Cyber-Stresstest: ENISA veröffentlicht neue Leitlinie für Cyber-Stresstests

Die Europäische Agentur für Cybersicherheit (ENISA) hat am 15. Mai 2025 eine umfassende Leitlinien zu Cyber-Stresstests veröffentlicht. Ziel ist es, nationale und sektorspezifische Aufsichtsbehörden bei der Bewertung der Cyber-Resilienz kritischer Sektoren zu unterstützen. Die Leitlinie ist insbesondere im Kontext der NIS 2- Richtlinie, der DORA-Verordnung sowie der Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience - CER) von Bedeutung.

Cyber-Stresstest - Ursprung und neue Anwendungsbereiche

Stresstests sind ursprünglich ein Instrument aus dem Bankensektor, das infolge der Finanzkrise 2007-2009 entwickelt wurde, um die Krisenfestigkeit der Banken zu analysieren. In den letzten Jahren hat sich das Instrument auch im Bereich der Cybersicherheit etabliert - mit dem Ziel, die Resilienz gegenüber IT-basierten Schocks systematisch zu bewerten.

Beispielhafte Anwendungen:

• Bank of England: Cyber-Stresstest im Jahr 2022 zu Zahlungsdiensten

• Europäische Zentralbank (EZB): EU-weiter Cyber-Stresstest 2024 für Banken

• Europäische Kommission: koordinierter CER-Stresstest im Energiesektor

Fünf Phasen eines Cyber-Stresstests

Die ENISA-Leitlinie beschreibt einen strukturierten Fünf-Phasen-Ansatz, der sich sowohl für Aufsichtsbehörden als auch für Organisationen in kritischen Sektoren eignet:

Testplanung und Zielsetzung

In einem ersten Schritt werden der Anwendungsbereich und die Ziele des Cyber-Stresstests festgelegt. Dabei geht es darum, zu definieren, welche Organisationen, Systeme oder Dienstleistungen getestet werden sollen und welche Art von Risiken im Mittelpunkt stehen.

Gleichzeitig erfolgt die Einbindung der relevanten Stakeholder - etwa IT-Verantwortliche, Geschäftsleitungen oder zuständige Aufsichtsbehörden -, um sicherzustellen, dass der Test realitätsnah und koordiniert durchgeführt wird. Dieser vorbereitende Schritt ist eng mit den regulatorischen Vorgaben verbunden, etwa mit der NIS 2-Richtlinie, der DORA-Verordnung sowie der CER-Richtlinie.

Testdesign

In der zweiten Phase wird das Design des Tests entwickelt. Hierzu gehört die Auswahl geeigneter Methoden, etwa szenarienbasierte oder simulationsgestützte Ansätze. Darüber hinaus werden die konkreten Bedrohnungszenarien entwickelt und an die jeweiligen Besonderheiten der zu prüfenden Sektoren oder Institutionen angepasst. Ziel ist es, ein realistisches, aber kontrolliertes Testumfeld zu schaffen, das aussagekräftige Ergebnisse liefert.

Durchführung

Die dritte Phase umfasst die tatsächliche Durchführung des Cyber-Stresstests. Dabei wird die geplante Simulation operativ umgesetzt - sowohl auf technischer Ebene (z.B. durch simulierte Angriffe oder Systemausfälle) als auch auf organisatorischer Ebene (z.B. durch Krisenüberungen, Entscheidungsprozesse und Kommunikationswege). Entscheidend ist hierbei, die Resilienzfähigkeit der getesteten Organisation und realitätsnahen Bedingungen zu erproben.

Ergebnisanalyse

Im Anschluss an die Durchführung erfolgt die Auswertung der Ergebnisse. Dabei werden die identifizeirten Schwachstellen, Prozesslücken und technischen Defizite systematisch analysiert. Die Bewertung erfolgt anhand vordefinierter Metriken, die Rückschlüsse auf die Wirksamkeit bestehender Schutz- und Reaktionsmechanismen erlauben.

Nachbereitung

In der letzten Phase stehen die Nachbereitung und das Follow-up im Mittelpunkt. Die im Rahmen des Tests identifizierten Mängel werden dokumentiert und es werden gezielte Maßnahmen zur Beseitigung der Lücken eingeleitet. Je nach regulatorischem Rahmen kann dies auch die Einbindung in aufsichtsrechtliche Folgeprozesse oder Berichterstattungen einschließen. Ziel ist es, aus dem Stresstest konkrete Verbesserungen abzuleiten und die Resilienz nachhaltig zu stärken.

Potenzial für die Aufsicht

Cyber-Stresstests stellen für Aufsichtsbehörden ein wertvolles Instrument dar, um mit beaufsichtigten Unternehmen in einen strukturierten Dialog zu treten - freiwillig, kollaborativ oder formell-regulatorisch. Dabei stehen folgende Aspekte im Fokus:

• Bewertung strategischer und systemischer Risiken

• Identifikation technischer Schwachstellen

• Förderung eines gemeinsamen Verständnisses für Resilienzanforderungen

Fazit

Mit der neuen Leitlinie bietet ENISA eine praxisnahe und strukturierte Unterstützung für Behörden und kritische Einrichtungen. Cyber-Stresstests ermöglichen es, Resilienzlücken proaktiv zu erkennen und gezielt zu adressieren - eine Fähigkeit, die im Kontext von NIS 2, DORA und CER immer mehr zum strategischen Erfolgsfaktor wird.

Quelle / Eckdaten