====== 2.1.2 Risikomanagementverfahren festlegen und dokumentieren ====== ===== Quelle / Referenzanforderung ===== ^ Feld ^ Eintrag ^ | Referenz | Durchführungsverordnung (EU) 2024/2690, Anhang, Nummer 2.1.2 | | Quelltitel | Risikomanagementrahmen | | Kontrolltyp | Risk Management | | Rechtscharakter im Katalog | Referenzanforderung; konkrete Anwendbarkeit kundenseitig zu bewerten | Für die Zwecke von Nummer 2.1.1 legen die betreffenden Einrichtungen Verfahren für die Ermittlung, Analyse, Bewertung und Behandlung von Risiken fest („Risikomanagementverfahren im Bereich der Cybersicherheit“). Das Risikomanagementverfahren im Bereich der Cybersicherheit ist – soweit anwendbar – fester Bestandteil des gesamten Risikomanagementverfahrens der betreffenden Einrichtungen. Als Teil des Risikomanagementverfahrens im Bereich der Cybersicherheit müssen die betreffenden Einrichtungen a) eine Risikomanagementmethodik befolgen; b) eine Risikotoleranzschwelle im Einklang mit der Risikobereitschaft der betreffenden Einrichtungen festlegen; c) einschlägige Risikokriterien einführen und pflegen; d) im Einklang mit einem gefahrenübergreifenden Ansatz die bestehenden Risiken für die Sicherheit von Netz- und Informationssystemen ermitteln und dokumentieren, insbesondere in Bezug auf Dritte sowie auf Risiken, die zu Störungen der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit der Netz- und Informationssysteme führen könnten, wobei auch punktuelle Ausfälle zu ermitteln sind; e) die bestehenden Risiken für die Sicherheit von Netz- und Informationssystemen analysieren, einschließlich des Niveaus der Bedrohung, der Wahrscheinlichkeit, der Auswirkung und des Risikos unter Berücksichtigung der Erkenntnisse über Cyberbedrohungen und Schwachstellen; f) die ermittelten Risiken auf der Grundlage der Risikokriterien bewerten; g) geeignete Optionen und Maßnahmen für die Behandlung von Risiken bestimmen; h) die Umsetzung der Maßnahmen für die Behandlung von Risiken fortlaufend überwachen; i) ermitteln, wer für die Umsetzung der Maßnahmen für die Behandlung von Risiken verantwortlich ist und wann diese erfolgen sollte; j) die gewählten Maßnahmen für die Behandlung von Risiken in einem Risikobehandlungsplan dokumentieren und die Gründe für das Eingehen der Restrisiken umfassend erläutern. ===== Allgemeine Erläuterung der Maßnahme ===== Diese Maßnahme konkretisiert die Unterkategorie //Risikomanagementrahmen//. Sie verlangt, dass die oben beschriebene Referenzanforderung für die jeweilige Einrichtung angemessen umgesetzt, dokumentiert und überprüft wird. Die konkrete Ausgestaltung ist aus Organisationsstruktur, Betriebsumfeld, Risiken und rechtlicher Anwendbarkeit abzuleiten. ==== Allgemeine SOLL-Ableitung ==== ^ Anforderung ^ Erwartetes Ergebnis ^ | Anwendbarkeit klären | Rechtliche, vertragliche und risikobezogene Relevanz ist nachvollziehbar bewertet. | | Umsetzung festlegen | Die Referenzanforderung ist in geeignete organisatorische oder technische Regelungen überführt. | | Verantwortung zuordnen | Verantwortliche und mitwirkende Rollen sind festgelegt. | | Nachweisbarkeit herstellen | Umsetzung, Entscheidungen und Ergebnisse sind nachvollziehbar dokumentiert. | | Wirksamkeit überprüfen | Angemessenheit und Wirksamkeit werden risikobasiert oder in vorgegebenen Intervallen überprüft. | ===== Fachliche Vorbelegung aus dem Katalog ===== Die folgenden Werte sind Startvorschläge. Sie sind bei der kundenspezifischen Bearbeitung zu bestätigen oder begründet anzupassen. ^ Feld ^ Vorbelegung ^ | Priorität | mittel | | Verantwortliche Rolle | ISB | | Kontrollfrequenz | jährlich | | Allgemeiner Nachweishinweis | Risikoregister, Methode, Bewertungsmatrix, Schutzbedarfsfeststellung | ===== Kundenspezifische Bearbeitung ===== {(improg>type=improg |value=2 |id=020102 |name=2.1.2 Risikomanagementverfahren festlegen und dokumentieren )} ^ Feld ^ Aktueller Eintrag ^ | Anwendbarkeit / Relevanz | offen; kundenseitig zu bewerten | | Erwartungshaltung | offen; aus der allgemeinen SOLL-Ableitung kundenspezifisch zu bestimmen | | Betroffene Bereiche | aus Unternehmens- und Leistungsstruktur abzuleiten | | Verantwortlichkeit | ISB; Vorbelegung, zu bestätigen | | Mitwirkende | kundenspezifisch zu bestimmen | | Priorität | mittel; Vorbelegung, zu bestätigen | | Zieltermin | offen | | Kontrollfrequenz | jährlich; Vorbelegung, zu bestätigen | | Aktueller Stand | noch nicht erhoben | | Kommentar | keine kundenspezifische Bewertung vorgenommen | | bearbeitet am | offen | | bearbeitet von | offen | ===== Offene Punkte / nächste Schritte ===== ^ Erwartetes Ergebnis ^ Aktueller Stand ^ Nächster Schritt ^ Verantwortlich ^ Status ^ | Anwendbarkeit ist bewertet. | nicht erhoben | Relevanz und Geltungsbereich mit der Einrichtung klären. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Erwartungshaltung ist festgelegt. | nicht erhoben | Referenzanforderung in ein kundenspezifisches Ergebnis überführen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Aktueller Stand ist erhoben. | nicht erhoben | Vorhandene Regelungen, Verfahren, Systeme und Nachweise aufnehmen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Abweichungen und Maßnahmen sind bestimmt. | nicht erhoben | Offene Punkte priorisieren und nächste Schritte festlegen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Wirksamkeit ist nachweisbar. | nicht erhoben | Prüfkriterien und geeignete Nachweise festlegen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | ===== Nachweise ===== ^ Nachweisart ^ Erwarteter Nachweis / Standort ^ Status ^ | Kataloghinweis | Risikoregister, Methode, Bewertungsmatrix, Schutzbedarfsfeststellung; konkreter Nachweis und Ablageort sind kundenspezifisch festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Umsetzungsnachweis | geeignete Richtlinie, Verfahrensbeschreibung, Konfiguration, Protokollierung oder sonstiger Umsetzungsbeleg | {{:intern:1star.gif?nolink|offen}} offen | | Wirksamkeitsnachweis | dokumentierte Prüfung, Kennzahl, Bericht oder nachvollziehbares Prüfergebnis | {{:intern:1star.gif?nolink|offen}} offen | * [[https://demo.nis2-isms.de/doku.php?id=nis2:nachweise:formular&%40Ma%C3%9Fnahmen-ID%40=020102&%40Ma%C3%9Fnahmenseite%40=nis2%3Amassnahmen%3A02%3A01%3A02|Nachweisdatei im Wiki erfassen]] * [[https://demo.nis2-isms.de/doku.php?id=nis2:nachweise:formular_extern&%40Ma%C3%9Fnahmen-ID%40=020102&%40Ma%C3%9Fnahmenseite%40=nis2%3Amassnahmen%3A02%3A01%3A02|Extern abgelegten Nachweis erfassen]] * [[https://demo.nis2-isms.de/doku.php?id=start&do=search&q=%40nis2%3Anachweise%3A020102|Nachweise dieser Maßnahme anzeigen]] ===== Verknüpfungen ===== * Kategorie: [[nis2:massnahmen:02:start|2 Konzept für das Risikomanagement]] * Unterkategorie: [[nis2:massnahmen:02:start|Risikomanagementrahmen]] * Erläuterungen: [[nis2:massnahmen:erlaeuterungen|Status, Vorbelegungen und Bearbeitung]] ===== Änderungshistorie ===== Die redaktionellen Änderungen dieser Maßnahmenseite werden automatisch von DokuWiki geführt. * [[https://demo.nis2-isms.de/doku.php?id=nis2:massnahmen:02:01:02&do=revisions|Versionen und Änderungen dieser Maßnahme]] Die Wiki-Historie ersetzt nicht den fachlichen Umsetzungs- oder Wirksamkeitsnachweis.