Art. 21(2)(a) NIS 2 + CIR §2

Wie Sie eine NIS 2 Risikoanalyse durchführen

Drei Schritte, die die EU verlangt: identifizieren, analysieren, bewerten und behandeln. Eine schriftliche Methode. Eine Freigabe durch das Leitungsorgan. In festen Abständen und bei wesentlichen Änderungen geprüft. Was das in der Praxis bedeutet.

Simon OrzelSimon Orzel·

Die kurze Version

Artikel 21(2)(a) NIS 2 verpflichtet jede wesentliche und wichtige Einrichtung, ein risikobasiertes Sicherheitskonzept zu führen. CIR (EU) 2024/2690 Anhang §2 macht das konkret. Sie führen einen Rahmen für das Informationssicherheitsrisikomanagement ein. Sie nutzen ihn, um Risiken für Ihre Netz- und Informationssysteme zu identifizieren, zu analysieren, zu bewerten und zu behandeln. Die Kriterien schreiben Sie auf. Das Leitungsorgan zeichnet sie ab.

Die Methode erfinden Sie nicht selbst. Sie können den BSI-Standard 200-3 (Deutschland) verwenden, ISO/IEC 27005:2022 (das internationale Äquivalent) oder eine andere anerkannte Methode. Entscheidend ist: Sie ist dokumentiert. Sie deckt die Werte ab, die Sie wirklich betreiben. Sie wird in festen Abständen geprüft, mindestens einmal jährlich, und immer dann, wenn sich wesentlich etwas ändert.

Die Falle, in die die meisten Verantwortlichen tappen: ein Bedrohungsszenario picken, bewerten, fertig. Eine Risikoanalyse ist eine Methode, angewandt auf Ihr Asset-Inventar, kein einzelner Workshop. Unten gehen wir Identifikation, Analyse und Bewertung durch und zeigen die Prinzipien, die das Ganze zusammenhalten.

Die Rechtsquelle
Drei Ebenen aufeinander gestapelt. Die Richtlinie (verbindlich in jedem EU-Staat). Die Durchführungsverordnung (unmittelbar geltendes EU-Recht). Die nationale Umsetzung (in Deutschland: BSIG).

Artikel 21(2)(a) NIS-2-Richtlinie (2022/2555)

Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme.

Punkt (a) auf der Liste der zehn Cybersicherheitsmaßnahmen, die jede wesentliche und wichtige Einrichtung umsetzen muss. Die Richtlinie schreibt keine Methode vor. Sie schreibt die Pflicht vor.

CIR (EU) 2024/2690, Anhang §2

Für die Zwecke von Artikel 21 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555 führen die betreffenden Einrichtungen einen geeigneten Rahmen für das Informationssicherheitsrisikomanagement ein, um Informationssicherheitsrisiken zu ermitteln, zu analysieren, zu bewerten und zu behandeln. Die betreffenden Einrichtungen überprüfen den Rahmen in geplanten Abständen, mindestens einmal jährlich, sowie bei wesentlichen Änderungen und aktualisieren ihn gegebenenfalls.

Weil das eine Verordnung ist (keine Richtlinie), gilt sie direkt als EU-Recht. CIR Anhang §2 bindet den Rahmen außerdem an das Asset-Inventar nach §12 CIR. Die vier Verben ermitteln, analysieren, bewerten, behandeln kommen wortwörtlich aus dem EU-Text.

§30(2)(1) BSIG (Deutschland)

Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik.

Deutschland übernimmt den EU-Text fast eins zu eins. Die BSI-Standards 200-2 (ISMS) und 200-3 (Risikoanalyse) sagen detailliert, wie Sie die Pflicht aus §30 BSIG erfüllen. Dieselbe Pflicht aus Artikel 21(2)(a) gilt über die jeweilige nationale Umsetzung auch in jedem anderen Mitgliedstaat.

Die drei Schritte einer Risikoanalyse
CIR §2 nennt vier Verben: ermitteln, analysieren, bewerten, behandeln. In der Praxis sind das drei Arbeitsschritte. Jeder Schritt braucht ein Ergebnis, das Sie einem Prüfer vorlegen können.
Schritt 1

Identifizieren

Nehmen Sie Ihr Asset-Inventar nach §12 CIR. Für jeden Wert (oder gebündelte Klasse gleichartiger Werte) listen Sie die Bedrohungen und Schwachstellen, die zutreffen. Nutzen Sie einen Referenzkatalog, damit Sie nicht bei null anfangen. Der Katalog der Elementaren Gefährdungen des BSI enthält 47 Einträge, von Feuer und Diebstahl über Social Engineering und Schadsoftware bis zu Lieferkette und Ausfall einer Schlüsselperson. ISO/IEC 27005:2022 Anhang A führt vergleichbare Bedrohungs- und Schwachstellentypen. Ergebnis: pro Risiko ein Tripel aus Wert, Bedrohung und Schwachstelle.

Schritt 2

Analysieren

Für jedes Tripel bewerten Sie, wie groß die Auswirkung wäre und wie wahrscheinlich der Eintritt ist. Eine 3x3-Matrix (niedrig / mittel / hoch) reicht für die meisten Mittelständler. Eine 5x5-Matrix gibt mehr Auflösung, wenn Sie ähnliche Risiken vergleichen müssen. Auswirkung umfasst Vertraulichkeit, Integrität und Verfügbarkeit plus alle geschäftlichen oder sicherheitsrelevanten Folgen. Wahrscheinlichkeit ist eine Einschätzung, gestützt auf das, was Sie bereits gesehen haben, Branchendaten und den Reifegrad Ihrer Maßnahmen. Die Bewertung wird mit einer einzeiligen Begründung schriftlich festgehalten.

Schritt 3

Bewerten und behandeln

Vergleichen Sie jedes bewertete Risiko mit Ihren Akzeptanzkriterien, die Sie vor der Bewertung festgelegt haben. Über der Schwelle behandeln Sie: reduzieren (Maßnahmen anwenden), vermeiden (Tätigkeit einstellen), teilen (Versicherung oder Vertrag, mit Grenzen, siehe unten) oder akzeptieren (mit dokumentierter Begründung). Unter der Schwelle dokumentieren Sie die Akzeptanz. Jede Behandlungsentscheidung hat einen namentlich benannten Verantwortlichen und ein Datum. Das Leitungsorgan zeichnet die verbleibenden Restrisiken ab.

Zwei Regeln, die alles zusammenhalten
Zwei Regeln aus CIR §2 und der BSI-Praxis, an denen die ganze Analyse gemessen wird. Übergehen Sie eine davon, öffnet ein Prüfer die Akte wieder.

Schriftliche Methode mit Freigabe durch das Leitungsorgan

CIR §2 spricht von einem Rahmen, nicht von einem Workshop. Die Methode (wie Sie bewerten, wie die Matrix aussieht, wer entscheidet, welche Akzeptanzschwellen gelten) gehört auf Papier. Das Leitungsorgan zeichnet ab. Sie brauchen keine ausgefallene Methode. Sie brauchen eine dokumentierte. Artikel 21(1) lässt Sie die Tiefe an Risiko und Größe anpassen, die Methode selbst ist aber nicht optional.

Prüfung in festen Abständen und bei wesentlichen Änderungen

CIR §2(2) ist eindeutig: Sie prüfen den Rahmen und die Analyse in geplanten Abständen, mindestens jährlich, und bei wesentlichen Änderungen. Eine neue Geschäftslinie, ein neuer Schlüssellieferant, ein gravierender Vorfall, eine regulatorische Änderung zählen alle als wesentlich. Die jährliche Prüfung ist die Untergrenze, nicht die Obergrenze. Die Analyse ist ein lebendes Artefakt, gebunden an Ihr Asset-Inventar, nicht ein Ordner, den Sie einmal füllen.

Wie nationale Behörden das handhaben
Die EU setzt die Regel. Jeder Mitgliedstaat operationalisiert sie. Die Substanz ist gleich. Die lokale Anleitung unterscheidet sich.
Deutschland

BSI-Standards 200-2 und 200-3

Das BSI veröffentlicht zwei Standards, die die Risikoanalysepflicht nach §30 BSIG durchgängig abdecken. BSI 200-2 beschreibt den ISMS-Lebenszyklus. BSI 200-3 ist die Risikoanalyse selbst, mit den Elementaren Gefährdungen als Bedrohungskatalog. Das BSI ist in seinen Infopaketen deutlich: „Ein pauschaler Risikotransfer oder eine generelle Risikoakzeptanz ist daher ausgeschlossen.“ Versicherung legen Sie oben drauf, sie ersetzt keine Behandlung.

EU-weit

ENISA Technical Implementation Guidance

Die ENISA, die EU-Cybersicherheitsagentur, veröffentlicht eine Technical Implementation Guidance (TIG) zu CIR (EU) 2024/2690. Sie ist kein Gesetz. Sie ist die praktische Referenz und mappt den CIR-Text auf anerkannte Standards, unter anderem ISO/IEC 27005:2022 für das Risikomanagement. Nationale Behörden und Prüfer ziehen sie als angemessene Auslegung des CIR heran.

International

ISO/IEC 27005:2022

ISO/IEC 27005:2022 ist die internationale Norm für das Informationssicherheitsrisikomanagement. Die ENISA TIG nennt sie als anerkannte Methode zur Erfüllung von CIR §2. Wer bereits ein ISMS nach ISO 27001 betreibt, hat in ISO 27005 die passende Risikomethode dazu. Welche anerkannte Methode für Ihren Kontext passt, entscheiden Sie. Die CIR schreibt keine vor.

Vier Fallen, die wir ständig sehen
Vier Muster, die in fast jedem Audit-Vorbereitungsgespräch auftauchen. Alle vier reißen Lücken, die ein Prüfer findet.

  • Wir haben die Risikoanalyse letztes Jahr gemacht, also fertig.

    CIR §2(2) verlangt eine Prüfung in geplanten Abständen, mindestens jährlich, und bei wesentlichen Änderungen. Eine einmalige Analyse vom letzten Jahr erfüllt die Pflicht nicht, wenn ein wichtiger Lieferant gewechselt hat, ein neues System produktiv ging oder ein gravierender Vorfall stattfand. Die Analyse ist ein lebendes Artefakt, gebunden an Ihr Asset-Inventar.

  • Wir brauchen für jedes CVE und jede Bedrohung einen eigenen Risikoeintrag.

    Brauchen Sie nicht. Risikoanalyse läuft Wert für Wert (oder Klasse gleichartiger Werte), nicht Schwachstelle für Schwachstelle. Das BSI erlaubt, 45 Büro-Notebooks zu einem Eintrag zu bündeln. Bedrohungen und Schwachstellen bewerten Sie auf Wert-Ebene. Schwachstellenmanagement ist eine eigene laufende Pflicht aus Artikel 21(2)(e), kein Teil der jährlichen Analyse.

  • Wir haben eine Cyber-Versicherung, also können wir den Rest akzeptieren.

    Das BSI ist deutlich: „Ein pauschaler Risikotransfer oder eine generelle Risikoakzeptanz ist daher ausgeschlossen.“ Versicherung sitzt oben auf der Behandlung, nie an deren Stelle. Dasselbe gilt für die Akzeptanz: Sie können nicht jedes Risiko, mit dem Sie sich nicht beschäftigen wollen, einfach akzeptieren. Akzeptanz muss begründet, namentlich gezeichnet und innerhalb der vorab gesetzten Kriterien liegen.

Wie echte Mittelstands-Verantwortliche das wirklich machen

Was wir bei Einrichtungen mit 60 bis 250 Personen sehen: zehn bis fünfzehn gebündelte Werte, eine Teilmenge von etwa zwanzig Elementaren Gefährdungen, eine 3x3-Matrix und in Summe vierzig bis achtzig Risikoeinträge. Der erste Durchgang braucht ein paar Arbeitstage mit den richtigen Personen im Raum. Wenn das einmal steht, ist die jährliche Prüfung Stunden, nicht Tage.

Die beiden Stücke, die beim ersten Mal am längsten dauern, sind das Asset-Inventar und die Akzeptanzkriterien. Beide zahlen sich aus: Jede spätere Pflicht (Lieferanten, Vorfälle, Geschäftsfortführung, Schulung) nutzt dieselbe Werteliste, und die Kriterien ersparen Ihnen, jede Behandlungsentscheidung neu zu diskutieren. Praktiker mit dreißig Mittelstandskunden sagen es gleich: einmal sauber aufgesetzt, ist die jährliche Prüfung die günstigste Stunde, die Sie in NIS 2 stecken.

Wie wir das in der Plattform abbilden

Risikomethodik, Asset-Inventar, Bedrohungen und Schwachstellen, bewertete Risiken, Behandlungspläne und Akzeptanzkriterien liegen in einem Modul auf der Plattform. Sie hinterlegen die Methode einmal, das Leitungsorgan zeichnet sie ab, und jede spätere Analyse nutzt dieselbe Bewertung. Der Audit-Trail ist der Nachweis.

Jährliche Prüfung und Prüfung bei wesentlichen Änderungen fallen aus der Nutzung der Plattform heraus: Fälligkeiten, Freigaben, Status. Nichts läuft daneben. Wenn die Analyse direkt an das Asset-Inventar gebunden ist (wie CIR §2(3) verlangt), taucht jede Änderung an einem Wert in der nächsten Prüfung auf. Kostenlos und Open Source. Kein Lock-in.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Artikel 21(2)(a) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Durchführungsverordnung (EU) 2024/2690 (CIR), Anhang §2 und §12 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • BSI-Gesetz (BSIG), §30 in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
  • BSI-Standard 200-2: IT-Grundschutz-Methodik — bsi.bund.de
  • BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz — bsi.bund.de
  • BSI Infopakete „NIS 2 Pflichten“ — bsi.bund.de/dok/nis-2-infopakete
  • ISO/IEC 27005:2022 — Informationssicherheit, Cybersicherheit und Datenschutz: Leitfaden zum Management von Informationssicherheitsrisiken
  • ENISA Technical Implementation Guidance für CIR (EU) 2024/2690 (Stand: Mai 2026)
Risikoanalyse auf einer Plattform führen, nicht im Excel-Stapel
Methode, Werte, Risiken, Behandlungspläne, Akzeptanzkriterien und Freigabe durch das Leitungsorgan in einem Modul. Kostenlos und Open Source.
Plattform kostenlos öffnen