NIS-2 Assessment Tool
Nach Interviewpartner filtern:
A B C D E F G H I J K L

B – Risikoanalyse & SicherheitskonzepteNIST CSF 2.0: ID.RA, GV.RM

Konzepte für die Risikoanalyse und Sicherheit von Informationssystemen (Maßnahme 1 aus Art. 21 Abs. 2 NIS2-RL).

Empfohlene Interviewpartner: ISB/CISO, IT-Leitung

Änderungen werden automatisch gespeichert.

B1 – Methodik zur Risikoanalyse

Art. 21 Abs. 2 lit. a NIS2-RL ↗

Nach welcher Methodik führen Sie Risikoanalysen für Ihre Informationssysteme durch, und wie regelmäßig wird dieser Prozess wiederholt? Gehen Sie darauf ein, ob Sie sich an einem anerkannten Standard orientieren und wie Sie ein Risikoregister pflegen.

z.B. angelehnt an ISO/IEC 27005 oder BSI-Standard 200-3, mit zyklischem PDCA-Ansatz.

Reifegrad
0 1 2 3 4

Noch nicht eingeschätzt – Regler bewegen zum Setzen

Maßnahmen
Standardvorschläge

B2 – Identifikation kritischer Systeme

Art. 21 Abs. 2 lit. a NIS2-RL ↗

Wie vollständig ist Ihr Überblick über alle kritischen Netz- und Informationssysteme sowie deren gegenseitige Abhängigkeiten, und wie wurde deren Kritikalität bewertet? Beschreiben Sie, wie und wo dieses Systeminventar gepflegt wird.

Basis für jede sinnvolle Risikoanalyse ist ein vollständiges Systeminventar.

Reifegrad
0 1 2 3 4

Noch nicht eingeschätzt – Regler bewegen zum Setzen

Maßnahmen
Standardvorschläge

B3 – Aktualität der Risikoanalyse

Art. 21 Abs. 2 lit. a NIS2-RL ↗

Wie oft wird Ihre Risikoanalyse aktualisiert, und welche konkreten Anlässe (z.B. neue Systeme, Vorfälle, organisatorische Änderungen) lösen bei Ihnen eine außerplanmäßige Überprüfung aus?

Anlässe: neue Systeme, Vorfälle, organisatorische Änderungen, neue Bedrohungslagen.

Reifegrad
0 1 2 3 4

Noch nicht eingeschätzt – Regler bewegen zum Setzen

Maßnahmen
Standardvorschläge

B4 – Risikobehandlungsplan

Art. 21 Abs. 2 lit. a NIS2-RL ↗

Wie gehen Sie mit identifizierten Risiken um – welche werden gemindert, akzeptiert, übertragen oder vermieden, und wer trifft bzw. verantwortet diese Entscheidung? Beschreiben Sie, wie ein Risikobehandlungsplan geführt wird und welche Rolle die Geschäftsleitung bei der Risikoakzeptanz spielt.

Risikoakzeptanz sollte durch die Geschäftsleitung erfolgen, mit benanntem Risikoeigentümer je Risiko.

Reifegrad
0 1 2 3 4

Noch nicht eingeschätzt – Regler bewegen zum Setzen

Maßnahmen
Standardvorschläge
← Zurück Weiter →