·Tag 565·

Risikomanagement2. Apr. 20256 Min.

Eine pragmatische Risikoregister-Vorlage für NIS2-Artikel 21

Die meisten Organisationen führen bereits ein Risikoregister. So passen Sie Ihres so an, dass es den NIS2-Anforderungen tatsächlich entspricht.

Eine pragmatische Risikoregister-Vorlage für NIS2-Artikel 21Risikomanagement

Artikel 21 Absatz 1 der Richtlinie (EU) 2022/2555 verpflichtet wesentliche und wichtige Einrichtungen, „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen". Artikel 21 Absatz 2 listet die zehn Kategorien auf, die diese Maßnahmen abdecken müssen.

Der Ausdruck, der die Arbeit leistet, ist risikobasiert. Erwägungsgrund 79 der Richtlinie rahmt das ganze Kapitel als Risikomanagement-Übung: Die Maßnahmen müssen auf das Risiko der Einrichtung und ihrer Dienste kalibriert sein. Das Artefakt, das diese Kalibrierung operationalisiert, ist das Risikoregister.

Die meisten von NIS2 erfassten Einrichtungen führen bereits eines. Die meisten bestehen in ihrer aktuellen Form nicht den Test der Aufsichtsbehörde. Die Lücke ist selten die Zahl der erfassten Risiken — es ist das Fehlen von fünf bestimmten Feldern, die ein Prüfer erwartet. Das ist die Nachrüstanleitung.

Feld 1 — Asset, am NIS2-Geltungsbereich verankert

Jeder Registereintrag braucht ein Asset — die Sache, die einem Risiko ausgesetzt ist. Für NIS2 muss das Asset am NIS2-Geltungsbereich der Einrichtung verankert sein: den Netz- und Informationssystemen, die die Dienste tragen, die die Einrichtung als wesentliche oder wichtige Einrichtung erbringt.

Ein Risiko an der Bürodruckerflotte ist nicht im Geltungsbereich. Ein Risiko am SIEM, das die produktive Zahlungsplattform überwacht, schon. Die Unterscheidung ist nicht akademisch — sie erlaubt dem Prüfer, das Register an die Einstufung der Einrichtung nach Artikel 3 und den sektorspezifischen Geltungsregeln zu spiegeln.

Die Nachrüstung: Ergänzen Sie eine Spalte „NIS2-Geltungsbereich" in Ihrem bestehenden Register. Markieren Sie jeden Eintrag als Im Geltungsbereich, Außerhalb oder Angrenzend (berührt den Geltungsbereich, hostet aber keine Dienstdaten). Prüfer schauen auf die Teilmenge im Geltungsbereich; alles andere ist nur informativ.

Feld 2 — Bedrohung und Schwachstelle, gepaart

NIS2 nennt keine Methodik. Der von der ENISA veröffentlichte Risikomanagement-Rahmen, gestützt auf ISO/IEC 27005 und ISO 31000, behandelt Risiko als Bedrohungs-Schwachstellen-Paar: ein Bedrohungsakteur (oder ein natürliches Ereignis), der eine bestimmte Schwachstelle ausnutzen könnte und dadurch Schaden verursacht.

„Ransomware" als Risiko zu protokollieren reicht nicht. Der Eintrag sollte sie mit der Schwachstelle paaren, die sie ausnutzen würde — zum Beispiel „Ransomware, die ein nicht gepatchtes Edge-VPN-Gerät ausnutzt" —, weil die Behandlung sich völlig von „Ransomware, die per Phishing an Finanzmitarbeiter geliefert wird" unterscheidet.

Die Nachrüstung: Spalten Sie Ihre einzelne „Risiko"-Spalte in zwei Spalten, Bedrohung und Schwachstelle. Einige Einträge fallen sauber zusammen; andere fächern sich in zwei oder drei auf. Beide Ergebnisse sind Zeichen, dass das Register nun nutzbar ist.

Feld 3 — Eintrittswahrscheinlichkeit × Auswirkung, mit dokumentierter Methode

Artikel 21 Absatz 2 Buchstabe a fordert ausdrücklich „Konzepte zur Risikoanalyse". Analyse impliziert eine Methode. Das Register muss für jeden Eintrag eine geschätzte Eintrittswahrscheinlichkeit und Auswirkung ausweisen, abgeleitet aus einer dokumentierten Methode, die zwischen den Einträgen nicht wechselt.

Drei Methoden werden von den zuständigen nationalen Behörden in Europa akzeptiert:

  • Eine qualitative 5×5-Matrix (Sehr niedrig → Sehr hoch je Achse), mit Banddefinitionen, die einmal für das gesamte Register schriftlich festgehalten sind.
  • Eine quantitative 3-Band-Methode für die Auswirkung (Finanzverlust in €-Bändern) kombiniert mit qualitativer Eintrittswahrscheinlichkeit.
  • Eine FAIR-orientierte Methode für Organisationen, die die Reife dafür mitbringen.

Was nicht akzeptiert wird: eine einzige „Kritikalität"-Spalte ohne Herleitung. Die Nachrüstung: Wählen Sie eine der drei Methoden, schreiben Sie ihre Definitionen auf eine Seite, die neben dem Register liegt, und bewerten Sie jeden bestehenden Eintrag nach der gewählten Methode neu. Ja, das ist mühsam. Es ist auch die kleinste atomare Aktion, die das Register von einer „Liste" zu einer „Analyse" macht.

Feld 4 — Behandlung, mit Verantwortlichem und Fälligkeit

Erwägungsgrund 78 der Richtlinie rahmt die Wahl der Maßnahmen als verhältnismäßig zum Risiko. In Registerbegriffen ist das die Behandlungsentscheidung: Akzeptieren, Mindern, Übertragen oder Vermeiden.

Für Mindern — den häufigsten Fall — muss das Register erfassen:

  • die Maßnahme, die ergriffen wird (zugeordnet zu Artikel 21 Absatz 2, siehe Feld 5),
  • den Verantwortlichen (eine benannte Rolle, kein Team),
  • den Fälligkeitstermin für die Umsetzung,
  • das Restrisiko, das nach der Maßnahme erwartet wird (mit derselben Eintrittswahrscheinlichkeit-×-Auswirkung-Methode neu bewertet).

Für Akzeptieren muss der Eintrag die Akzeptanz-Autorität ausweisen — die benannte Rolle mit der Seniorität, das Restrisiko im Namen der Einrichtung formell zu akzeptieren. Für die meisten Risiken im NIS2-Geltungsbereich ist das das Leitungsorgan selbst, gemäß Artikel 20 Absatz 1.

Die Nachrüstung: Ergänzen Sie die Spalten Behandlung, Verantwortlicher, Fälligkeit, Restrisiko. Für vorhandene Einträge ohne Behandlung markieren Sie Prüfung anstehend und setzen sie auf die Tagesordnung des nächsten Risikoausschusses.

Feld 5 — Zuordnung zu den Kategorien des Artikels 21 Absatz 2

Das ist das Feld, das aus einem generischen Register ein NIS2-Register macht. Artikel 21 Absatz 2 listet zehn Kategorien von Maßnahmen:

  1. Konzepte für Risikoanalyse und Sicherheit der Informationssysteme,
  2. Bewältigung von Sicherheitsvorfällen,
  3. Aufrechterhaltung des Betriebs (Backups, Wiederherstellung nach einem Notfall, Krisenmanagement),
  4. Sicherheit der Lieferkette,
  5. Sicherheit in der Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen,
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit,
  7. grundlegende Verfahren der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
  8. Kryptografie,
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Asset Management,
  10. Mehrfaktor-Authentifizierung, gesicherte Sprach-/Video-/Textkommunikation, gesicherte Notfallkommunikation.

Jeder Registereintrag im NIS2-Geltungsbereich sollte mindestens einer dieser Kategorien zugeordnet werden. Die Zuordnung erlaubt dem Prüfer, in einem Durchgang zu verifizieren, dass das Register alle zehn Kategorien bespielt — und umgekehrt, dass keine der zehn stumm bleibt.

Die Nachrüstung: Ergänzen Sie eine letzte Spalte „Kategorie nach Artikel 21 Absatz 2". Etikettieren Sie jeden Eintrag im Geltungsbereich. Hat eine Kategorie null Einträge, ist das selbst ein Befund, der dem nächsten Risikoausschuss vorgelegt werden sollte.

Was „gut umgesetzt" aussieht

In den veröffentlichten Inspektionsnotizen der zuständigen nationalen Behörden in Europa kommen drei Signale konsistent vor:

  1. Das Register hat eine datierte Versionshistorie. Jede Version ist abgezeichnet — typischerweise vierteljährlich — vom Sicherheitsausschuss, mit Information des Leitungsorgans.
  2. Jeder Eintrag im Geltungsbereich hat die fünf obigen Felder ausgefüllt. Leere Zellen sind ein Warnsignal; „Offen" mit einer Fälligkeit ist akzeptabel.
  3. Die Zuordnung zu den Kategorien des Artikels 21 Absatz 2 zeigt eine von Null verschiedene Abdeckung aller zehn. Ein Register, in dem Kategorie 7 (grundlegende Cyberhygiene) leer ist, ist aus aufsichtsrechtlicher Sicht ein Register, das tatsächlich nicht erstellt wurde.

Das Register ist nicht das Sicherheitsprogramm. Es ist das Dokument, das beweist, dass das Programm existiert, am Risiko kalibriert ist und auf der richtigen Ebene verantwortet wird. Die Nachrüstung, sauber gemacht, dauert ein kompetentes Team drei bis vier Wochen. Die Alternative, im Moment der Inspektion gemacht, kostet einen aufsichtsrechtlichen Befund.

Quellen

  1. Richtlinie (EU) 2022/2555, Artikel 21 Absätze 1 und 2 (Risikomanagementmaßnahmen im Bereich der Cybersicherheit).
  2. Richtlinie (EU) 2022/2555, Erwägungsgründe 78 und 79 (risikobasierte, verhältnismäßige Maßnahmen).
  3. Richtlinie (EU) 2022/2555, Artikel 20 Absatz 1 (Genehmigung und Überwachung durch das Leitungsorgan).
  4. ISO/IEC 27005 (Risikomanagement der Informationssicherheit) und ISO 31000 (Risikomanagement — Grundsätze und Leitlinien).
  5. ENISA, Risk Management Methodology und NIS2 Implementation Guidance.
  6. Veröffentlichte Leitlinien der zuständigen nationalen Behörden: ANSSI (FR), BSI (DE), INCIBE (ES), ACN (IT), NCSC-IE (IE).

Weitere Beiträge

NIS2-Artikel 20: Fünf Aufsichtspflichten, die Leitungsorgane nicht delegieren könnenGovernance

NIS2-Artikel 20: Fünf Aufsichtspflichten, die Leitungsorgane nicht delegieren können

18. Apr. 2025·Lesen · 10 Min.
NIS2-Vorfallmeldung: Der praktische 72-Stunden-LeitfadenIncident-Management

NIS2-Vorfallmeldung: Der praktische 72-Stunden-Leitfaden

11. Apr. 2025·Lesen · 9 Min.
NIS2-Lieferkettensicherheit: Fünf Klauseln, die Sie von Lieferanten verlangen solltenLieferkette

NIS2-Lieferkettensicherheit: Fünf Klauseln, die Sie von Lieferanten verlangen sollten

9. Apr. 2025·Lesen · 7 Min.