§ ISMS
NIS2-ISMS - Demonstration

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Seitenleiste

Inhaltsverzeichnis

2.1.2 Risikomanagementverfahren festlegen und dokumentieren

Quelle / Referenzanforderung

Feld Eintrag
Referenz Durchführungsverordnung (EU) 2024/2690, Anhang, Nummer 2.1.2
Quelltitel Risikomanagementrahmen
Kontrolltyp Risk Management
Rechtscharakter im Katalog Referenzanforderung; konkrete Anwendbarkeit kundenseitig zu bewerten

Für die Zwecke von Nummer 2.1.1 legen die betreffenden Einrichtungen Verfahren für die Ermittlung, Analyse, Bewertung und Behandlung von Risiken fest („Risikomanagementverfahren im Bereich der Cybersicherheit“). Das Risikomanagementverfahren im Bereich der Cybersicherheit ist – soweit anwendbar – fester Bestandteil des gesamten Risikomanagementverfahrens der betreffenden Einrichtungen. Als Teil des Risikomanagementverfahrens im Bereich der Cybersicherheit müssen die betreffenden Einrichtungen a) eine Risikomanagementmethodik befolgen; b) eine Risikotoleranzschwelle im Einklang mit der Risikobereitschaft der betreffenden Einrichtungen festlegen; c) einschlägige Risikokriterien einführen und pflegen; d) im Einklang mit einem gefahrenübergreifenden Ansatz die bestehenden Risiken für die Sicherheit von Netz- und Informationssystemen ermitteln und dokumentieren, insbesondere in Bezug auf Dritte sowie auf Risiken, die zu Störungen der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit der Netz- und Informationssysteme führen könnten, wobei auch punktuelle Ausfälle zu ermitteln sind; e) die bestehenden Risiken für die Sicherheit von Netz- und Informationssystemen analysieren, einschließlich des Niveaus der Bedrohung, der Wahrscheinlichkeit, der Auswirkung und des Risikos unter Berücksichtigung der Erkenntnisse über Cyberbedrohungen und Schwachstellen; f) die ermittelten Risiken auf der Grundlage der Risikokriterien bewerten; g) geeignete Optionen und Maßnahmen für die Behandlung von Risiken bestimmen; h) die Umsetzung der Maßnahmen für die Behandlung von Risiken fortlaufend überwachen; i) ermitteln, wer für die Umsetzung der Maßnahmen für die Behandlung von Risiken verantwortlich ist und wann diese erfolgen sollte; j) die gewählten Maßnahmen für die Behandlung von Risiken in einem Risikobehandlungsplan dokumentieren und die Gründe für das Eingehen der Restrisiken umfassend erläutern.

Allgemeine Erläuterung der Maßnahme

Diese Maßnahme konkretisiert die Unterkategorie Risikomanagementrahmen. Sie verlangt, dass die oben beschriebene Referenzanforderung für die jeweilige Einrichtung angemessen umgesetzt, dokumentiert und überprüft wird. Die konkrete Ausgestaltung ist aus Organisationsstruktur, Betriebsumfeld, Risiken und rechtlicher Anwendbarkeit abzuleiten.

Allgemeine SOLL-Ableitung

Anforderung Erwartetes Ergebnis
Anwendbarkeit klären Rechtliche, vertragliche und risikobezogene Relevanz ist nachvollziehbar bewertet.
Umsetzung festlegen Die Referenzanforderung ist in geeignete organisatorische oder technische Regelungen überführt.
Verantwortung zuordnen Verantwortliche und mitwirkende Rollen sind festgelegt.
Nachweisbarkeit herstellen Umsetzung, Entscheidungen und Ergebnisse sind nachvollziehbar dokumentiert.
Wirksamkeit überprüfen Angemessenheit und Wirksamkeit werden risikobasiert oder in vorgegebenen Intervallen überprüft.

Fachliche Vorbelegung aus dem Katalog

Die folgenden Werte sind Startvorschläge. Sie sind bei der kundenspezifischen Bearbeitung zu bestätigen oder begründet anzupassen.

Feld Vorbelegung
Priorität mittel
Verantwortliche Rolle ISB
Kontrollfrequenz jährlich
Allgemeiner Nachweishinweis Risikoregister, Methode, Bewertungsmatrix, Schutzbedarfsfeststellung

Kundenspezifische Bearbeitung

Umsetzungsfortschritt
/lib/plugins/improg/img/2star.gif Sterne
Feld Aktueller Eintrag
Anwendbarkeit / Relevanz offen; kundenseitig zu bewerten
Erwartungshaltung offen; aus der allgemeinen SOLL-Ableitung kundenspezifisch zu bestimmen
Betroffene Bereiche aus Unternehmens- und Leistungsstruktur abzuleiten
Verantwortlichkeit ISB; Vorbelegung, zu bestätigen
Mitwirkende kundenspezifisch zu bestimmen
Priorität mittel; Vorbelegung, zu bestätigen
Zieltermin offen
Kontrollfrequenz jährlich; Vorbelegung, zu bestätigen
Aktueller Stand noch nicht erhoben
Kommentar keine kundenspezifische Bewertung vorgenommen
bearbeitet am offen
bearbeitet von offen

Offene Punkte / nächste Schritte

Erwartetes Ergebnis Aktueller Stand Nächster Schritt Verantwortlich Status
Anwendbarkeit ist bewertet. nicht erhoben Relevanz und Geltungsbereich mit der Einrichtung klären. festzulegen offen offen
Erwartungshaltung ist festgelegt. nicht erhoben Referenzanforderung in ein kundenspezifisches Ergebnis überführen. festzulegen offen offen
Aktueller Stand ist erhoben. nicht erhoben Vorhandene Regelungen, Verfahren, Systeme und Nachweise aufnehmen. festzulegen offen offen
Abweichungen und Maßnahmen sind bestimmt. nicht erhoben Offene Punkte priorisieren und nächste Schritte festlegen. festzulegen offen offen
Wirksamkeit ist nachweisbar. nicht erhoben Prüfkriterien und geeignete Nachweise festlegen. festzulegen offen offen

Nachweise

Nachweisart Erwarteter Nachweis / Standort Status
Kataloghinweis Risikoregister, Methode, Bewertungsmatrix, Schutzbedarfsfeststellung; konkreter Nachweis und Ablageort sind kundenspezifisch festzulegen offen offen
Umsetzungsnachweis geeignete Richtlinie, Verfahrensbeschreibung, Konfiguration, Protokollierung oder sonstiger Umsetzungsbeleg offen offen
Wirksamkeitsnachweis dokumentierte Prüfung, Kennzahl, Bericht oder nachvollziehbares Prüfergebnis offen offen

Verknüpfungen

Änderungshistorie

Die redaktionellen Änderungen dieser Maßnahmenseite werden automatisch von DokuWiki geführt.

Die Wiki-Historie ersetzt nicht den fachlichen Umsetzungs- oder Wirksamkeitsnachweis.

nis2/massnahmen/02/01/02.txt · Zuletzt geändert: von 127.0.0.1

Seiten-Werkzeuge

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki Driven by WW-A