Risikomanagement nach § 30 BSIG

Ein konsistentes Risikomanagement in Umsetzung der Anforderungen nach § 30 BSIG muss angemessen und wirkungsvoll sein. Neben Maßnahmen zur Prävention gehören auch solche der Detektion und Minderung im Schadensfall zu den Anforderungen. In § 30 Abs. 2 werden als Mindestvoraussetzungen genannt.

  1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,
  2. Bewältigung von Sicherheitsvorfällen,
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern,
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
  7. grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
  8. Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren,
  9. Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen,
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Achtung:
Die Pflicht zur Registrierung als NIS2/BSI reguliertes Unternehmen endete am 6.3.2026. Unternehmen, die unter die Regelungen fallen, sollten zeitnah handeln. Abzuwarten, bis das Bundesamt für Sicherheit in der Informationstechnik tätig wird, ist die denkbar schlechteste aller Möglichkeiten. Wir empfehlen, zeitnah die fehlende Registrierung nachzuholen und die offen stehenden Punkte und Aufgaben anzugehen.
Weitere Informationen zur Registrierungspflicht hier auf dieser Seite.
Die Frist zur Registrierung ist abgelaufen – und nun?
Eine Übersicht über die anstehenden Aufgaben finden Sie hier.
Hilfe benötigt?
Dann kontaktieren Sie uns einfach unter info@prisecon.de und vereinbaren ein kostenfreies Evaluationsgespräch.

ISMS – Informationssicherheit mit System

Ein Informationssicherheitsmanagementsystem unterstützt Geschäftsleitungen und Mitarbeitende bei der Erfüllung der Rechtspflichten nach NIS2/BSIG. Das BSIG gibt kein konkretes System für das Risikomanagement einer Organisation vor. Wir empfehlen ein Vorgehen nach BSI IT-Grundschutz, gegebenenfalls auch in Verbindung mit einer Zertifizierung nach ISO 27001.

Mit unserem ISMS, das als SaaS auf unseren eigenen Servern in der EU läuft, können Sicherheitsteams ihre Erfassungs- und Dokumentationspflichten nach BSIG effizient und kostengünstig erfüllen. Weitere Informationen und Details zu den Kosten finden Sie hier auf dieser Seite.

Weitere Informationen zur Risikoermittlung nach BSI IT-Grundschutz finden Sie hier auf dieser Seite.

Sie benötigen Hilfe bei der Umsetzung der Rechtspflichten nach NIS2/BSIG?

Wir beraten und betreuen eine Reihe mittelständischer Unternehmen und Organisationen in den Bereichen Datenschutz und Datensicherheit. Gern evaluieren wir in einem kostenfreien Erstgespräch den Bedarf in Ihrer Organisation. Sie erreichen uns unter info@prisecon.de oder unter den unten angegebenen Geschäftsdaten.