Kontakt aufnehmen

GRASP German GRC
Kostenlos testen

NIS2 umsetzen konkret: Risikomanagement

Veröffentlicht am: 5. Februar 2026

Max Mustermann

Veröffentlicht am: 05.02.2026

Risikomanagement

Risikomanagement ist das methodische Rückgrat der NIS2-Umsetzung. Es verbindet strategische Verantwortung mit operativer Umsetzung und schafft die Grundlage für priorisierte, nachvollziehbare Sicherheitsentscheidungen. NIS2 verlangt kein theoretisches oder akademisches Risikomodell, sondern ein strukturiertes, dokumentiertes und regelmäßig überprüftes Vorgehen zur Identifikation, Bewertung und Steuerung von Risiken für Netz- und Informationssysteme. Ziel ist es, Risiken transparent zu machen, Entscheidungen begründbar zu treffen und die Wirksamkeit von Maßnahmen kontinuierlich zu überwachen. Wer NIS2 umsetzen will, muss Risikomanagement als fortlaufenden Managementprozess verstehen, nicht als einmalige Analyse.

Weitere Artikel der Reihe „NIS2 umsetzen“

Wenn Sie alle Inhalte und Grafiken dieser „NIS2 umsetzen“-Reihe zusammenführen, erhalten Sie am Ende einen Projektplan, der Ihnen dabei hilft, NIS2-konform zu werden.

Risikomanagement als verbindliche Managementaufgabe

Mit NIS2 wird Risikomanagement ausdrücklich zu einer Aufgabe der Leitungsebene. Die Verantwortung für die Identifikation und Steuerung von Risiken kann operativ delegiert werden, verbleibt jedoch organisatorisch bei der Geschäftsführung. Damit unterscheidet sich NIS2 deutlich von rein technischen Sicherheitsstandards. Risiken sind nicht nur technische Schwachstellen, sondern betreffen Geschäftsprozesse, Abhängigkeiten, externe Dienstleister und organisatorische Strukturen.

Für die Praxis bedeutet das: Risikomanagement muss so gestaltet sein, dass Entscheidungen nachvollziehbar dokumentiert, priorisiert und überprüfbar sind. Es reicht nicht aus, Risiken informell zu diskutieren oder punktuell zu bewerten. NIS2 verlangt ein konsistentes Vorgehen, das dauerhaft angewendet wird und sich an Veränderungen der Organisation orientiert.

Bedrohungs- und Schwachstellenanalyse strukturiert durchführen

Ein zentraler Einstieg in das Risikomanagement ist die strukturierte Betrachtung möglicher Bedrohungen und Schwachstellen. NIS2 verlangt, dass Organisationen nachvollziehbar bewerten, welchen realistischen Gefährdungen ihre Netz- und Informationssysteme ausgesetzt sind. Dabei darf die Analyse nicht auf generischen Bedrohungskatalogen beruhen, sondern muss sich an der tatsächlichen Exponierung der Organisation orientieren.

Ziel ist es, realistische Szenarien zu identifizieren, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Systemen beeinträchtigen könnten. Für eine auditfeste Umsetzung ist entscheidend, dass Annahmen, Rahmenbedingungen und Bewertungen konsistent und nachvollziehbar dokumentiert werden. Die Analyse muss nicht vollständig oder erschöpfend sein, sondern methodisch sauber und begründet.

In der Praxis hat sich eine Umsetzungsdauer von etwa vier Wochen bewährt, insbesondere wenn vorhandene Sicherheitsinformationen, Erfahrungswerte oder externe Lagebilder genutzt werden können. Die Bedrohungsanalyse ist regelmäßig zu überprüfen und bei relevanten Änderungen anzupassen.

RISK01

Phase RISK-01: Risiken zu analysieren hat viel mit Erfahrung zu tun. Kalkulieren Sie ab Projektstart rund 28 Werktage ein.

Systemanalyse: Transparenz über Netz- und Informationssysteme schaffen

Aufbauend auf der Bedrohungsanalyse erfolgt die strukturierte Analyse der eigenen Netz- und Informationssysteme. NIS2 setzt voraus, dass Organisationen nachvollziehbar erfassen, welche Systeme existieren, wie sie genutzt werden und welche Bedeutung sie für den Geschäftsbetrieb haben. Dabei geht es nicht um technische Detailtiefe, sondern um eine belastbare Übersicht über kritische Komponenten und Abhängigkeiten.

In der Praxis umfasst diese Systemanalyse insbesondere die Identifikation von Systemen, die für die Erbringung wesentlicher Leistungen erforderlich sind. Ebenso relevant sind unterstützende Systeme, deren Ausfall indirekt zu erheblichen Beeinträchtigungen führen kann. Die Ergebnisse dieser Analyse bilden die Grundlage für die konkrete Bewertung und Priorisierung identifizierter Risiken und sind ein zentraler Nachweis gegenüber Prüfern.

Eine realistische Umsetzungsdauer für diese Phase liegt bei etwa vier Wochen, abhängig von der Größe der Organisation und der bestehenden Dokumentationslage. Entscheidend ist, dass die Systemübersicht nachvollziehbar strukturiert, aktuell gehalten und konsistent zur Bedrohungsbewertung ist.

Risikomanagement

Phase RISK-02: Im optimalen Fall haben Sie schon alle Systeme irgendwann einmal inventarisiert. Kalkulieren Sie ab Projektstart 21 Werktage ein.

Risiken bewerten und priorisieren

Risikomanagement im Sinne der NIS2 endet nicht bei der Identifikation von Risiken. Entscheidend ist die Bewertung und Priorisierung. Risiken müssen in Relation zueinander gesetzt werden, um fundierte Entscheidungen treffen zu können. Dabei spielen sowohl Eintrittswahrscheinlichkeit als auch potenzielle Auswirkungen eine Rolle.

NIS2 schreibt keine konkrete Bewertungsmethode vor. Entscheidend ist, dass die gewählte Methodik konsistent angewendet und dokumentiert wird. Für die Praxis bedeutet das, eine einfache, nachvollziehbare Bewertungslogik zu etablieren, die von der Leitungsebene verstanden und akzeptiert wird.

Diese Priorisierung ist die Grundlage für alle weiteren Maßnahmen. Sie stellt sicher, dass Ressourcen gezielt eingesetzt werden und nicht alle Risiken gleich behandelt werden.

Strukturierte Risikosteuerung und Maßnahmenableitung

Auf Basis der priorisierten Risiken verlangt NIS2 einen strukturierten Ansatz zur Risikosteuerung. Risiken müssen bewusst behandelt werden, etwa durch Reduktion, Akzeptanz oder organisatorische Maßnahmen. Diese Entscheidungen sind Managemententscheidungen und müssen entsprechend dokumentiert werden.

In der Praxis bedeutet das, für jedes wesentliche Risiko festzulegen, wie damit umgegangen wird und welche Maßnahmen umgesetzt werden. Diese Maßnahmen können technischer, organisatorischer oder prozessualer Natur sein. Wichtig ist, dass die Maßnahmen in einem nachvollziehbaren Zusammenhang zum identifizierten Risiko stehen.

Für diese Phase ist eine Umsetzungsdauer von etwa vier Wochen realistisch, da hier häufig Abstimmungen zwischen Fachbereichen, IT und Geschäftsführung erforderlich sind.

Phase RISK-03: Sind die Risiken indentifiziert, gilt es sie zusteuern und möglichst zu minimieren. Planen Sie ab Projektstart 28 Werktage ein.

Wirksamkeit der Risikomaßnahmen bewerten

NIS2 verlangt ausdrücklich, dass die Wirksamkeit von Risikomanagementmaßnahmen überprüft wird. Es reicht nicht aus, Maßnahmen zu definieren oder umzusetzen. Organisationen müssen in der Lage sein zu bewerten, ob diese Maßnahmen tatsächlich den gewünschten Effekt haben.

Für die Praxis bedeutet das, geeignete Kriterien und Zeitpunkte für die Bewertung festzulegen. Diese Bewertung kann qualitativ oder quantitativ erfolgen, muss jedoch nachvollziehbar dokumentiert werden. Die Ergebnisse fließen in die Weiterentwicklung des Risikomanagements ein.

Regelmäßige Aktualisierung des Risikomanagements

Risikomanagement ist kein statischer Zustand. Veränderungen in der Bedrohungslage, neue Systeme oder organisatorische Anpassungen erfordern eine regelmäßige Aktualisierung. NIS2 verlangt, dass Risikomanagement als fortlaufender Prozess etabliert wird.

In der Praxis bedeutet das, feste Überprüfungszyklen zu definieren, etwa jährlich oder anlassbezogen. Eine vollständige Aktualisierung des Risikomanagements kann je nach Umfang etwa zwei Monate in Anspruch nehmen. Entscheidend ist, dass diese Aktualisierung planmäßig erfolgt und dokumentiert wird.

Phase RISK-04: Risiken können durch neue Entwicklungen kommen und gehen. Planen Sie ab Projektstart 60 Werktage ein.

Risikomanagement als verbindendes Element der NIS2-Umsetzung

Risikomanagement verbindet alle weiteren Themen der NIS2-Umsetzung. Es liefert die Grundlage für Kontrollen und Schutzmaßnahmen, für Incident Response-Planung, für Business-Continuity-Maßnahmen und für die laufende Compliance-Überwachung. Ohne ein strukturiertes Risikomanagement bleiben diese Themen isoliert und schwer begründbar.

Wer NIS2 umsetzen will, sollte Risikomanagement daher nicht als isolierte Pflicht betrachten, sondern als zentrales Steuerungsinstrument. Eine klar strukturierte Actionliste hilft dabei, die erforderlichen Schritte realistisch zu planen, umzusetzen und kontinuierlich weiterzuentwickeln.

Wie Lösungen wie GRASP beim Risikomanagement helfen

GRASP hilft mit seiner Risiko-Matrix beim risikobasierten Denken. Eine anschauliche Analogie ist die Überquerung einer Hängebrücke über eine Schlucht. Sobald Sie nach links, rechts oder nach unten blicken, setzt automatisch risikobasiertes Denken ein. Während Sie in Sekunden entscheiden, ob Sie losgehen oder stehenbleiben, lässt sich dieses Prinzip auch auf unternehmerische Risikobewertung übertragen.

Angenommen, die Brücke ist wackelig und alt. Sie haben mehrere Optionen:

  • Akzeptanz: Sie akzeptieren das Risiko und gehen über die Brücke.
  • Vermeidung: Sie vermeiden das Risiko, indem Sie einen anderen Weg wählen oder nach Hause gehen.
  • Reduktion: Sie warten, bis die Brücke repariert ist, und überqueren sie erst dann.
  • Transferierung: Sie schließen eine Versicherung ab, um die Unfallfolgen abzufedern.
  • Aufteilung: Sie überqueren die Brücke gemeinsam mit jemandem und sichern sich gegenseitig ab.
  • Eventualität: Sie kehren zurück, wenn eine Betonbrücke errichtet oder die Schlucht zugeschüttet wurde.

Risiken sind also nicht nur Bedrohungen, sondern immer auch mit Chancen verbunden. Auf der anderen Seite der Brücke könnte beispielsweise ein wichtiger Geschäftstermin warten. Verzichten Sie auf den Übergang, vermeiden Sie zwar das Risiko – aber auch die Chance.

Risikomanagement

Eine auf NIS2 spezialisierte Lösung wie GRASP hilft Risiken mit Hilfe einer Risikomatrix zu erkennen, zu visualisieren und zu managen.

Die nächste Phase der NIS2-Umsetzung: Kontrollen und Schutz

Kontrollen und Schutzmaßnahmen bilden die operative Umsetzung der im Risikomanagement getroffenen Entscheidungen. NIS2 verlangt an dieser Stelle keine maximale technische Absicherung, sondern angemessene, wirksame und überprüfbare Maßnahmen, die identifizierte Risiken gezielt adressieren. Bleiben Sie am Ball, um in die nächste Phase einzutreten. 

Noch mehr zu NIS2 finden Sie übrigens direkt beim BSI.

Häufig gestellte Fragen

Warum ist Risikomanagement ein zentraler Bestandteil der NIS2?

NIS2 verfolgt einen risikobasierten Ansatz. Maßnahmen sollen nicht pauschal umgesetzt werden, sondern auf Grundlage nachvollziehbar bewerteter Risiken. Risikomanagement bildet damit die Grundlage für alle weiteren Anforderungen.

Muss jedes identifizierte Risiko vollständig beseitigt werden?

Nein. NIS2 verlangt eine bewusste und dokumentierte Entscheidung über den Umgang mit Risiken. Dazu zählen Reduktion, organisatorische Maßnahmen oder auch eine begründete Akzeptanz.

Gibt NIS2 eine konkrete Methode zur Risikobewertung vor?

Nein. NIS2 schreibt keine bestimmte Methodik vor. Entscheidend ist, dass die gewählte Vorgehensweise konsistent angewendet, dokumentiert und von der Leitungsebene getragen wird.

Wie detailliert muss die Risikodokumentation sein?

Die Dokumentation muss nachvollziehbar sein, aber keine technische Vollständigkeit aufweisen. Wichtig ist, dass Annahmen, Bewertungen und Entscheidungen verständlich begründet und prüfbar sind.

Wie oft muss das Risikomanagement aktualisiert werden?

NIS2 verlangt eine regelmäßige Aktualisierung. In der Praxis haben sich jährliche Reviews sowie anlassbezogene Anpassungen bei relevanten Änderungen bewährt.

Welche Rolle spielt die Geschäftsführung im Risikomanagement?

Die Geschäftsführung trägt die Gesamtverantwortung. Sie muss sicherstellen, dass Risiken systematisch identifiziert, priorisiert und gesteuert werden, auch wenn operative Aufgaben delegiert sind.

Wie hängt Risikomanagement mit anderen NIS2-Themen zusammen?

Risikomanagement liefert die Grundlage für Schutzmaßnahmen, Incident Response, Business Continuity und Compliance. Ohne eine strukturierte Risikobetrachtung sind diese Maßnahmen schwer begründbar.

Was prüfen Behörden oder Auditoren beim Risikomanagement?

Geprüft wird vor allem, ob ein konsistenter Prozess existiert, Entscheidungen nachvollziehbar dokumentiert sind und das Risikomanagement tatsächlich gelebt und regelmäßig überprüft wird.

Jetzt GRASP 30 Tage kostenlos testen!

Text auf Button: Get Started Free Trial starten

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GmbH

Siegel Software Made and Hosted in Germany
Siegel Allianz für Cyber-Sicherheit Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Module

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Software für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Verknüpfung von GRASP mit Business-Apps

Regularien & Zertifizierungen

NIS2 Umsetzungsgesetz erfüllen

Zertifizierung nach ISO/IEC 27001 umsetzen

BSI-Standard 200-4 etablieren

DSGVO-Anforderungen umsetzen

Neues bei GRASP

Unternehmen

Über uns

GRASP FAQs

Trust Center - Unser Versprechen

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

© DextraData GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen