IT-Risikoanalyse nach NIS-2: Methode, Schritte und Nachweise

Das NIS-2-Umsetzungsgesetz verlangt in § 30 NIS2UmsuCG von wesentlichen und wichtigen Einrichtungen geeignete und verhältnismäßige technische und organisatorische Maßnahmen zum Risikomanagement. Der Gesetzgeber benennt zehn Mindestbereiche, von Konzepten zur Risikoanalyse über Sicherheit der Lieferkette bis zur Multi-Faktor-Authentisierung. Grundlage jeder dieser Maßnahmen ist eine dokumentierte Risikoanalyse, die nachvollziehbar zeigt, welche Assets schützenswert sind, welchen Bedrohungen sie ausgesetzt sind und welches Restrisiko die Geschäftsleitung akzeptiert.

Dieser Artikel beschreibt eine prüffeste Methode für die IT-Risikoanalyse nach NIS-2, ausgerichtet an ISO/IEC 27005:2022 und kompatibel mit ISO/IEC 27001:2022. Sie lernen die fünf Hauptschritte, die typischen Stolpersteine bei der Bewertung und die Mindestdokumentation, die das BSI bei einem Audit zuerst einsehen wird. Die Frist läuft, der Anwendungsbereich ist breit, die Methode entscheidet über Bestehen oder Nachforderung.

§ 30 NIS2UmsuCG verpflichtet wesentliche und wichtige Einrichtungen zu einem risikobasierten Sicherheitsmanagement. Absatz 2 listet zehn Mindestbereiche auf: Konzepte zur Risikoanalyse und Sicherheit für Informationssysteme, Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs einschließlich Backup-Management und Wiederherstellung, Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern, Sicherheit bei Erwerb, Entwicklung und Wartung, Bewertung der Wirksamkeit der Risikomanagementmaßnahmen, Cyberhygiene und Schulung, Kryptografie und Verschlüsselung, Personal- und Zugriffssicherheit sowie Multi-Faktor-Authentisierung.

Die Maßnahmen müssen geeignet, verhältnismäßig und dem Stand der Technik entsprechend sein. Geeignet heißt: die Maßnahme adressiert das identifizierte Risiko. Verhältnismäßig heißt: der Aufwand steht im Verhältnis zur Größe der Einrichtung und zum Schadenpotenzial. Stand der Technik heißt: anerkannte Verfahren der Industrie wie ISO/IEC 27001:2022, BSI-Grundschutz oder branchenspezifische Standards. Ohne Risikoanalyse fehlt die Grundlage für die Geeignetheits- und Verhältnismäßigkeitsprüfung. Aufsichten und Wirtschaftsprüfer verlangen deshalb die Risikoanalyse als Erstdokument. Ein Informationssicherheitsbeauftragter ist die natürliche Verantwortlichkeit für diesen Prozess, auch wenn die Geschäftsleitung die formale Verantwortung trägt.

Die Methode entscheidet über die Belastbarkeit. ISO/IEC 27005:2022 ist die führende internationale Norm für Informationssicherheits-Risikomanagement und wird vom BSI und von zertifizierungsfähigen Auditoren als Standard anerkannt. Alternativ kommt der BSI-Grundschutz mit dem Standard 200-3 in Frage, der eine schutzbedarfsorientierte Vorgehensweise beschreibt und sich besonders für deutsche Behörden und Kritis-Sektoren eignet.

ISO/IEC 27005:2022 unterscheidet sechs Schritte: Kontextfestlegung, Risikoidentifikation, Risikoanalyse, Risikobewertung, Risikobehandlung und Risikoakzeptanz. Jeder Schritt produziert ein definiertes Artefakt. Die Methode ist asset-basiert oder szenario-basiert anwendbar. Asset-basiert beginnt beim Vermögenswert (Datenbank, Server, Anwendung) und fragt, welche Bedrohungen darauf wirken. Szenario-basiert beginnt bei einem Ereignis (Ransomware, Datenabfluss, Lieferantenausfall) und fragt, welche Vermögenswerte betroffen sind. Für NIS-2-Pflichtige hat sich eine Kombination bewährt: eine asset-basierte Grundanalyse mit szenario-basierten Stresstests für die kritischsten Geschäftsprozesse. Die Methode wird einmal festgelegt, dokumentiert und über den gesamten Analysezyklus konsistent angewendet. Ein Methodenwechsel mitten in der Analyse macht Ergebnisse vergleichbar wertlos und wird im Audit als fundamentaler Mangel gewertet.

Die Kontextfestlegung definiert den Anwendungsbereich der Analyse. Welche Geschäftsprozesse fallen in den NIS-2-Anwendungsbereich? Welche Rechtsanforderungen gelten zusätzlich (DSGVO, KRITIS-Verordnung, branchenspezifische Regulierung)? Welche internen und externen Stakeholder sind betroffen (Geschäftsleitung, Betriebsrat, Kunden, Aufsichten)? Welche Akzeptanzkriterien für Restrisiken gelten? Die Geschäftsleitung legt die Risikoappetit in einem schriftlichen Beschluss fest. Ohne diese Vorgabe bleibt jede spätere Bewertung subjektiv.

Schutzziele orientieren sich an den klassischen drei Dimensionen Vertraulichkeit, Integrität, Verfügbarkeit, ergänzt um Authentizität, Verbindlichkeit und Nachweisbarkeit. Für jede Dimension wird eine Schutzbedarfsskala angelegt, typischerweise vierstufig: normal, hoch, sehr hoch, kritisch. Der Schutzbedarf eines Vermögenswerts ergibt sich aus dem maximalen Schutzbedarf der Daten und Funktionen, die er trägt. Ein Beispiel: ein Mailserver eines NIS-2-pflichtigen Energieversorgers trägt operative Steuerungsmails (Verfügbarkeit hoch, Integrität sehr hoch) und Personaldaten (Vertraulichkeit hoch). Der Mailserver erbt damit den Schutzbedarf hoch in Verfügbarkeit und Vertraulichkeit, sehr hoch in Integrität. Das Maximumprinzip vermeidet Unterbewertung. Die Kontextfestlegung schließt mit einem unterschriebenen Geltungsbereich-Dokument ab.

Ohne vollständiges Asset-Inventar keine belastbare Analyse. Das Inventar umfasst primäre Assets (Geschäftsprozesse, Informationen) und unterstützende Assets (Hardware, Software, Netzwerke, Personal, Standorte, Lieferanten). Für jedes Asset werden mindestens fünf Felder gepflegt: eindeutige Kennung, Bezeichnung, Verantwortliche oder Verantwortlicher, Schutzbedarf in den definierten Dimensionen, Abhängigkeiten zu anderen Assets. Die Tiefe entscheidet: ein Eintrag wie SAP-System genügt nicht, weil unterschiedliche Module unterschiedlichen Schutzbedarf haben.

Praktisch hilft die Konsolidierung bestehender Quellen: CMDB für Hardware und Software, Active-Directory-Auszug für Zugriffsrechte, HR-System für personenbezogene Daten, Vertragsdatenbank für Lieferanten und Auftragsverarbeiter. Wer einen externen Datenschutzbeauftragten einsetzt, verbindet das Verzeichnis nach Art. 30 DSGVO mit dem Asset-Inventar, weil beide auf den gleichen Datenflüssen aufsetzen. Die Lieferantenabbildung verdient besondere Aufmerksamkeit. § 30 Absatz 2 Nummer 4 NIS2UmsuCG verlangt explizit die Berücksichtigung der Lieferkette. Jeder Auftragsverarbeiter, jeder Cloud-Anbieter, jeder Subunternehmer mit Zugriff auf relevante Systeme gehört in das Inventar. Die Pflege ist kontinuierlich: jede Beschaffung, jede Personaländerung, jede Architekturanpassung führt zu einer Aktualisierung. Das Inventar ist die einzige Datenquelle, aus der alle nachfolgenden Schritte ableiten.

Bedrohungen werden systematisch erfasst, nicht ad hoc gesammelt. Etablierte Quellen sind der BSI-IT-Grundschutz-Baustein-Katalog mit den zugehörigen Gefährdungen, die ENISA Threat Landscape, das MITRE ATT&CK Framework und der STRIDE-Ansatz (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege). Für die NIS-2-Analyse hat sich eine konsolidierte Liste von 30 bis 60 Bedrohungen bewährt, je nach Branchenkomplexität.

Schwachstellen sind die Eintrittspforten der Bedrohungen. Sie ergeben sich aus technischen Mängeln (fehlende Patches, schwache Verschlüsselung), organisatorischen Mängeln (fehlende Schulung, unklare Verantwortlichkeiten) und physischen Mängeln (Zutrittskontrolle, Brandschutz). Quellen sind interne Audits, Vulnerability-Scans, Pentests, Awareness-Messungen und Lessons Learned aus früheren Vorfällen. Pro Asset wird die Kreuzmatrix Asset × Bedrohung × Schwachstelle aufgebaut. Nicht jede Kombination ist plausibel, deshalb wird mit Erfahrung gefiltert. Das Ergebnis ist eine Liste konkreter Risikoszenarien wie: Ransomware-Angriff über ungepatchte VPN-Software auf den Produktionsdatenserver. Solche Sätze sind die analytischen Atome der nächsten Bewertungsstufe. Pauschalformeln wie Cyberrisiko allgemein liefern keinerlei Steuerungsinformation und werden im Audit nicht akzeptiert.

Jedes Risikoszenario wird zwei dimensional bewertet: Eintrittswahrscheinlichkeit und Schadensauswirkung. Eintrittswahrscheinlichkeit lässt sich qualitativ (selten, möglich, wahrscheinlich, sehr wahrscheinlich) oder quantitativ (Häufigkeit pro Jahr) abbilden. Schadensauswirkung wird in finanzielle, regulatorische, operative und Reputationsschäden zerlegt und auf eine vergleichbare Skala gebracht. Eine vierstufige Skala (gering, spürbar, schwer, existenzbedrohend) ist marktüblich.

Die Kombination der beiden Dimensionen ergibt die Risikomatrix, meist als 4×4- oder 5×5-Raster. Risiken in der oberen rechten Ecke (hohe Wahrscheinlichkeit × hoher Schaden) werden priorisiert. Die Risikoakzeptanzgrenze wird vorher festgelegt: zum Beispiel akzeptiert die Geschäftsleitung Risiken nur, wenn die Eintrittswahrscheinlichkeit als gering und der Schaden als gering oder spürbar bewertet wird. Alles darüber muss behandelt werden. Wichtig: die Bewertung erfolgt zuerst brutto, ohne bestehende Kontrollen, dann netto, mit den bereits implementierten Maßnahmen. Die Differenz zeigt den Wirkungsbeitrag der bestehenden Sicherheit und macht die Bewertung im Audit nachvollziehbar. Jede Bewertung wird mit Begründung, Datum und bewertender Person versehen. Subjektive Einzelmeinungen ohne Beleg werden durch strukturierte Workshops mit IT, Fachbereich, Datenschutz und Compliance ersetzt. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Für jedes nicht akzeptable Risiko wird eine Behandlungsoption gewählt: Vermeiden, Vermindern, Übertragen oder Akzeptieren. Vermeiden bedeutet, den risikobehafteten Prozess oder die Funktion einzustellen. Vermindern heißt, technische oder organisatorische Maßnahmen umzusetzen, die Wahrscheinlichkeit oder Schaden reduzieren. Übertragen erfolgt durch Versicherung oder durch Auslagerung an Dritte mit vertraglicher Haftung. Akzeptieren ist eine bewusste Entscheidung der Geschäftsleitung, das Restrisiko zu tragen.

Der Behandlungsplan listet pro Risiko die gewählte Option, die konkrete Maßnahme, den oder die Verantwortliche, den Zieltermin, das Budget und die Erfolgskriterien. Maßnahmen werden mit den Annex-A-Controls aus ISO/IEC 27001:2022 verknüpft, damit die Statement of Applicability stimmig bleibt. Die Geschäftsleitung unterschreibt den Behandlungsplan und die Risikoakzeptanz für das verbleibende Restrisiko. Diese Unterschrift ist im Audit das zentrale Dokument für die persönliche Haftungsfrage nach § 38 NIS2UmsuCG, der die Geschäftsleitung in die direkte Haftung nimmt. Ein NIS-2-Versäumnis kann Bußgelder bis 10 Mio. Euro oder 2 Prozent des Konzernumsatzes nach sich ziehen, je nachdem welcher Betrag höher ist. Die Risikoanalyse wird mindestens jährlich und anlassbezogen (bei wesentlichen Änderungen oder Vorfällen) aktualisiert. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Bei einer NIS-2-Prüfung verlangt das BSI typischerweise vier Dokumente in dieser Reihenfolge. Erstens: die Risikoanalyse-Methode mit Geltungsbereich und Bewertungslogik. Zweitens: das Asset-Inventar mit Schutzbedarfsfeststellung. Drittens: die Risikomatrix mit allen Szenarien, Bewertungen und der Risikoakzeptanzgrenze. Viertens: der Behandlungsplan mit Maßnahmen, Verantwortlichen, Terminen und Erfolgskontrollen.

Ergänzend wird die Schnittstelle zur Vorfallsmeldung nach § 32 NIS2UmsuCG geprüft: ist sichergestellt, dass aus der Risikoanalyse die Erkennungsfähigkeit folgt, die für die 24-Stunden-Frühwarnung und die 72-Stunden-Folgemeldung erforderlich ist? Ist der Bezug zur Lieferkette nach § 30 Absatz 2 Nummer 4 NIS2UmsuCG dokumentiert? Werden die Schulungspflichten der Geschäftsleitung nach § 38 NIS2UmsuCG nachgewiesen? Sind die Maßnahmen mit Annex A von ISO/IEC 27001:2022 verknüpft, sodass eine spätere Zertifizierung anschlussfähig bleibt? Jedes Dokument trägt Version, Datum, Verfasser und Freigeber. Jede Änderung produziert einen neuen Versionsstand mit Begründung. Audit-fest, dokumentiert, § 30-fest. Der Prüfer ruft an, der Nachweis liegt bereit.

Die IT-Risikoanalyse ist die Grundlage jedes NIS-2-Compliance-Programms. Methode, Asset-Inventar, Bedrohungskatalog, Risikomatrix und Behandlungsplan müssen miteinander konsistent sein und kontinuierlich gepflegt werden. CIVAC stellt Compliance-Plattform und Officer-as-a-Service genau für diese Aufgabe. Die Plattform liefert die methodische Struktur nach ISO/IEC 27005:2022, das Asset-Inventar-Schema, vorgefertigte Bedrohungskataloge auf BSI- und ENISA-Basis sowie eine konfigurierbare Risikomatrix. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de mit dem NIS-2-Status Ihres Hauses (wesentlich, wichtig, unklar), der Branche, der ungefähren Mitarbeiterzahl und dem Stand einer bestehenden Risikoanalyse. Innerhalb von 48 Stunden erhalten Sie einen skopierten Plan, eine Schätzung des Aufwands und den Entwurf der Bestellurkunde für einen externen Informationssicherheitsbeauftragten, falls Sie die Verantwortlichkeit auslagern möchten. Der Workspace ist zwei Werktage nach Vertragsschluss zugriffsbereit. Die Frist läuft ab Kenntnis.