NIS2-Konformität mittels Framework NIST CSF-2.0 core für die Risikoanalyse

  • Gerhard Wagner

    Studienabschlussarbeit: Masterarbeit

    Abstract

    Die vorliegende Arbeit behandelt die Anforderungen der NIS-2 [1] an die
    Maßnahme „Risikoanalyse“ [1, Art. 21, Abs. 2 Lit. a)] und „Bewertung der Wirksamkeit der Risikoanalyse“ [1, Art. 21, Abs. 2 Lit. f)]. In dieser Arbeit wurde ein
    auf den TOM (Subkategorien des CSF-2.0-Frameworks) basierendes Framework
    entwickelt. Es wird geprüft, ob die NIS-2 spezifischen Anforderungen entsprochen
    werden können oder ob zusätzliche Maßnahmen erforderlich sind.
    Alle technischen und organisatorischen Maßnahmen des CSF-2.0-Framework
    wurden analysiert und in diesem Framework den Maßnahmen „Risikoanalyse“ und
    „Bewertung der Wirksamkeit der Risikoanalyse“ zugeordnet. Die Risikomanagementmaßnahmen sind in den Artikeln 21(2), Lit. a) und f) der NIS-2 enthalten. Die
    Darstellung dieser Zuordnungen erfolgte durch eine Zuordnungsliste. Diese Liste
    wurde mehreren Experten vorgelegt, die derzeit als NIS-Prüfer:innen und künftig
    als NIS-2 Prüfer:innen tätig sind. Das Ziel bestand darin, eine gründliche Beurteilung darüber vorzunehmen, ob die Zuordnungen dieses Frameworks als unvollständig und/oder ungeeignet für die Erfüllung der Anforderungen der NIS-2-Richtlinie
    gelten.
    Ihre Eignung für die tägliche Praxis sowie die Frage, ob alle erforderlichen
    Maßnahmen zur Erfüllung der NIS-2-Anforderungen abgedeckt sind, wurden von
    den Fachleuten beurteilt.
    Das klare Ergebnis dieser Einschätzung, das die Experten festgestellt haben,
    war: Es wurden keine Gründe gefunden oder fehlende TOM identifiziert, die für
    die Erfüllung der NIS-2-Anforderungen in der Maßnahme „Risikoanalyse“ und
    „Bewertung der Wirksamkeit der Risikoanalyse“ erforderlich wären. Das heißt,
    dass das RM-Framework, das in dieser Arbeit entwickelt wurde und auf dem CSF2.0-Framework basiert, die Anforderungen der NIS-2-Richtlinie hinsichtlich der
    Risikobewertung erfüllt und keine zusätzlichen TOM erforderlich sind.
    Möglicherweise sind diese Ergebnisse für Organisationen relevant, die die
    NIS-2-Richtlinie einhalten müssen. Sie weisen darauf hin, dass dieses RM-Framework vollständig ist und somit eine stabile Basis für die Durchführung der erforderlichen „Risikoanalyse“ und „Bewertung der Wirksamkeit der Risikoanalyse“
    bietet.
    Datum der Bewilligung2024
    OriginalspracheDeutsch (Österreich)
    Betreuer/-inHarald Lampesberger (Betreuer*in)

    Zitieren

    '