ISGroup Cybersicherheitsberatung

Häufigkeit von Cybersicherheits-Risikobewertungen gemäß NIS2

Während die verfügbaren Quellen die wesentlichen Elemente des Cybersicherheits-Risikomanagements gemäß NIS2 umreißen, einschließlich der Notwendigkeit für Unternehmen, Risikobewertungen durchzuführen, wird keine explizite verbindliche Häufigkeit für diese Bewertungen festgelegt.

Artikel 21, Absatz 1: Dieser Artikel, der die Maßnahmen zum Cybersicherheits-Risikomanagement beschreibt, legt fest, dass wesentliche und wichtige Einrichtungen „angemessene und verhältnismäßige“ Maßnahmen ergreifen müssen, um die Risiken für ihre Netz- und Informationssysteme zu bewältigen.
Fokus auf kontinuierliches Risikomanagement: Die in Artikel 21 verwendete Sprache mit Formulierungen wie „angemessen und verhältnismäßig“ deutet auf einen kontinuierlichen und iterativen Ansatz beim Risikomanagement hin, anstatt auf eine Planung, die auf einem festen Zeitplan basiert.

[Callforaction-NIS2]

Erkenntnisse aus verwandten Bestimmungen und dem Kontext

Obwohl die Verordnung keine spezifische Häufigkeit angibt, liefern verschiedene Bestimmungen und kontextbezogene Faktoren innerhalb der NIS2 Hinweise darauf, wie oft Unternehmen idealerweise Risikobewertungen durchführen sollten:

  1. Dynamische Natur von Cyber-Bedrohungen: Die Verordnung hebt häufig die schnelle Entwicklung der Cyber-Bedrohungslandschaft hervor. Angesichts des ständigen Auftretens neuer Bedrohungen und Schwachstellen müssen Unternehmen ihre Sicherheitslage regelmäßig überprüfen, was impliziert, dass Risikobewertungen häufiger als nur einmalig stattfinden sollten.
  2. Kontextuelle Änderungen: Das Risikoprofil eines Unternehmens kann durch eine Vielzahl interner und externer Veränderungen beeinflusst werden, darunter:
    • Geschäftsbetrieb: Die Expansion in neue Märkte, die Einführung neuer Technologien, Änderungen in den Lieferketten oder wesentliche Änderungen an bestehenden Diensten könnten eine Neubewertung der Sicherheitsrisiken erfordern.
    • Regulatorisches Umfeld: Neue Vorschriften, Industriestandards oder Leitlinien der Aufsichtsbehörden könnten zusätzliche Anforderungen an die Cybersicherheit einführen, was die Notwendigkeit zur Aktualisierung der Risikobewertungen nach sich zieht.
    • Bedrohungsanalyse (Threat Intelligence): Informationen über aufkommende Bedrohungen, branchenspezifische Schwachstellen oder verwendete Technologien sowie eine Zunahme gezielter Aktivitäten gegen ähnliche Organisationen sollten eine Neubewertung der Risiken auslösen.
  3. Betonung der Verhältnismäßigkeit: Die NIS2 unterstreicht, dass Cybersicherheitsmaßnahmen, einschließlich Risikobewertungen, „verhältnismäßig“ zur Größe des Unternehmens, zum Risikoprofil und zu den potenziellen Auswirkungen von Vorfällen sein müssen. Größere Unternehmen, die in Hochrisikosektoren mit kritischen Diensten tätig sind, werden wahrscheinlich häufigere und gründlichere Risikobewertungen durchführen müssen als kleinere Unternehmen mit geringeren Risikoprofilen.
  4. Regelmäßige Audits und Überprüfungen: Die NIS2 ermächtigt die zuständigen Behörden, regelmäßige und gezielte Audits bei wesentlichen und wichtigen Einrichtungen durchzuführen. Solche Audits können Überprüfungen der Praktiken des Cybersicherheits-Risikomanagements beinhalten und Bereiche identifizieren, in denen Risikobewertungen aktualisiert oder häufiger durchgeführt werden müssen.

Best Practices und Empfehlungen

In Ermangelung einer spezifischen, durch die NIS2 festgelegten Häufigkeit ist es ratsam, bewährte Verfahren der Cybersicherheit und Empfehlungen vertrauenswürdiger Organisationen zu übernehmen. Obwohl diese unter der NIS2 nicht rechtlich bindend sind, bieten diese Ressourcen oft Anhaltspunkte für die Häufigkeit von Risikobewertungen, die auf Branchenerfahrung und der sich entwickelnden Bedrohungslage basieren.

Hinweis: Die hier aufgeführten Empfehlungen stammen nicht direkt aus den von Ihnen bereitgestellten Quellen, sondern basieren auf gängigen Best Practices der Cybersicherheit. Ich empfehle Ihnen, diese Informationen unabhängig zu überprüfen.

  • National Institute of Standards and Technology (NIST): Das NIST-Framework ist, obwohl nicht spezifisch für die NIS2, eine weithin anerkannte Ressource. Es schreibt zwar keine feste Häufigkeit vor, betont jedoch, dass Risikobewertungen „regelmäßig“ und bei jeder wesentlichen Änderung durchgeführt werden sollten.
  • ENISA (Agentur der Europäischen Union für Cybersicherheit): Die ENISA veröffentlicht möglicherweise Leitlinien oder Empfehlungen zur Häufigkeit von Risikobewertungen im Kontext der NIS2-Umsetzung. Die Konsultation ihrer Ressourcen könnte weitere Erkenntnisse liefern.

Was konkret zu tun ist

Obwohl die NIS2 keine spezifische Häufigkeit für Cybersicherheits-Risikobewertungen festlegt, legen der Fokus auf einen risikobasierten Ansatz, die dynamische Natur von Cyber-Bedrohungen und die Notwendigkeit verhältnismäßiger Maßnahmen nahe, dass diese Bewertungen regelmäßig und nicht als gelegentliche Übung durchgeführt werden sollten. Faktoren wie Änderungen im Geschäftsbetrieb, die sich entwickelnde Bedrohungslage und regulatorische Anforderungen müssen bei der Bestimmung der angemessenen Häufigkeit berücksichtigt werden. Um zu verstehen, wie dieser Prozess innerhalb Ihres Unternehmens strukturiert werden kann, kann es hilfreich sein, die Seite zum Hauptziel der NIS2-Richtlinie oder den offiziellen Text der NIS2-Richtlinie zu konsultieren und einen NIS2-Compliance-Pfad zu bewerten, der das spezifische Risikoprofil der Organisation berücksichtigt.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *