Artikel 21(1) der NIS2-Richtlinie verpflichtet jede betroffene Organisation, Maßnahmen zum Cybersicherheitsrisikomanagement auf der Grundlage eines “All-Hazards-Ansatzes” umzusetzen. Bevor Sie Zugangskontrollen, Verfahren zur Vorfallreaktion oder Backup-Richtlinien implementieren können, müssen Sie wissen, welchen Risiken Sie ausgesetzt sind. Die Risikobewertung bildet das Fundament – alles andere in Ihrem NIS2-Compliance-Programm baut darauf auf. Wenn Sie noch dabei sind zu prüfen, ob Ihre Organisation unter NIS2 fällt, lesen Sie unsere Übersicht der NIS2-Anforderungen.
Für viele KMU ist dies das erste Mal, dass eine formale Informationssicherheits-Risikobewertung durchgeführt wird. Dies kann überwältigend wirken – insbesondere wenn Anbieterlösungen von teuren Beratungsmandaten bis hin zu komplexen Softwareplattformen reichen, die für unternehmensweite Sicherheitsteams konzipiert wurden. Die gute Nachricht: NIS2 schreibt keine bestimmte Methodik vor. Ein strukturierter, dokumentierter Ansatz mithilfe einer Tabellenkalkulation ist für ein Unternehmen mit 50 bis 200 Mitarbeitenden vollkommen ausreichend.
Dieser Leitfaden führt Sie in verständlicher Sprache durch den gesamten Prozess. Am Ende werden Sie genau verstehen, was NIS2 vorschreibt, welche Methodik für Ihre Organisation geeignet ist und wie Sie eine Risikobewertung durchführen, die Ihre nationale Aufsichtsbehörde zufriedenstellt. Wir behandeln jeden Schritt mit praxisorientierten Tabellen, einem vollständig ausgearbeiteten Beispiel für ein produzierendes KMU sowie Links zu den NIS2-Vorlagen, die die wesentliche Arbeit übernehmen.
Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechts- oder Regulierungsberatung dar. Die NIS2-Umsetzung variiert je nach Mitgliedstaat und Organisationstyp – überprüfen Sie die Anforderungen stets anhand Ihres nationalen Umsetzungsgesetzes und der geltenden Behördenleitlinien.
Was NIS2 für das Risikomanagement vorschreibt
Artikel 21(1): Die rechtliche Verpflichtung
Gemäß Artikel 21(1) der NIS2-Richtlinie (EU) 2022/2555 stellen die Mitgliedstaaten sicher, dass wesentliche und wichtige Einrichtungen “geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder die Erbringung ihrer Dienste nutzen, zu beherrschen.” Der Artikel schreibt ausdrücklich einen “All-Hazards-Ansatz” vor, der darauf abzielt, Netz- und Informationssysteme sowie ihre physische Umgebung vor Vorfällen zu schützen.
Drei Formulierungen in diesem Text verdienen besondere Aufmerksamkeit:
- Geeignet und verhältnismäßig — Ihre Maßnahmen müssen dem tatsächlichen Risiko entsprechen, dem Sie ausgesetzt sind. Von einem Logistikunternehmen mit 60 Mitarbeitenden wird nicht erwartet, dass es dieselben Kontrollen implementiert wie ein nationaler Energieversorger. Dies ist ein Rechtsprinzip, keine Ausweichklausel: Aufsichtsbehörden werden genau prüfen, ob Ihre Risikobewertung Ihre Bedrohungslage zutreffend widerspiegelt und ob Ihre Kontrollen die identifizierten Risiken tatsächlich adressieren.
- Technisch, operativ und organisatorisch — Risikomanagement ist keine reine IT-Angelegenheit. Richtlinien, Verfahren, Governance-Strukturen und physische Kontrollen zählen gleichermaßen.
- All-Hazards-Ansatz — NIS2 beschränkt die Risikobewertung ausdrücklich nicht auf Cyber-Bedrohungen. Sie müssen das gesamte Spektrum an Gefahren berücksichtigen, die einen Vorfall verursachen könnten.
CIR 2024/2690 Anhang 2.1: Umsetzungsanforderungen
Gemäß CIR 2024/2690, Anhang 2.1, müssen Organisationen einen dokumentierten Risikobewertungsprozess einrichten, umsetzen und aufrechterhalten, der Folgendes umfasst: Identifizierung von Vermögenswerten und ihrer Kritikalität; Identifizierung relevanter Bedrohungen und Schwachstellen; Bewertung der Wahrscheinlichkeit und der potenziellen Auswirkungen von Vorfällen; sowie Bestimmung von Risikobehandlungsoptionen. Dies sind verbindliche technische Anforderungen für wesentliche und wichtige Einrichtungen in den vom Durchführungsrechtsakt erfassten Sektoren.
Der technische Umsetzungsleitfaden der ENISA (Abschnitt 2.1.1) stellt weiter klar, dass die Risikobewertung die Grundlage für die Auswahl und Dimensionierung aller anderen Sicherheitsmaßnahmen sein muss. Mit anderen Worten: Sie können nicht zuerst Kontrollen implementieren und Risiken erst später bewerten – die Bewertung bestimmt die Kontrollen. Eine detaillierte Erläuterung des Umsetzungsleitfadens der ENISA finden Sie in unserer Praxiszusammenfassung.
Hinweis: Der CIR gilt derzeit für spezifische Sektoren der digitalen Infrastruktur und des IKT-Dienstleistungsmanagements. Andere Sektoren können im Rahmen ihrer nationalen Umsetzung zusätzlichen oder abweichenden technischen Anforderungen unterliegen. Klären Sie mit Ihrer nationalen zuständigen Behörde, welche technischen Standards für Ihre Organisation gelten.
All-Hazards: Die fünf Bedrohungskategorien, die Sie berücksichtigen müssen
Eine NIS2-konforme Risikobewertung muss Bedrohungen in fünf Kategorien explizit berücksichtigen (empfohlener Praxisrahmen auf Basis von Art. 21 und CIR Anhang 2.1):
- Physische und umgebungsbedingte Bedrohungen — Brand, Überschwemmung, extreme Witterungsbedingungen, Stromausfall, physischer Diebstahl oder Beschädigung von Geräten
- Technische und hardwarebezogene Bedrohungen — Serverausfall, Netzwerkgerätefehler, Softwarefehler, Speicherausfall
- Menschliche Bedrohungen – unbeabsichtigt — Fehlkonfiguration durch Mitarbeitende, versehentliches Löschen von Daten, verlorene oder verlegte Geräte, unbeabsichtigte Offenlegung
- Menschliche Bedrohungen – vorsätzlich — Ransomware, Phishing, Insider-Diebstahl, Denial-of-Service-Angriffe, gezielte Einbrüche
- Lieferketten- und Drittanbieterbedrohungen — Sicherheitsverletzung bei Lieferanten, kompromittierte Softwareaktualisierungen, Ausfall von Lieferantendienstleistungen, Datenoffenlegung durch Dritte
Viele KMU begehen den Fehler, Informationssicherheits-Risikobewertung mit “IT-Risiko” gleichzusetzen. NIS2 lässt dies nicht zu. Ein Brand, der Ihren Serverraum zerstört, ist ein Vorfall. Eine Überschwemmung, die Ihre Strom- und Netzwerkverbindung unterbricht, ist ein Vorfall. Ihre Risikobewertung muss diese physischen Szenarien ebenso explizit berücksichtigen wie Ransomware. Der ENISA-Bericht zur Bedrohungslandschaft (jährlich aktualisiert) identifiziert die aktivsten Bedrohungskategorien in der EU – nutzen Sie ihn zur Validierung Ihres Bedrohungskatalogs.
Überprüfungshäufigkeit
Gemäß Artikel 21 und CIR Anhang 2.1 ist Ihre Risikobewertung keine einmalige Übung. Organisationen müssen ihre Risikobewertungen regelmäßig überprüfen und aktualisieren – mindestens jährlich und nach jeder wesentlichen Änderung. Wesentliche Änderungen umfassen: die Einführung neuer Systeme oder Dienste, Veränderungen in der Bedrohungslandschaft (bedeutende neue Schwachstellen, Angriffskampagnen gegen Ihren Sektor), materielle organisatorische Veränderungen (Fusion, neuer Großkunde, erheblicher Personalabbau) oder jeden Sicherheitsvorfall, der ein nicht identifiziertes Risiko aufdeckt.
Hinweis: Nationale Umsetzungsgesetze können strengere Überprüfungshäufigkeiten oder zusätzliche Auslöseereignisse vorschreiben. Überprüfen Sie die sektorspezifischen Anforderungen in den Umsetzungsgesetzen Ihres Landes.
Auswahl einer Risikobewertungsmethodik
NIS2 ist bewusst methodikneutral gestaltet. Ihre Risikobewertung muss dokumentiert, systematisch und verhältnismäßig sein – aber Sie wählen den Ansatz. Die vier wichtigsten Optionen für KMU werden nachfolgend verglichen.
| Methodik | Geeignet für | Komplexität | Kosten | NIS2-Konformität |
|---|---|---|---|---|
| ISO 27005:2022 | Organisationen, die eine ISO 27001-Zertifizierung anstreben; größere Einrichtungen | Hoch | Hoch (Fachkenntnisse oder Berater erforderlich) | Ausgezeichnet — direkt auf die CIR-Anforderungen abgestimmt |
| NIST Cybersecurity Framework | Organisationen mit US-Bezug; Technologieunternehmen | Mittel–Hoch | Mittel (kostenloser Rahmen, erfordert jedoch Anpassung an den EU-Kontext) | Gut — deckt All-Hazards ab, erfordert jedoch Zuordnung zu NIS2-Anforderungen |
| OCTAVE (Carnegie Mellon) | Asset-orientierte Organisationen, die neu im Risikomanagement sind | Mittel | Mittel (Workshop-basiert, zeitintensiv) | Gut — stark bei der Asset-Identifizierung, schwächer bei der Quantifizierung |
| Vereinfachte 5×5-Matrix | KMU mit begrenzten Sicherheitsressourcen; Organisationen, die von Grund auf beginnen | Niedrig | Niedrig (tabellenkalkulationsbasiert, keine Spezialwerkzeuge erforderlich) | Ausreichend — erfüllt alle NIS2-Dokumentationsanforderungen bei korrekter Strukturierung |
Für die meisten KMU im Anwendungsbereich von NIS2 ist der vereinfachte 5×5-Matrix-Ansatz der richtige Ausgangspunkt. Er kann in einer Tabellenkalkulation in Tagen statt in Monaten umgesetzt werden; er erfordert keine externen Berater oder Spezialsoftware; er erzeugt die dokumentierten Ergebnisse – Risikoregister, Behandlungsplan, Managementgenehmigung –, die Aufsichtsbehörden erwarten; und er kann zu einem vollständigen ISO 27005-Prozess weiterentwickelt werden, wenn Ihr Sicherheitsprogramm reift. Die nachfolgenden Schritte folgen diesem Ansatz.
Schrittweiser Risikobewertungsprozess für KMU
Dieser Abschnitt bietet einen empfohlenen Praxisrahmen auf Basis von NIS2 Artikel 21 und CIR Anhang 2.1. Passen Sie die Schritte an die Größe, den Sektor und den bestehenden Sicherheitsreifegrad Ihrer Organisation an.
Schritt 1: Identifizierung und Klassifizierung Ihrer Vermögenswerte
Ein Vermögenswert ist alles, das für Ihre Organisation von Wert ist und das Sie schützen müssen. Das NIS2-Risikomanagement umfasst sechs Kategorien von Vermögenswerten: Hardware (Server, Workstations, Netzwerkgeräte, industrielle Steuerungssysteme), Software (Betriebssysteme, Geschäftsanwendungen, Cloud-Dienste), Daten (Kundendaten, Finanzdaten, geistiges Eigentum, Betriebsdaten), Dienste (Internetkonnektivität, E-Mail, Cloud-Plattformen, auf die Ihr Unternehmen angewiesen ist), Personal (Mitarbeitende und ihre Fähigkeiten, Kenntnisse und Zugriffsrechte) sowie Räumlichkeiten (Büros, Rechenzentren, Serverräume).
Erstellen Sie ein Asset-Verzeichnis, das jeden Vermögenswert mit einer Kritikalitätsbewertung erfasst. Die Kritikalität gibt an, wie stark Ihr Betrieb beeinträchtigt würde, wenn dieser Vermögenswert nicht verfügbar, kompromittiert oder zerstört wäre. Verwenden Sie eine Skala von 1 bis 5 (1 = minimale Auswirkung, 5 = katastrophale Auswirkung auf den Betrieb).
| Name des Vermögenswerts | Typ | Verantwortliche Person | Standort | Klassifizierung | Kritikalität |
|---|---|---|---|---|---|
| ERP-System (SAP B1) | Software/Dienst | Finanzleiter/in | Lokaler Serverraum | Eingeschränkt | 5 |
| Kundendatenbank | Daten | Vertriebsleiter/in | Lokal / Cloud-Backup | Vertraulich | 4 |
| Produktions-OT-Netzwerk | Hardware/Software | Produktionsleiter/in | Produktionshalle | Eingeschränkt | 5 |
| Unternehmens-E-Mail (Microsoft 365) | Dienst | IT-Leiter/in | Cloud (Microsoft-Rechenzentren) | Vertraulich | 4 |
| Dateiserver | Hardware/Daten | IT-Leiter/in | Lokaler Serverraum | Vertraulich | 3 |
| Internetverbindung (primär) | Dienst | IT-Leiter/in | ISP-Infrastruktur | Intern | 4 |
| Personaldaten | Daten | Personalleiter/in | Cloud-HR-System | Eingeschränkt | 3 |
| Serverraum | Räumlichkeiten | IT-Leiter/in | Gebäude A, Erdgeschoss | Eingeschränkt | 4 |
| Mitarbeitende-Laptops | Hardware | IT-Leiter/in | Büro / Remote | Intern | 3 |
| IT-Admin-Zugangsdaten | Daten | IT-Leiter/in | Passwort-Manager | Eingeschränkt | 5 |
Konzentrieren Sie Ihre erste Risikobewertung auf Vermögenswerte mit einer Kritikalität von 4 bis 5. Dies sind Ihre wertvollsten Ziele und diejenigen, die Aufsichtsbehörden vorrangig geprüft sehen möchten.
Schritt 2: Identifizierung von Bedrohungen und Schwachstellen
Eine Bedrohung ist eine potenzielle Ursache eines Vorfalls. Eine Schwachstelle ist eine Schwäche in einem Vermögenswert oder einer Kontrolle, die eine Bedrohung ausnutzen könnte. Verwenden Sie einen strukturierten Bedrohungskatalog, um sicherzustellen, dass Sie alle fünf All-Hazards-Kategorien berücksichtigt haben. Ordnen Sie jede relevante Bedrohung den Vermögenswerten zu, die sie betreffen könnte.
| Kategorie | Beispielbedrohungen | Typisch ausgenutzte Schwachstellen |
|---|---|---|
| Natürlich / Umgebungsbedingt | Überschwemmung, Brand, extreme Hitze, Stromausfall, Sturmschäden | Kein Offsite-Backup, unzureichende physische Barrieren, einzelne Stromquelle |
| Technisch / Hardware | Serverhardwareausfall, Netzwerkgerätefehler, Softwarefehler, Speicherausfall | Keine Redundanz, veraltete Hardware, fehlende Patches |
| Menschlich — Unbeabsichtigt | Fehlkonfiguration, versehentliches Löschen, verlorenes/gestohlenes Gerät, unbeabsichtigte Datenweitergabe | Unzureichende Schulung, fehlende Zugriffskontrollen, keine Datenklassifizierung |
| Menschlich — Vorsätzlich | Ransomware, Phishing, Diebstahl von Zugangsdaten, Insider-Datenexfiltration, DDoS, Social Engineering | Schwache Passwörter, kein MFA, ungepatchte Systeme, übermäßige Zugriffsrechte |
| Lieferkette | Sicherheitsverletzung bei Lieferanten, kompromittierte Softwareaktualisierung, Cloud-Anbieterausfall, Missbrauch von Drittanbieter-Zugangsdaten | Keine Sicherheitsanforderungen an Lieferanten, keine Überwachung des Drittanbieterzugriffs |
Sie müssen nicht jede denkbare Bedrohung auflisten. Identifizieren Sie die Bedrohungen, die für Ihre Organisation, Ihren Sektor und Ihre geografische Lage plausibel sind. Der ENISA-Bericht zur Bedrohungslandschaft identifiziert die aktivsten Bedrohungskategorien in der EU – nutzen Sie ihn zur Validierung Ihres Bedrohungskatalogs.
Schritt 3: Bewertung der Auswirkungen
Die Auswirkungsbewertung misst die Schwere der Folgen, wenn eine Bedrohung gegenüber einem Vermögenswert eintritt. Verwenden Sie eine fünfstufige Skala und wenden Sie diese einheitlich auf alle Risiken in Ihrem Register an. Verankern Sie jede Stufe an konkreten Geschäftsergebnissen – finanzielle Kennzahlen und Ausfallzeitschwellen verhindern, dass Bewerter auf subjektive Einschätzungen zurückgreifen.
| Stufe | Bezeichnung | Geschäftliche Folgen |
|---|---|---|
| 1 | Vernachlässigbar | Geringfügige Unannehmlichkeit; kein messbarer finanzieller Verlust; innerhalb von 1 Stunde ohne Servicebeeinträchtigung behoben |
| 2 | Geringfügig | Begrenzte Störung unter 4 Stunden; finanzieller Schaden unter €10.000; mit bestehendem Team beherrschbar |
| 3 | Moderat | Erhebliche Störung von 4 bis 24 Stunden; finanzieller Verlust €10.000 bis €100.000; Servicebeeinträchtigung für Kunden; mögliche behördliche Meldepflicht |
| 4 | Schwerwiegend | Schwere Störung von 24 bis 72 Stunden; finanzieller Verlust €100.000 bis €500.000; kundenrelevante Auswirkungen; wahrscheinliches Interesse der Aufsichtsbehörde |
| 5 | Kritisch | Katastrophale Störung über 72 Stunden; finanzieller Verlust über €500.000; Reputationsschaden; Regulierungsmaßnahmen; mögliche persönliche Haftung der Geschäftsleitung gemäß den NIS2-Strafvorschriften |
Berücksichtigen Sie alle Dimensionen der Auswirkung: operativ (Dienstverfügbarkeit), finanziell (direkte Kosten, Bußgelder, entgangene Einnahmen), reputationsbezogen (Kundenvertrauen, Marktposition), rechtlich und regulatorisch (NIS2-Bußgeldrisiko, DSGVO-Meldepflichten) sowie sicherheitsrelevant (relevant für Fertigung, Gesundheitswesen und kritische Infrastruktur).
Schritt 4: Bewertung der Eintrittswahrscheinlichkeit
Die Eintrittswahrscheinlichkeit misst, wie wahrscheinlich es ist, dass eine bestimmte Bedrohung innerhalb eines definierten Zeitraums eintritt. Verwenden Sie einen einheitlichen Referenzzeitraum von 12 Monaten für alle Bewertungen. Stützen Sie Ihre Wahrscheinlichkeitsbewertungen auf beobachtete Branchendaten, sektorbezogene Bedrohungsinformationen und Ihre eigene Vorfallhistorie – nicht auf Bauchgefühl.
| Stufe | Bezeichnung | Definition | Hinweis |
|---|---|---|---|
| 1 | Selten | Erwartet einmal in fünf Jahren oder seltener | Hochentwickelter, gezielter Angriff ohne vorherige Indikatoren; schwere Naturkatastrophe in einer Region mit geringem Risiko |
| 2 | Unwahrscheinlich | Erwartet einmal in zwei bis fünf Jahren | Gezielter Angriff mit erheblichem Aufwand des Angreifers; physische Bedrohung in einer Umgebung mit moderatem Risiko |
| 3 | Möglich | Erwartet ungefähr einmal pro Jahr | Opportunistischer Angriff; typische Hardwareausfallrate; häufige menschliche Fehler im Normalbetrieb |
| 4 | Wahrscheinlich | Erwartet mehrmals pro Jahr | Verbreitete Bedrohungen in der aktuellen Lage (z. B. Ransomware gegen KMU); wiederkehrende Prozessfehler |
| 5 | Nahezu sicher | Erwartet monatlich oder häufiger | Aktive, laufende Kampagne gegen Ihren Sektor; bekannte ausgenutzte Schwachstelle in einem ungepatchten System |
Schritt 5: Berechnung des Risikoniveaus
Das Risikoniveau wird durch Multiplikation von Auswirkung und Eintrittswahrscheinlichkeit berechnet: Risiko = Auswirkung × Wahrscheinlichkeit. Dies ergibt einen Wert von 1 bis 25, der vier Risikoniveaus entspricht. Die nachfolgende Heatmap zeigt, wie Punktzahlen in Risikoniveaus und erforderliche Reaktionszeiträume übersetzt werden.
