Säule 1NIS2DORATISAXBSI-GRUNDSCHUTZKRITIS

Risikomanagement-Prozess

Praxis-Szenario

Ein Logistikunternehmen investiert 200.000 € in eine Next-Gen-Firewall, während die größte Bedrohung ein ungepatchter Legacy-Server im Keller ist, auf dem die gesamte Auftragsabwicklung läuft. Ohne systematisches Risikomanagement werden Budgets falsch verteilt und die wirklichen Schwachstellen übersehen. Risikomanagement bedeutet: Wissen, wo die echten Gefahren liegen — und dort zuerst investieren.

Rechtsfundament

NIS2NIS2 Art. 21 Abs. 1

Konzept für Risikoanalyse und Sicherheit der Informationssysteme

DORADORA Art. 6

Umfassender IKT-Risikomanagementrahmen als Teil des Gesamtrisikomanagementsystems

TISAXTISAX AL 1.3

Informationssicherheits-Risikomanagement gemäß VDA ISA Assessment Level 1.3

BSI IT-GrundschutzBSI 200-3

Systematischer Risikomanagement-Prozess nach BSI-Standard 200-3

Lösung & Umsetzung

1. Asset-Inventar erstellen: Alle kritischen Systeme, Daten und Prozesse auflisten 2. Bedrohungen identifizieren: Was kann schiefgehen? (Ransomware, Ausfall, Datenverlust) 3. Risiken bewerten: Eintrittswahrscheinlichkeit × Schadenshöhe (einfache Matrix) 4. Maßnahmen priorisieren: Höchste Risiken zuerst behandeln 5. Monatlicher 30-Minuten-Workshop: Status-Review und neue Risiken aufnehmen

Ihr Mehrwert

Systematisches Risikomanagement spart durchschnittlich 40% des IT-Sicherheitsbudgets durch bessere Priorisierung. Es ist die Kernforderung von NIS2, DORA und BSI IT-Grundschutz — ohne Risikomanagement besteht kein Audit.

Nächster Schritt