Risikomanagement (NIS2-Kontext)
Risikomanagement im NIS2-Kontext bezeichnet die systematische Identifikation, Bewertung und Behandlung von Cyberrisiken, die von betroffenen Unternehmen nach der NIS2-Richtlinie umzusetzen sind. Es umfasst zehn verpflichtende Maßnahmenbereiche von der Risikoanalyse bis zur Lieferkettensicherheit.
Ausführliche Erklärung
Die NIS2-Richtlinie, in Deutschland seit Dezember 2025 durch das NIS2UmsuCG umgesetzt und in Österreich ab Oktober 2026 durch das NISG 2026 geltend, verpflichtet rund 30.000 Unternehmen in Deutschland und etwa 4.000 in Österreich zu einem strukturierten Cybersicherheits-Risikomanagement. Kernstück ist der Katalog von zehn technischen und organisatorischen Maßnahmen nach Paragraf 30 BSIG, der ohne Übergangsfrist seit Inkrafttreten gilt. Diese Maßnahmen umfassen Risikoanalyse, Incident Response, Business Continuity, Lieferkettensicherheit, Schwachstellenmanagement, Wirksamkeitsbewertung, Schulungen, Kryptographie, Zugangskontrolle und Multi-Faktor-Authentifizierung.
Das gesetzlich geforderte Risikomanagement folgt einem gefahrenübergreifenden Ansatz: Unternehmen dürfen sich nicht nur auf einzelne Bedrohungsszenarien wie Ransomware beschränken, sondern müssen physische Risiken, Stromausfälle, Lieferkettenstörungen und menschliche Faktoren einbeziehen. Methodisch sind Unternehmen frei – bewährt haben sich der BSI-Standard 200-3 und ISO 27005. Unternehmen, die bereits nach ISO 27001 zertifiziert sind, decken typischerweise 70 bis 80 Prozent der NIS2-Anforderungen ab, müssen jedoch zusätzliche Aspekte wie spezifische Meldepflichten und die dokumentierte Geschäftsführungsverantwortung nachweisen.
Eine zentrale Besonderheit der NIS2 ist die persönliche Verantwortung der Geschäftsleitung: Sie muss die Risikomanagementmaßnahmen billigen, deren Umsetzung überwachen und regelmäßig an Cybersicherheitsschulungen teilnehmen. Die Umsetzung kann zwar delegiert werden, die Verantwortung jedoch nicht. Bei Verstößen drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen. In Österreich gelten vergleichbare Sanktionen für wesentliche Einrichtungen.
Das NIS2-Risikomanagement ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Risiken verändern sich durch neue Bedrohungen, neue Systeme und veränderte Geschäftsprozesse. Unternehmen müssen nachweisen können, dass ihre Maßnahmen angemessen, verhältnismäßig und wirksam sind – ein statisches Dokument reicht nicht aus. Betreiber kritischer Anlagen müssen die Umsetzung in Deutschland alle drei Jahre nachweisen, in Österreich erfolgt eine Selbstdeklaration mit anschließenden behördlich angeordneten Nachweisen.
Praxisbeispiel
Ein Logistikunternehmen mit 85 Mitarbeitenden in Linz fällt als wichtige Einrichtung unter das NISG 2026. Die Geschäftsführerin lässt zunächst eine Risikoanalyse nach BSI-Standard 200-3 durchführen, die Schwachstellen in der Backup-Strategie und fehlende Lieferkettenbewertungen aufdeckt. Ein externer IT-Dienstleister unterstützt beim Aufbau eines Informationssicherheits-Managementsystems, implementiert Multi-Faktor-Authentifizierung und dokumentiert alle Maßnahmen auditfähig. Die Geschäftsführerin nimmt an einer NIS2-Schulung teil und genehmigt den Risikobehandlungsplan formal – eine Voraussetzung, um im Prüffall die persönliche Haftung auszuschließen.