Risikomanagement nach § 30 BSIG

Ein konsistentes Risikomanagement in Umsetzung der Anforderungen nach § 30 BSIG muss angemessen und wirkungsvoll sein. Neben Maßnahmen zur Prävention gehören auch solche der Detektion und Minderung im Schadensfall zu den Anforderungen. In § 30 Abs. 2 werden als Mindestvoraussetzungen genannt.

  1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,
  2. Bewältigung von Sicherheitsvorfällen,
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern,
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
  7. grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
  8. Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren,
  9. Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen,
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Achtung:
Die Pflicht zur Registrierung als NIS2/BSI reguliertes Unternehmen endet spätestens am 6.3.2026. Unternehmen, die unter die Regelungen fallen, sollten zeitnah handeln. Weitere Informationen zur Registrierungspflicht hier auf dieser Seite.

ISMS – Informationssicherheit mit System

Ein Informationssicherheitsmanagementsystem unterstützt Geschäftsleitungen und Mitarbeitende bei der Erfüllung der Rechtspflichten nach NIS2/BSIG. Das BSIG gibt kein konkretes System für das Risikomanagement einer Organisation vor. Wir empfehlen ein Vorgehen nach BSI IT-Grundschutz, gegebenenfalls auch in Verbindung mit einer Zertifizierung nach ISO 27001.

Mit unserem ISMS, das als SaaS auf unseren eigenen Servern in der EU läuft, können Sicherheitsteams ihre Erfassungs- und Dokumentationspflichten nach BSIG effizient und kostengünstig erfüllen. Weitere Informationen und Details zu den Kosten finden Sie hier auf dieser Seite.

Weitere Informationen zur Risikoermittlung nach BSI IT-Grundschutz finden Sie hier auf dieser Seite.

Sie benötigen Hilfe bei der Umsetzung der Rechtspflichten nach NIS2/BSIG?

Wir beraten und betreuen eine Reihe mittelständischer Unternehmen und Organisationen in den Bereichen Datenschutz und Datensicherheit. Gern evaluieren wir in einem kostenfreien Erstgespräch den Bedarf in Ihrer Organisation. Sie erreichen uns unter info@prisecon.de oder unter den unten angegebenen Geschäftsdaten.