Warum diese Frage wichtig ist:

Risikomanagementmaßnahmen bilden das Herzstück der BSIG-Anforderungen. Ohne klare Strategien zur Behandlung von Risiken (Vermeidung, Minderung, Übertragung, Akzeptanz) und deren kontinuierliche Anpassung an neue Bedrohungen bleiben die Schutzmaßnahmen wirkungslos. Die Geschäftsleitung muss wissen, welche Maßnahmen existieren, wie sie wirken und wie sie dokumentiert werden.

Hilfreiche Antwort:

Wir setzen die in § 30 Absatz 2 BSIG genannten Mindestmaßnahmen um und ergänzen diese durch weitere, auf unsere Einrichtung zugeschnittene Maßnahmen. Alle Maßnahmen werden dokumentiert, auf Wirksamkeit überprüft und regelmäßig gegen den Stand der Technik validiert. Zielkonflikte (beispielsweise Sicherheit vs. Wirtschaftlichkeit) werden transparent gemacht und in der Geschäftsleitung entschieden.

Antworten, die weitere Nachfragen erfordern:

• „Wir wissen nicht, welche Mindestmaßnahmen nach § 30 Absatz 2 BSIG verpflichtend sind.“
• „Wir haben keinen Überblick über die Wirksamkeit oder den aktuellen Stand unserer Maßnahmen.“
• „Zielkonflikte zwischen Sicherheit und Geschäftsinteressen werden bei uns nicht systematisch betrachtet.“

Die einzelnen Risikomanagementmaßnahmen stehen im besonderen Fokus im Kontext der mit dem BSIG verbundenen Pflichten. Nachfolgend sind ebenfalls Leitfragen zu den einzelnen Cyberrisikomanagementmaßnahmen aufgeführt.