Wichtige Vorarbeiten zur Risikoanalyse nach BSI Standard 200-3 sind:
– die Initiierung des Sicherheitsprozesses,
– die Ermittlung von Geschäftsprozessen, Anwendungen, IT-Systemen und Räumen,
– die Schutzbedarfsfeststellung,
– die Modellierung und
– ein Check, welche Standards zur Absicherung bereits erfüllt sind.
Achtung:
Die Pflicht zur Registrierung als NIS2/BSI reguliertes Unternehmen endet spätestens am 6.3.2026. Unternehmen, die unter die Regelungen fallen, sollten zeitnah handeln. Weitere Informationen zur Registrierungspflicht hier auf dieser Seite.
Risikoanalyse: die Höhe des potentiellen Schadens und die Eintrittswahrscheinlichkeit ermitteln
Um ein Risiko adäquat beurteilen zu können, müssen zwei Variablen in Verbindung untersucht werden, die Höhe des möglichen Schadens und die Eintrittswahrscheinlichkeit eines Schadensereignisses. Im BSI Standard 200-3 wird die Risikoanalyse auf der Basis von IT-Grundschutz detailliert beschrieben. Der Prozess verläuft in folgenden Schritten:
Im ersten Schritt ist eine Gefährdungsübersicht zu erstellen und die elementaren Gefährdungen zu ermitteln. Die Gefährdungsübersicht ist für alle Prozesse, Anwendung, IT-Systeme und Räume zu ermitteln und zu dokumentieren. Eine saubere Dokumentation erleichtert die Risikoeinstufung.
Darauf folgt eine Risikoeinstufung anhand der genannten beiden Variablen und daran anschließend die Ermittlung und Entscheidung über Riskobehandlungsoptionen für die Elemente des Informationsverbunds. Schließlich erfolgt eine Konsolidierung und Rückführung in den Sicherheitprozess.
Die Risikoermittlung nach § 30 BSIG umfasst das Spektrum der Mindesanforderungen organisatorischer wie technischer Natur.
Dieser Prozess muss als iterativer Prozess nach dem PDCA-Modell organisiert und regelmäßig wiederholt werden. Wie im vorhergehenden Beitrag beschrieben, müssen auch die Lieferketten in die Risikoanalyse einbezogen werden.
Sie benötigen Hilfe bei der Umsetzung der Rechtspflichten nach NIS2/BSIG?
Wir beraten und betreuen eine Reihe mittelständischer Unternehmen und Organisationen in den Bereichen Datenschutz und Datensicherheit. Gern evaluieren wir in einem kostenfreien Erstgespräch den Bedarf in Ihrer Organisation. Sie erreichen uns unter info@prisecon.de oder unter den unten angegebenen Geschäftsdaten.