Auch wenn Sie sich lieber um Ihr Tagesgeschäft kümmern, statt mögliche Katastrophen durchzudenken – das Risikomanagement ist eines der wichtigsten Themen, um Ihr Unternehmen fit für NIS2 zu machen. Und das hat seinen Grund. Unternehmen, die aufgrund katastrophaler Angriffe als abschreckendes Beispiel in der Zeitung landen, haben meist eines gemeinsam: Sie haben sich nicht ausreichend mit den Risiken auseinandergesetzt, denen ihr Unternehmen ausgesetzt war.
Doch wo fangen wir an?
Es wird Ihnen vermutlich nicht gelingen, in einem Brainstorming mit Ihrer Führungsmannschaft alle Risiken zu erkennen, denen Ihr Unternehmen ausgesetzt ist. Der einfachste Weg zum Erfolg ist ein schrittweiser Ansatz: Setzen Sie Prioritäten und konzentrieren Sie sich auf die wichtigsten Prozesse, die Ihr Unternehmen betreiben muss. Wenn Sie unter die NIS2-Verordnung fallen, sind Sie ein Betreiber kritischer Infrastruktur. Konzentrieren Sie sich auf wesentliche Dienste, deren Ausfall sich signifikant auf die öffentliche Ordnung, Sicherheit oder Gesundheit auswirken oder zu einem wesentlichen Systemrisiko führen würde.
Ein kleines Gegenbeispiel: Wenn Ihr Unternehmen eine Kantine für Ihre Mitarbeiter betreibt, wird ein Ausfall des Kassensystems in der Kantine vermutlich keine großen Auswirkungen auf Ihr Unternehmen haben. Die Risiken, denen die IT in Ihrer Kantine ausgesetzt ist, werden daher nicht hoch priorisiert – vorausgesetzt, die IT Ihrer Kantine ist gut genug vom Rest des Unternehmensnetzwerks abgeschottet, sodass ein Vorfall in der Kantine sich nicht auf andere Bereiche ausweiten kann.
Überlegen Sie daher im ersten Schritt, welche interessierten Parteien Ihr Unternehmen „bedient“ – allen voran Ihre Kunden. Aber auch Behörden, Lieferanten und andere Parteien können eine wichtige Rolle spielen. Anschließend identifizieren Sie die wesentlichen Prozesse, die notwendig sind, um die betroffenen Dienste erbringen zu können.
Wenn Sie beispielsweise für die Trinkwasserversorgung einer Gemeinde zuständig sind, konzentrieren Sie sich auf alle Prozesse, die sicherstellen, dass das Trinkwasser jederzeit in der erforderlichen Qualität beim Endverbraucher zur Verfügung steht.
Wenn Ihr Unternehmen Abfälle entsorgt, kümmern Sie sich zunächst darum, die Prozesse zu beurteilen, die dazu beitragen, dass der Abfall regelmäßig abgeholt und entsorgt werden kann.
Erst wenn Sie die kritischen und wichtigen Prozesse erfasst haben und sich mit den Risiken auseinandergesetzt haben, denen diese Prozesse ausgesetzt sind, können Sie sich den weniger dringenden Bereichen zuwenden. Bedenken Sie: Ziel ist es, einen kontinuierlichen Verbesserungsprozess in Gang zu setzen und nicht, am ersten Tag perfekt zu sein (was Ihnen vermutlich ohnehin nicht gelingen würde). Viele kleine Schritte in die richtige Richtung werden Sie zuverlässig ans Ziel führen!
Wie Sie Ihre Prozesse auf Risiken durchleuchten und mit diesen Erkenntnissen Ihr Unternehmen absichern – das erfahren Sie im nächsten Newsletter. Bleiben Sie dran!
Comments