NIS2-Konformität mittels Framework NIST CSF-2.0 core für die Risikoanalyse

  • Gerhard Wagner

Studienabschlussarbeit: Masterarbeit

Abstract

Die vorliegende Arbeit behandelt die Anforderungen der NIS-2 [1] an die
Maßnahme „Risikoanalyse“ [1, Art. 21, Abs. 2 Lit. a)] und „Bewertung der Wirksamkeit der Risikoanalyse“ [1, Art. 21, Abs. 2 Lit. f)]. In dieser Arbeit wurde ein
auf den TOM (Subkategorien des CSF-2.0-Frameworks) basierendes Framework
entwickelt. Es wird geprüft, ob die NIS-2 spezifischen Anforderungen entsprochen
werden können oder ob zusätzliche Maßnahmen erforderlich sind.
Alle technischen und organisatorischen Maßnahmen des CSF-2.0-Framework
wurden analysiert und in diesem Framework den Maßnahmen „Risikoanalyse“ und
„Bewertung der Wirksamkeit der Risikoanalyse“ zugeordnet. Die Risikomanagementmaßnahmen sind in den Artikeln 21(2), Lit. a) und f) der NIS-2 enthalten. Die
Darstellung dieser Zuordnungen erfolgte durch eine Zuordnungsliste. Diese Liste
wurde mehreren Experten vorgelegt, die derzeit als NIS-Prüfer:innen und künftig
als NIS-2 Prüfer:innen tätig sind. Das Ziel bestand darin, eine gründliche Beurteilung darüber vorzunehmen, ob die Zuordnungen dieses Frameworks als unvollständig und/oder ungeeignet für die Erfüllung der Anforderungen der NIS-2-Richtlinie
gelten.
Ihre Eignung für die tägliche Praxis sowie die Frage, ob alle erforderlichen
Maßnahmen zur Erfüllung der NIS-2-Anforderungen abgedeckt sind, wurden von
den Fachleuten beurteilt.
Das klare Ergebnis dieser Einschätzung, das die Experten festgestellt haben,
war: Es wurden keine Gründe gefunden oder fehlende TOM identifiziert, die für
die Erfüllung der NIS-2-Anforderungen in der Maßnahme „Risikoanalyse“ und
„Bewertung der Wirksamkeit der Risikoanalyse“ erforderlich wären. Das heißt,
dass das RM-Framework, das in dieser Arbeit entwickelt wurde und auf dem CSF2.0-Framework basiert, die Anforderungen der NIS-2-Richtlinie hinsichtlich der
Risikobewertung erfüllt und keine zusätzlichen TOM erforderlich sind.
Möglicherweise sind diese Ergebnisse für Organisationen relevant, die die
NIS-2-Richtlinie einhalten müssen. Sie weisen darauf hin, dass dieses RM-Framework vollständig ist und somit eine stabile Basis für die Durchführung der erforderlichen „Risikoanalyse“ und „Bewertung der Wirksamkeit der Risikoanalyse“
bietet.
Datum der Bewilligung2024
OriginalspracheDeutsch (Österreich)
Betreuer/-inHarald Lampesberger (Betreuer*in)

Zitieren

'