MATTALNET
Back to blog
Compliance & Sicherheit

NIS2-Risikomanagement: Prozess, Maßnahmen und Nachweise

MATTALNETPublished on June 16, 20262 min read
NIS2RisikomanagementComplianceCybersecurityISO 27001

Das NIS2-Risikomanagement ist das Herzstück der NIS2-Pflichten: Artikel 21 verlangt einen gelebten, risikobasierten Ansatz für die Informationssicherheit. Dieser Leitfaden zeigt, wie Sie ein NIS2-konformes Risikomanagement aufbauen – von der Risikoanalyse bis zur Wirksamkeitsmessung.

Was bedeutet Risikomanagement unter NIS2?

NIS2 schreibt keine starre Technik vor, sondern einen risikobasierten Ansatz: Maßnahmen müssen „geeignet und verhältnismäßig“ zum jeweiligen Risiko sein. Das heißt, Sie identifizieren systematisch Risiken für Ihre Netz- und Informationssysteme, bewerten sie und steuern sie mit angemessenen technischen und organisatorischen Maßnahmen. Der Stand der Technik und die Kosten der Umsetzung dürfen dabei berücksichtigt werden.

Einen Überblick über alle Pflichten gibt unsere NIS2-Checkliste; wie die Umsetzung geprüft wird, lesen Sie im Leitfaden zum NIS2-Audit.

Der NIS2-Risikomanagement-Prozess in 5 Schritten

  1. Werte und Systeme erfassen – Asset-Inventar: Welche Daten, Systeme und Dienste sind schützenswert?
  2. Risiken identifizieren – Bedrohungen und Schwachstellen je Asset bestimmen (z. B. Ausfall, Datenabfluss, Ransomware, Lieferkette).
  3. Risiken bewerten – Eintrittswahrscheinlichkeit und Schadenshöhe einschätzen und priorisieren.
  4. Maßnahmen festlegen – Risiken vermeiden, vermindern, übertragen oder bewusst akzeptieren; Maßnahmen aus Artikel 21 zuordnen.
  5. Überwachen & verbessern – Wirksamkeit messen, regelmäßig überprüfen und nachsteuern (kontinuierlicher Zyklus).

Die Maßnahmen aus Artikel 21 als Steuerungsrahmen

Das Risikomanagement mündet in konkrete Maßnahmen. NIS2 nennt mindestens diese Bereiche:

  • Sicherheitsrichtlinien und Risikoanalyse
  • Bewältigung von Sicherheitsvorfällen (Incident Response)
  • Business Continuity, Backup und Krisenmanagement
  • Sicherheit der Lieferkette
  • Sicherheit bei Beschaffung, Entwicklung und Wartung
  • Verfahren zur Wirksamkeitsmessung
  • Cyberhygiene und Schulungen
  • Kryptografie und Verschlüsselung
  • Zugriffskontrolle, Asset- und Personalsicherheit
  • Multi-Faktor-Authentifizierung und sichere Kommunikation

NIS2, ISO 27001 und BSI IT-Grundschutz

Wer bereits ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 oder BSI IT-Grundschutz betreibt, hat einen großen Vorsprung: Risikoanalyse, Maßnahmenkataloge und der kontinuierliche Verbesserungszyklus decken viele NIS2-Anforderungen ab. Eine bestehende Zertifizierung ersetzt NIS2 zwar nicht automatisch, liefert aber Struktur und Nachweise, die das Risikomanagement deutlich erleichtern.

Wirksamkeit nachweisen

NIS2 fordert ausdrücklich Verfahren zur Bewertung der Wirksamkeit. Belegen lässt sich das z. B. durch Penetrationstests, Schwachstellen-Scans, Notfall- und Wiederherstellungstests, Kennzahlen (etwa Patch-Zeiten oder Schulungsquoten) und interne Audits. Wichtig ist die Dokumentation – ein Risiko, das nur „im Kopf“ gemanagt wird, gilt im Zweifel als nicht gemanagt.

Risikomanagement beginnt in der Software

Viele Risiken entstehen direkt in den eingesetzten Anwendungen: unsichere Schnittstellen, fehlende Zugriffskontrolle, schwache Verschlüsselung oder mangelnde Protokollierung. Ein NIS2-konformes Risikomanagement bleibt Stückwerk, wenn die Software diese Kontrollen nicht von Haus aus mitbringt. MATTALNET entwickelt Systeme mit Sicherheit als Architekturprinzip – sodass technische Maßnahmen aus Artikel 21 nicht nachgerüstet, sondern eingebaut sind.

Häufige Fragen zum NIS2-Risikomanagement

Brauche ich für NIS2 ein zertifiziertes ISMS?

Nicht zwingend. NIS2 verlangt ein wirksames, risikobasiertes Management – eine ISO-27001-Zertifizierung ist hilfreich, aber keine gesetzliche Pflicht.

Wie oft muss die Risikoanalyse aktualisiert werden?

Regelmäßig sowie anlassbezogen – etwa bei neuen Systemen, geänderten Bedrohungslagen oder nach einem Sicherheitsvorfall. Mindestens jährlich ist ein guter Richtwert.

Wer ist im Unternehmen verantwortlich?

Die Geschäftsleitung trägt die Verantwortung: Sie muss die Maßnahmen billigen, ihre Umsetzung überwachen und geschult sein. Die operative Umsetzung kann delegiert werden, die Haftung nicht.

Dieser Beitrag ist eine allgemeine Orientierung und ersetzt keine Rechts- oder Sicherheitsberatung.

Back to blog