Kritis Unternehmen und dazu gehören Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz bzw. einer Jahresbilanzsumme von zehn bis 43 Millionen Euro sind gemäß der EU Vorgabe NIS2 verpflichtet ein klares Anforderungsprofil für eine ausreichende Cybersicherheit (Safety und Security) erfüllen.

Auf nationaler Ebene müssen alle EU-Mitgliedstaaten diese gesetzlichen Mindestanforderungen für IT-Sicherheit in Unternehmen und Organisationen bis Oktober 2024 umsetzen. In Deutschland beispielsweise liegt das Umsetzungsgesetz seit Juli 2023 bereits als zweiter Referentenentwurf vor und muss noch auf Bundesebene durch die Bundesverwaltung bestätigt werden.

Als hochkritische Sektoren werden nach NIS2 jetzt EU-Weit die Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, sowie der Verbraucherbereich, öffentliche Verwaltung und Weltraum definiert.

Ein wesentlicher Bestandteil der Umsetzung in einem Unternehmens ist das Risk Assessment. Mit diesem Prozess werden alle relevanten Assets im Unternehmen erfasst und die jeweiligen Risiken hierzu bewertet. Nachdem die Risken bewertet worden sind und ein Risikoscore pro Risiko erstellt worden ist, können auch die monetären Auswirkungen auf das Unternehmen berechnet werden. Nach der Aufnahme müssen Maßnahmen abgeleitet werden, um die Risiken zu minimieren oder zu eliminieren. Hierfür wird die SoA realisiert, die im Rahmen der ISO 27001 Zertifizierung zwingend aufgebaut und permanent aktualisiert werden muss.

Somit gibt es eine nachweisliche Dokumentation der Risiken, der Auswirkungen, der Eintrittswahrscheinlichkeiten und der Bilanzrelevanten Bewertungen der Risiken.