Was ist ein Risiko?
Dazu steht im „B. Besonderen Teil“ auf Seite 160 „zu Absatz 1“:
„Risiken sind das Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, …………“
Die Verhältnismäßigkeit des Aufwands zur Errichtung und Führung eines Risikomanagementsystems
Im Weiteren wird nach unserer Auffassung dem Management-Aufwand Rechnung getragen, den insbesondere kleine mittelständische Unternehmen aufzuwenden haben. Hier heißt es:
„Absatz 1 stellt klar, dass hierbei durch die Einrichtung nur geeignete, verhältnismäßige und wirksame Maßnahmen zu ergreifen sind. Im Bezug auf die Verhältnismäßigkeit sind insbesondere die Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.“
Die Risikomanagementmaßnahmen sollen in einem angemessenen Verhältnis zu den Risiken stehen, denen das betroffene Netz- und Informationssystem ausgesetzt ist.
In dem „B. Besonderen Teil“ auf Seite 160 „zu Absatz 1“ wird am Ende ein Vergleich mit dem Artikel 5 Absatz 2 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung) gezogen. Auch in diesem werden Einrichtungen verspflichtet die Umsetzung und Einhaltung Maßnahmen angemessen zu dokumentieren.
Durch diese Pflicht wird sichergestellt, dass Einrichtungen nach Anforderungen von Nachweisen des Bundesamts gemäß § 61 Absatz 3 dem Bundesamt entsprechende Nachweisdokumente vorlegen können. Entsprechende Dokumentationen können beispielsweise sein: interne Richtlinien, Handlungsanweisungen, Checklisten, Mitarbeiterschulungen, Vereinbarungen, Merkblätter o.ä., aber auch Auditberichte, Zertifizierungen oder Prüfungen.
Was fließt in die Angemessenheits-Bewertung ein?
- Betrachtet wird die Größe der Einrichtung und die aufzuwendenden Kosten.
- Außerdem wird bewertet, ob es sich bei der Einrichtung um eine besonders wichtige oder wichtige Einrichtung im Vergleich zu einer wesentlichen oder gar einen Betreiber einer kritischen Anlage handelt.
- Berücksichtigt wird auch ob hierdurch Dienste geschützt werden, die zu den Waren oder Dienstleistungen der in Anlage 1 oder 2 beschriebenen Einrichtungsarten gehören.
In Anlage 1 sind 7 besonders wichtige Sektoren Energie, Gesundheit, Wasser, Finanzwesen, Transport und Verkehr, Digitale Infrastruktur, Weltraum, aufgeführt.
Beispiele dazu: EON, Deutsche Bahn, große Kliniken, etc.
In Anlage 2 sind weitere 7 Sektoren aufgeführt, die sich teils mit denen in der Anlage 1 überschneiden, sich aber in der Art und Größe unterscheiden.
Transport und Verkehr, Forschung, Produktion und Vertrieb chemische Waren, Produktion und Vertrieb Lebensmittel, Produktion von Waren, die in diversen Branchen aufgeteilt sind (Medizinprodukte, Datenverarbeitungsgeräte, elektrische Ausrüstungen, Maschinenbau)
Unsere Interpretation – Fazit
In den Bewertungskriterien wird auch immer wieder das Wort „Risikoexposition“ oder auch der „Grad einer Risikoexposition“ verwendet. Das bezieht sich unter anderem darauf, wie groß der Schaden oder Verlust sein könnte, wenn das Risiko eintritt. Der Schaden durch den Ausfall der Deutschen Bahn oder der TELEKOM ist m.E. größer als der eines mittelständischen Betriebes, der elektrische Ausrüstungen produziert, 51 Mitarbeiter beschäftigt und 11 Millionen Euro Jahresumsatz erreicht. Letzterer wäre nach Anlage 1 eine wichtige Einrichtung. Dieses Unternehmen muss über ein Risikomanagement verfügen, allerdings mit einem bei weitem geringeren Aufwand der zuvor genannten Einrichtungen.
