S. 52. Rechtliche Anforderungen und wirtschaftliche Relevanz

Informationssicherheit ist längst kein Thema mehr, das nur Großunternehmen, kritische Infrastrukturen oder IT-Abteilungen betrifft. Auch kleine und mittlere Unternehmen (KMU) stehen zunehmend in der Verantwortung, angemessene Sicherheitsmaßnahmen umzusetzen. Diese Verantwortung ergibt sich nicht nur aus wirtschaftlicher Vernunft, sondern ist zunehmend auch gesetzlich geregelt. Zusätzliche Brisanz erhält das Thema aus indirekten Anforderungen, die sich zum Beispiel aus der NIS2-Richtlinie ergeben (wie wir gleich sehen werden).

Besonders relevant ist dabei der sogenannte risikobasierte Ansatz, der als zentrales Prinzip in nahezu allen aktuellen Gesetzen und europäischen Verordnungen verankert ist.

2.1. Risikoanalyse als Pflicht und Überlebensstrategie

Durch den geforderten risikobasierten Ansatz ist eine gezielte Bewertung anstatt der Implementierung von „Standardmaßnahmen“ notwendig. Das bedeutet, dass Risiken systematisch zu identifizieren, zu bewerten und durch geeignete Maßnahmen zu minimieren sind. Auf die nachstehenden Fragen gehen wir in den nächsten Kapiteln weiter ein:

• Welche Bedrohungen bestehen für meine Daten, Systeme un...