- Definition
- Systematisches Erkennen, Bewerten, Behandeln und Überwachen von Risiken
- Prozessschritte
- Identifizieren → Bewerten → Behandeln → Überwachen
- Rolle bei NIS2
- Ausdrückliche Kernpflicht
- Verwandter Ansatz
- All-Hazards-Ansatz
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist Risikomanagement?
Risikomanagement bezeichnet den strukturierten, fortlaufenden Prozess, mit dem ein Unternehmen Gefahren für seine Systeme, Daten und Prozesse erkennt, bewertet und gezielt steuert. Statt auf Vorfälle nur zu reagieren, werden Risiken vorausschauend identifiziert und so weit reduziert, dass das verbleibende Restrisiko bewusst und nachvollziehbar getragen wird. Während die Governance den Rahmen und die Verantwortlichkeiten vorgibt, ist Risikomanagement das operative Herzstück: Hier werden einzelne Bedrohungen konkret bewertet und mit Maßnahmen hinterlegt. Es ist damit der zweite Baustein von GRC und das fachliche Fundament jedes ISMS.
Der Risikomanagement-Prozess
- Identifizieren: Welche Bedrohungen und Schwachstellen gibt es? Welche Werte (Assets) sind betroffen?
- Bewerten: Wie wahrscheinlich ist ein Risiko und wie groß wäre der Schaden? Aus beiden Faktoren ergibt sich die Priorität.
- Behandeln: Risiken vermeiden, vermindern (durch Controls), übertragen (z. B. Versicherung) oder bewusst akzeptieren.
- Überwachen: Wirksamkeit prüfen und bei neuen Bedrohungen nachsteuern – der Kreislauf beginnt von vorn.
Der Risikomanagement-Zyklus im Überblick
- 1 Identifizieren: Bedrohungen, Schwachstellen und betroffene Assets werden zusammengetragen.
- 2 Bewerten: Jedes Risiko wird nach Eintrittswahrscheinlichkeit und Schadenshöhe priorisiert.
- 3 Behandeln: Das Risiko wird vermieden, vermindert, übertragen oder bewusst akzeptiert.
- 4 Überwachen: Die Wirksamkeit wird laufend kontrolliert, dann startet der Zyklus erneut.
Der All-Hazards-Ansatz
NIS2 verlangt einen All-Hazards-Ansatz: Es werden nicht nur Cyberangriffe betrachtet, sondern alle relevanten Gefahren – etwa Stromausfälle, menschliche Fehler, Ausfälle bei Dienstleistern in der Lieferkette oder physische Ereignisse wie Brand und Wasserschaden. Risikomanagement muss daher über die reine IT hinausdenken und auch organisatorische und physische Risiken einbeziehen, die die Verfügbarkeit der Dienste gefährden könnten.
Risikomanagement und NIS2
Unter NIS2 ist Risikomanagement die zentrale Pflicht. Artikel 21 verlangt geeignete und verhältnismäßige technische und organisatorische Maßnahmen, die dem Stand der Technik entsprechen, von der Leitung freigegeben sind und durch ein gepflegtes Risikoregister belegt werden – denn betroffene Unternehmen müssen ihre Cyberrisiken nicht nur einmalig bewerten, sondern fortlaufend nachsteuern und jederzeit gegenüber dem BSI nachweisen können, dass die getroffenen Maßnahmen zum tatsächlichen Risiko passen. Seit dem 6. Dezember 2025 ist die Richtlinie in Kraft. Die erste BSI-Registrierungsfrist am 6. März 2026 ist abgelaufen; eine Nachregistrierung bleibt für betroffene Einrichtungen möglich. Greift das Risikomanagement nicht und kommt es zu einem erheblichen Sicherheitsvorfall, schlägt zusätzlich die Meldekette zu: Erstmeldung binnen 24 Stunden, Folgemeldung nach 72 Stunden, Abschlussbericht nach einem Monat. Wer die Pflichten verletzt, riskiert Bußgelder bis 10 Mio. Euro bzw. 2 Prozent des weltweiten Jahresumsatzes für wesentliche und bis 7 Mio. Euro bzw. 1,4 Prozent für wichtige Einrichtungen.
Beispiel aus einem Klinikum: Die IT-Leitung pflegt ein Risikoregister, in dem jedes Asset – vom Patientendatensystem bis zur Notstromversorgung – mit Eintrittswahrscheinlichkeit, Schadenshöhe und zugeordneter Maßnahme bewertet wird. Geprüft wird einmal jährlich und nach jedem erheblichen Vorfall. So bleibt jederzeit belegbar, warum ein Restrisiko getragen wird.
Was müssen Sie konkret tun?
- Alle schützenswerten Assets erfassen und einem Verantwortlichen zuordnen.
- Ein Risikoregister mit Wahrscheinlichkeit, Schadenshöhe und Maßnahme je Risiko aufbauen.
- Die Behandlungsentscheidung (vermeiden, vermindern, übertragen, akzeptieren) je Risiko dokumentieren und von der Leitung freigeben lassen.
- Feste Überprüfungstermine setzen – jährlich sowie nach jedem erheblichen Vorfall.
- Falls noch nicht geschehen: Nachregistrierung beim BSI prüfen und die 24-/72-Stunden-Meldewege vorab festlegen.
Weiterführende Quelle: EUR-Lex – NIS2-Richtlinie (EU) 2022/2555
Häufige Fragen
Was ist Risikomanagement einfach erklärt?
Risikomanagement ist der systematische, fortlaufende Umgang mit Risiken in vier Schritten: Risiken werden identifiziert, nach Eintrittswahrscheinlichkeit und Schadenshöhe bewertet, behandelt und laufend überwacht. Ziel ist, Schäden für ein Unternehmen zu vermeiden oder zu begrenzen und das verbleibende Restrisiko bewusst und nachvollziehbar zu tragen. Risikomanagement ist der zweite Baustein von GRC und das fachliche Fundament jedes ISMS.
Warum ist Risikomanagement bei NIS2 wichtig?
NIS2 macht Risikomanagement nach Artikel 21 zur ausdrücklichen Kernpflicht: Betroffene Unternehmen müssen Cyberrisiken systematisch bewerten, passende Maßnahmen ergreifen und diese auf Leitungsebene verankern. Da NIS2 seit dem 06.12.2025 in Kraft ist, muss der Nachweis jederzeit gegenüber dem BSI möglich sein. Bei Verstößen drohen Bußgelder bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes bei wesentlichen Einrichtungen.
Was ist der All-Hazards-Ansatz?
Beim All-Hazards-Ansatz werden im Risikomanagement nicht nur Cyberangriffe betrachtet, sondern alle relevanten Gefahren für die Verfügbarkeit der Dienste. Dazu zählen technische Ausfälle wie Stromausfälle, menschliche Fehler, Ausfälle bei Dienstleistern in der Lieferkette sowie physische Ereignisse wie Brand oder Wasserschaden. NIS2 verlangt diesen Ansatz ausdrücklich, sodass das Risikomanagement über die reine IT hinaus organisatorische und physische Risiken einbeziehen muss.