Kantyra Kantyra

← Alle artikelen

Signaleren

Was Sie nicht im Blick haben, können Sie nicht schützen

Alain Rees · 07-07-2026 · 2 min leestijd

Jede Sicherheitsstrategie beruht auf einer einfachen Frage: Was besitzen wir eigentlich, und wer kommt damit in Berührung? Solange diese Frage unbeantwortet bleibt, ist jedes Risikoregister Rätselraten und jede Maßnahme ein Glücksspiel. Erkennen, die erste Phase des Modells, dreht sich deshalb um drei Verzeichnisse, die zusammen das Fundament bilden: Ihre Werte, Ihre Lieferanten und Ihre Vorfälle.

Beginnen Sie bei den Werten und Prozessen

Eine brauchbare Inventarisierung muss nicht vollständig sein; sie muss ehrlich sein. Beginnen Sie mit den Systemen und Prozessen, von denen die Organisation wirklich abhängt, und geben Sie jedem davon einen Eigentümer, eine Klassifizierung und eine Bewertung hinsichtlich Verfügbarkeit, Integrität und Vertraulichkeit. Diese Bewertung wirkt zu Beginn grob, und das ist unproblematisch, denn eine grobe Bewertung, die vorhanden ist, steuert besser als eine verfeinerte, die noch aussteht. Vergessen Sie die Prozesse nicht; gerade ein Geschäftsprozess wie die Auftragsabwicklung oder die Fakturierung ist später der Ausgangspunkt für Ihre Kontinuitätsanalyse.

Kennen Sie Ihre Kette, bevor die Kette Sie kennt

Die NIS-2-Richtlinie legt die Verantwortung für die Lieferkette nachdrücklich in Ihre Hände. In der Praxis kommt die Frage jedoch selten zuerst von der Aufsichtsbehörde. Meist ist es Ihr größter Kunde, der eine Lieferantenbewertung schickt, oder ein Versicherer, der um eine Übersicht bittet. Erfassen Sie deshalb Ihre kritischen Lieferanten mit der Leistung, die sie erbringen, ihrer Kritikalität und den schriftlich festgehaltenen Vereinbarungen, und geben Sie jedem Lieferanten einen Überprüfungszyklus. Wer seine Kette kennt, beantwortet solche Anfragen innerhalb eines Tages statt innerhalb eines Monats.

Vorfälle sind Signale, keine Schandflecken

Das dritte Verzeichnis erfasst, was schiefgeht. Eine Organisation, die Vorfälle niedrigschwellig melden lässt, erkennt früher, wo es hakt; eine Organisation, die Meldungen entmutigt, entdeckt ihre Schwachstellen erst, wenn ein Außenstehender sie findet. Halten Sie je Vorfall fest, welche Werte betroffen sind und mit welchem Risiko er zusammenhängt. Letzteres ist wesentlich, denn ein Vorfall ist der Beweis, dass sich ein Risiko in der Praxis verwirklicht, und sollte die Einschätzung dieses Risikos daher beeinflussen.

Was diese Phase einbringt

Nach dieser Phase wissen Sie, was vorhanden ist, wer dafür verantwortlich ist und was in der Praxis geschieht. Das wirkt bescheiden, ist aber entscheidend, denn jede folgende Phase, von der Risikobeurteilung bis zum Auditnachweis, verweist auf das zurück, was Sie hier festgehalten haben. Erkennen ist damit keine Verwaltung, sondern die Sinnesorgane Ihres Managementsystems.

Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Signaleren